Das BSI klagt in seinem aktuellen Sicherheitsbericht, dass IT-Sicherheit bei IoT-Geräten keine oder nur eine untergeordnete Rolle spielt. Was muss die Politik gegen die Gefahr aus den vernetzten Alltagsgeräten tun?
Die Vernetzung von Alltagsgegenständen, die dadurch smarter und komfortabler für den Nutzer werden, ist ein Trend, der sich in den kommenden Jahren fortsetzen wird. Mit der zunehmenden Nutzung solcher vernetzter Geräte, sogenannter IoT-Geräte, entsteht auch ein zusätzlicher Handlungsbedarf, für eine angemessene Cybersicherheit zu sorgen. IoT-Geräte, Cloud-Services oder auch Router sind prinzipiell ein mögliches Ziel für Cyberkriminelle, die sich auf diesem Weg auch Zugang zu anderen, vernetzten Geräten verschaffen können.
Angesichts der hohen und weiter steigenden Verkaufszahlen dieser Geräte entsteht ein globales Risiko. Aus diesem Grund sollten entsprechende Schutzmaßnahmen und mögliche Regeln unbedingt international gedacht werden. Ein Zertifizierungssystem auf europäischer Ebene, wie es gerade von der EU-Kommission vorgeschlagen wurde, kann – unter einigen Voraussetzungen – ein wichtiger Schritt hin zu mehr Sicherheit im europäischen digitalen Binnenmarkt sein und damit zu größerem Vertrauen in das Internet der Dinge (IoT) führen.
Grundsätzlich müssen aber auch die Verbraucher und Anwender mit in den Fokus rücken. Es geht darum, dass zum Beispiel solche Geräte richtig konfiguriert und die vom Hersteller vorgegebenen Schutzmaßnahmen umgesetzt werden. Deshalb sollte künftig über Strategien zur Steigerung der IT-Sicherheit nachgedacht werden, die ein Zusammenspiel von mehreren Instrumenten zulassen. Eine klassische Schwarz-Weiß-Lösung, die den Hersteller als Alleinverantwortlichen sieht, wird der Komplexität eines global vernetzten IT-Systems nicht gerecht.
Unsichere IoT-Geräte schaden nicht nur dem Eigentürmer selbst, da sie laut BSI häufig für Attacken genutzt werden. Wer sollte in diesem Fall perspektivisch haften?
IT-Systeme bestehen aus einer Vielzahl an Akteuren. Infrastrukturbetreiber, Dienstanbieter und Gerätehersteller sind gleichermaßen gefordert, ihre Produkte so sicher zu entwickeln, dass die Gefahr von Schwachstellen minimiert und das Angriffsrisiko gesenkt werden kann. Ob unsere bisherigen Produkthaftungsregeln auch im Cyberraum ausreichen, muss in den nächsten Wochen geklärt werden. Eine geklärte Haftungsfrage bringt zum einen Klarheit für den Verbraucher und kann zum anderen einen positiven Effekt auf das Risikomanagement in den betroffenen Unternehmen haben.
Ebenfalls bedenklich sind aus Sicht des BSI Mobilgeräte, deren Betriebssystem oder deren Apps nicht auf aktuellem Stand sind. Sehen Sie hier Regelungsbedarf für Anbieter solcher Software?
Das Thema Produkthaftung wird in den vergangenen Monaten verstärkt mit der Forderung nach verpflichtenden Software-Updates angesprochen. In dieser Diskussion sollte man allerdings auch den Verbraucher nicht aus dem Blick verlieren. Häufig stehen Updates zu Verfügung, werden aber nicht ausreichend schnell installiert. Wer aber ist verantwortlich, wenn die in dieser Zeit entstandene Lücke durch den Verbraucher selbst verursacht wurde? Auch hier gilt: Es müssen bei der Diskussion über Regeln alle Akteure des IT-Systems beachtet werden.
Bedenklich sind laut dem Bericht auch unsichere Verbindungen in öffentlichen Netzen. Wie sollten öffentliche Hotspots künftig besser gesichert werden?
Nutzer öffentlicher Hotspots sollten darauf achten, dass sie möglichst eine zusätzliche Verschlüsselung nutzen, wenn sie online gehen. Das gilt besonders dann, wenn sensible Daten wie Konto- oder Kreditkartennummern übertragen werden, etwa beim Online-Shopping oder Online-Banking. Sicher vor solchen Angriffen sind etwa sogenannte VPN-Verbindungen, die vor allem im beruflichen Umfeld genutzt werden. Beim Besuch von Webseiten zeigt das Kürzel https eine verschlüsselte Verbindung an, häufig wird diese Sicherheit zusätzlich durch ein kleines Schloss in der Eingabezeile für die Webadresse verdeutlicht.