Das BSI klagt in seinem aktuellen Sicherheitsbericht, dass IT-Sicherheit bei IoT-Geräten keine oder nur eine untergeordnete Rolle spielt. Was muss die Politik gegen die Gefahr aus den vernetzten Alltagsgeräten tun?
IT-Sicherheit spielt zurzeit eine untergeordnete Rolle – bei der Entwicklung von vernetzten Produkten (IoT-Produkte), aber auch bei Kaufentscheidungen von Verbraucherinen und Verbrauchern. Aufgabe der Politik ist es, ein effektives Haftungsregime für IoT-Produkte zu schaffen, damit die Hersteller hierdurch angehalten werden, mehr in die Sicherheit zu investieren. Das derzeitige Produkthaftungsrecht stammt aus der vordigitalen Zeit und muss überarbeitet werden, damit Haftungsansprüche auch tatsächlich durchsetzbar sind. Daneben muss es gesetzlich festgeschriebene Verpflichtungen geben. Sicherheitsupdates für die Software digitaler Produkte sollten etwa über die gesamte tatsächliche Nutzungsdauer eines vernetzten Produkts zur Verfügung zu stehen. Zudem müssen Verbraucher stärker für das Thema IT-Sicherheit sensibilisiert werden.
Unsichere IoT-Geräte schaden nicht nur dem Eigentürmer selbst, da sie laut BSI häufig für Attacken genutzt werden. Wer sollte in diesem Fall perspektivisch haften?
IoT-Geräte wurden in der Vergangenheit schon häufig für Botnetz-Attacken eingesetzt. Wenn etwa vernetzte Kühlschränke aufgrund von Sicherheitslücken für solche Attacken ausgenutzt werden, merkt dies der Eigentümer des betroffenen Geräts oftmals gar nicht – denn das Gerät selbst funktioniert noch. Es fehlen klare Regeln dazu, wer im Falle eines Schadens haftet. Den Eigentümer, dessen Gerät für diese Attacken genutzt wird, trifft in der Regel kein Verschulden, sodass eine Haftung gegenüber Dritten ausscheidet. Haften sollte in solchen Fällen der Hersteller des IoT-Geräts, der für die entsprechende Sicherheitslücke verantwortlich ist und kein Software-Update zur Verfügung gestellt hat, um diese zu schließen. Hierzu bedarf es einer Überarbeitung des geltenden Produkthaftungsrechts, das derzeit nicht in der Lage ist in diesen Fällen für einen ausreichenden Schutz zu sorgen.
Ebenfalls bedenklich sind aus Sicht des BSI Mobilgeräte, deren Betriebssystem oder deren Apps nicht auf aktuellem Stand sind. Sehen Sie hier Regelungsbedarf für Anbieter solcher Software?
Insbesondere Android-Smartphones werden nur unzureichend mit Sicherheitsupdates versorgt. Die Verbraucher sind hier derzeit vom Wohlwollen der Hersteller abhängig. Gleiches gilt für die Anbieter von Apps. Der Gesetzgeber ist hier aufgefordert, Anbieter zu verpflichten, Sicherheitsupdates für die gesamte tatsächliche Nutzungsdauer zur Verfügung zu stellen. Derzeit wird auf europäischer Ebene über den Entwurf einer Richtlinie für Digitale Inhalte verhandelt. Die federführenden Ausschüsse des Europäischen Parlaments haben am 21.November 2017 beschlossen, dass Anbieter von Software und Gütern mit eingebetteter Software Verbrauchern sicherheitsrelevante Updates zur Verfügung stellen müssen – also letztlich für Smartphones und Apps genauso wie für sonstige IoT-Geräte. Es gilt nun diese Position in den anstehenden Trilogverhandlungen mit dem Rat durchzusetzen, damit Verbraucher tatsächlich besser vor Sicherheitslücken geschützt werden.
Bedenklich sind laut dem Bericht auch unsichere Verbindungen in öffentlichen Netzen. Wie sollten öffentliche Hotspots künftig besser gesichert werden?
Der vzbv hat sich im Rahmen der Änderung des Telemediengesetzes dafür eingesetzt, dass öffentliche WLAN-Netzwerke möglichst ohne Registrierungspflicht und Passwortschutz genutzt werden können. Gleichwohl ist uns die Sicherheit der Verbraucher bei der Nutzung solcher Hotspots ein ebenso großes Anliegen. Aus unserer Sicht ist es zielführend, den Nutzern zu verdeutlichen, welche Gefahren bestehen und wie diese möglichst gering gehalten werden können, etwa indem Nutzer darauf achten, sicherheitskritische Informationen nur über SSL-geschützte Verbindungen zu übertragen oder ein virtuelles privates Netzwerk (VPN) nutzen.