Das BSI klagt in seinem aktuellen Sicherheitsbericht, dass IT-Sicherheit bei IoT-Geräten keine oder nur eine untergeordnete Rolle spielt. Was muss die Politik gegen die Gefahr aus den vernetzten Alltagsgeräten tun?
IoT Geräte sind häufig Alltagsgegenstände, bei denen der Verbraucher nicht einmal eine Idee von den Risiken hat. Teilweise ist ihm die Vernetzung und die Menge der genutzten Daten nicht mal bewusst. Und selbst wenn, wenn er die Funktion des Produktes haben möchte, hat er meist keine Wahl. Der Gesetzgeber muss an diesem Punkt ansetzen: die Anforderungen an die Produktsicherheit müssen klarer geregelt werden. Ebenso wie die Informationspflichten, was das Gerät für Daten sammelt, was es kommuniziert und wie es abgesichert ist. Dabei sollte insbesondere eine allgemeinverständliche Sprache gefordert werden. Ebenso sollten Anforderungen an „Security-by-Design“ gestellt werden. Verbunden mit entsprechenden Sanktionsmöglichkeiten, Regelungen zu Produkthaftung und vor allem auch der Möglichkeit, unsichere Produkte auf entsprechenden Webseiten (z.B. BSI) zu veröffentlichen, könnten die Hersteller durchaus motiviert werden, hier besser zu werden. Aber gerne auch mit positiven Anreizen, hier als Vorreiter zu agieren.
Unsichere IoT-Geräte schaden nicht nur dem Eigentümer selbst, da sie laut BSI häufig für Attacken genutzt werden. Wer sollte in diesem Fall perspektivisch haften?
Das kommt auf den Fall an. Wenn der Eigentümer das Gerät nicht sachgemäß einsetzt oder ggf. gegen die Empfehlungen handelt, sollte er auch zur Verantwortung gezogen werden können bzw. in der Haftung stehen. Wenn das Produkt aber mangelhaft ist, oder sich gar nicht sicher einsetzen lässt, dann sollte auch der Hersteller haften. Damit verbunden sein muss z.B. die Pflicht zu einer sicheren Konfiguration bei Auslieferung: „Security-by-default“ entsprechend den Anforderungen im Datenschutz nach EU-DSGVO. Was in manchen Fällen dann schwierig sein wird, ist der „Verantwortungsübergang“: Bei Geräte, die vom Hersteller geupdatet werden, bei denen der Nutzer aber doch durchaus Eingriffsmöglichkeiten hat, ist es sicher nicht immer einfach, da den Verantwortlichen festzustellen. Auch dafür werden klare Regelungen benötigt. Im Zweifelsfall sollte aber gerade bei Produkten für Nicht-Experten eher der Hersteller in der Nachweispflicht sein, dass er das Problem nicht geeignet verhindern konnte.
Ebenfalls bedenklich sind aus Sicht des BSI Mobilgeräte, deren Betriebssystem oder deren Apps nicht auf aktuellem Stand sind. Sehen Sie hier Regelungsbedarf für Anbieter solcher Software?
Die Anbieter von Software sollten natürlich dazu verpflichtet werden, Lücken in ihrer Software zu beheben. Gerade bei Apps auf Mobilgeräten könnte das aber zu einer starken Einschränkung der frei erhältlichen Software führen, was auch nicht Ziel sein sollte. Ebenso besteht die Frage, ob bzw. wie ausländische Anbieter auf entsprechende Regelungen verpflichtet werden könnten. Hierzu müssten ggf. die App-Stores entsprechenden Regelungen unterlegt werden. Aber was soll dann mit „alten“, ungepflegten Apps passieren? Sollen diese aus dem Store entfernt werden? Und zwangsweise auf den Geräten deinstalliert werden?
Und selbst wenn die Hersteller hier besser würden, wäre nur ein Teil des Problems gelöst. Denn auch die Nutzer müssten ja die Software noch entsprechend einspielen. In Zeiten, wo ein Update ggf. deutlich mehr Werbung bedeutet, wird die Motivation zu Updates geradezu torpediert.
Das IT-Sicherheitsgesetzt hat in diese Richtung zu Webangeboten allerdings schon einen guten Schritt gemacht: hier werden Anbieter kommerzieller Webangebote in die Pflicht genommen. Also alle, die damit Geld verdienen. Auch, wenn dieses in der Schaltung von Werbung besteht. Denn Geldverdienen sollte nicht auf Kosten anderer geschehen. Das ist meiner Ansicht nach schon ein guter Kompromiss.
Bedenklich sind laut dem Bericht auch unsichere Verbindungen in öffentlichen Netzen. Wie sollten öffentliche Hotspots künftig besser gesichert werden?
Öffentliche Hotspots sollten klar mit Standort und Betreiber zu identifizieren sein, um ggf. Infiltrationspunkte von Schadsoftware schnell erkennen und effektiv ausschalten zu können. Darüber hinaus sollten sie nur gesicherte, verschlüsselte Protokolle anbieten, um Angreifern das Leben zu erschweren.
Der wichtigste Aspekt im IoT Umfeld ist aber aus meiner Sicht, dass die Kommunikation innerhalb der jeweiligen App-Domäne bzw. App-Infrastruktur angemessen gesichert sein muss. Eine Dritten sollte quasi unmöglich sein, sich der Kommunikationswege einer IoT-App zu bedienen. Wenn eine Anwendung selber z.B. ohne Verschlüsselung arbeitet, also ihre Daten nicht schützt, dann hilft mir auch ein gesicherter Hotspot nur begrenzt weiter. Der Postbote muss ja z.B. auch die Adresse eines Briefs lesen dürfen, sollte aber nicht den Inhalt kennen.
Anderes Beispiel ist der Straßenverkehr: Auch dort werden wir nicht durch die Beschaffenheit der Straßen alleine sämtliche Unfälle verhindern können. Da müssen auch Autofahrer und Automobilhersteller mithelfen und Autos und Fahrweisen entsprechend gestalten.
Neben all dem muss aber eines weiter bestehen bleiben: einfacher Zugang zum Netz, der auch „benutzbar für Laien“ ist. Sonst hängen wir große Teile der Bevölkerung von den Entwicklungen ab.