Menue-Button
← FACHDEBATTE Interview

Das Netz muss benutzbar für Laien bleiben

Wer für die Sicherheit haften sollte - und was der Gesetzgeber zu tun hat

Marion Steiner, Sachverständige, BISG - Bundesfachverband der  IT-Sachverständigen und -Gutachter e.V. Quelle: BISG Marion Steiner Sachverständige Bundesfachverband der IT-Sachverständigen und -Gutachter 18.12.2017
INITIATOR DIESER FACHDEBATTE
Uwe Schimunek
Freier Journalist
Meinungsbarometer.info
ZUR FACHDEBATTE

"Die Anforderungen an die Produktsicherheit müssen klarer geregelt werden", sagt Marion Steiner, Sachverständige vom BISG - Bundesfachverband der IT-Sachverständigen und -Gutachter e.V., mit Blick auf die Gefahr aus dem Internet der Dinge. Bei allen Regelungen rund um die IT-Sicherheit müsse einfacher Zugang für alle Nutzer bestehen bleiben.







Das BSI klagt in seinem aktuellen Sicherheitsbericht, dass IT-Sicherheit bei IoT-Geräten keine oder nur eine untergeordnete Rolle spielt. Was muss die Politik gegen die Gefahr aus den vernetzten Alltagsgeräten tun?
IoT Geräte sind häufig Alltagsgegenstände, bei denen der Verbraucher nicht einmal eine Idee von den Risiken hat. Teilweise ist ihm die Vernetzung und die Menge der genutzten Daten nicht mal bewusst. Und selbst wenn, wenn er die Funktion des Produktes haben möchte, hat er meist keine Wahl. Der Gesetzgeber muss an diesem Punkt ansetzen: die Anforderungen an die Produktsicherheit müssen klarer geregelt werden. Ebenso wie die Informationspflichten, was das Gerät für Daten sammelt, was es kommuniziert und wie es abgesichert ist. Dabei sollte insbesondere eine allgemeinverständliche Sprache gefordert werden. Ebenso sollten Anforderungen an „Security-by-Design“ gestellt werden. Verbunden mit entsprechenden Sanktionsmöglichkeiten, Regelungen zu Produkthaftung und vor allem auch der Möglichkeit, unsichere Produkte auf entsprechenden Webseiten (z.B. BSI) zu veröffentlichen, könnten die Hersteller durchaus motiviert werden, hier besser zu werden. Aber gerne auch mit positiven Anreizen, hier als Vorreiter zu agieren.

Unsichere IoT-Geräte schaden nicht nur dem Eigentümer selbst, da sie laut BSI häufig für Attacken genutzt werden. Wer sollte in diesem Fall perspektivisch haften?
Das kommt auf den Fall an. Wenn der Eigentümer das Gerät nicht sachgemäß einsetzt oder ggf. gegen die Empfehlungen handelt, sollte er auch zur Verantwortung gezogen werden können bzw. in der Haftung stehen. Wenn das Produkt aber mangelhaft ist, oder sich gar nicht sicher einsetzen lässt, dann sollte auch der Hersteller haften. Damit verbunden sein muss z.B. die Pflicht zu einer sicheren Konfiguration bei Auslieferung: „Security-by-default“ entsprechend den Anforderungen im Datenschutz nach EU-DSGVO. Was in manchen Fällen dann schwierig sein wird, ist der „Verantwortungsübergang“: Bei Geräte, die vom Hersteller geupdatet werden, bei denen der Nutzer aber doch durchaus Eingriffsmöglichkeiten hat, ist es sicher nicht immer einfach, da den Verantwortlichen festzustellen. Auch dafür werden klare Regelungen benötigt. Im Zweifelsfall sollte aber gerade bei Produkten für Nicht-Experten eher der Hersteller in der Nachweispflicht sein, dass er das Problem nicht geeignet verhindern konnte.

Ebenfalls bedenklich sind aus Sicht des BSI Mobilgeräte, deren Betriebssystem oder deren Apps nicht auf aktuellem Stand sind. Sehen Sie hier Regelungsbedarf für Anbieter solcher Software?
Die Anbieter von Software sollten natürlich dazu verpflichtet werden, Lücken in ihrer Software zu beheben. Gerade bei Apps auf Mobilgeräten könnte das aber zu einer starken Einschränkung der frei erhältlichen Software führen, was auch nicht Ziel sein sollte. Ebenso besteht die Frage, ob bzw. wie ausländische Anbieter auf entsprechende Regelungen verpflichtet werden könnten. Hierzu müssten ggf. die App-Stores entsprechenden Regelungen unterlegt werden. Aber was soll dann mit „alten“, ungepflegten Apps passieren? Sollen diese aus dem Store entfernt werden? Und zwangsweise auf den Geräten deinstalliert werden?

Und selbst wenn die Hersteller hier besser würden, wäre nur ein Teil des Problems gelöst. Denn auch die Nutzer müssten ja die Software noch entsprechend einspielen. In Zeiten, wo ein Update ggf. deutlich mehr Werbung bedeutet, wird die Motivation zu Updates geradezu torpediert.

Das IT-Sicherheitsgesetzt hat in diese Richtung zu Webangeboten allerdings schon einen guten Schritt gemacht: hier werden Anbieter kommerzieller Webangebote in die Pflicht genommen. Also alle, die damit Geld verdienen. Auch, wenn dieses in der Schaltung von Werbung besteht. Denn Geldverdienen sollte nicht auf Kosten anderer geschehen. Das ist meiner Ansicht nach schon ein guter Kompromiss.

Bedenklich sind laut dem Bericht auch unsichere Verbindungen in öffentlichen Netzen. Wie sollten öffentliche Hotspots künftig besser gesichert werden?
Öffentliche Hotspots sollten klar mit Standort und Betreiber zu identifizieren sein, um ggf. Infiltrationspunkte von Schadsoftware schnell erkennen und effektiv ausschalten zu können. Darüber hinaus sollten sie nur gesicherte, verschlüsselte Protokolle anbieten, um Angreifern das Leben zu erschweren.  

Der wichtigste Aspekt im IoT Umfeld ist aber aus meiner Sicht, dass die Kommunikation innerhalb der jeweiligen App-Domäne bzw. App-Infrastruktur angemessen gesichert sein muss. Eine Dritten sollte quasi unmöglich sein, sich der Kommunikationswege einer IoT-App zu bedienen. Wenn eine Anwendung selber z.B. ohne Verschlüsselung arbeitet, also ihre Daten nicht schützt, dann hilft mir auch ein gesicherter Hotspot nur begrenzt weiter. Der Postbote muss ja z.B. auch die Adresse eines Briefs lesen dürfen, sollte aber nicht den Inhalt kennen.

Anderes Beispiel ist der Straßenverkehr: Auch dort werden wir nicht durch die Beschaffenheit der Straßen alleine sämtliche Unfälle verhindern können. Da müssen auch Autofahrer und Automobilhersteller mithelfen und Autos und Fahrweisen entsprechend gestalten.

Neben all dem muss aber eines weiter bestehen bleiben: einfacher Zugang zum Netz, der auch „benutzbar für Laien“ ist. Sonst hängen wir große Teile der Bevölkerung von den Entwicklungen ab.

UNSER NEWSLETTER

Newsletter bestellen JETZT BESTELLEN

■■■ WEITERE BEITRÄGE DIESER FACHDEBATTE

EIN DEBATTENBEITRAG VON
Prof. Dr. Michael Backes
Forscher
CISPA — Center for IT-Security

Prof. Dr. Michael Backes, Universität des Saarlandes, CISPA — Center for IT-Security
IT-Sicherheit | Internet der Dinge

Herstellerzwang gegen Sicherheitslücken?

Forscher fordert einheitliche ■ ■ ■

EIN DEBATTENBEITRAG VON
Prof. Dr. Michael Backes
Forscher
CISPA — Center for IT-Security

EIN DEBATTENBEITRAG VON
Julian Gallasch
Referent
Verbraucherzentrale Bundesverband

Julian Gallasch, Referent Team Recht und Handel, Geschäftsbereich Verbraucherpolitik, Verbraucherzentrale Bundesverband e.V.
IT-Sicherheit | Internet der Dinge

Cyberangriff mit vernetzten Kühlschränken?

Bundesverbraucherzentrale fordert von Politik ■ ■ ■

EIN DEBATTENBEITRAG VON
Julian Gallasch
Referent
Verbraucherzentrale Bundesverband

EIN DEBATTENBEITRAG VON
Tomasz Lawicki
Senior Consultant
Schwerhoff Consultants

Tomasz Lawicki, Senior Consultant Schwerhoff Consultants GmbH
IT-Sicherheit | Internet der Dinge

Verursacherprinzip ohne Relevanz

Machen jetzt die Versicherungen mit ■ ■ ■

EIN DEBATTENBEITRAG VON
Tomasz Lawicki
Senior Consultant
Schwerhoff Consultants

ZUR FACHDEBATTE

■■■ DIESE FACHDEBATTE KÖNNTE SIE AUCH INTERESSIEREN

Uwe Schimunek

INITIATOR
Uwe Schimunek
Freier Journalist
Meinungsbarometer.info

ÜBER UNSERE FACHDEBATTEN

Meinungsbarometer.info ist die Plattform für Fachdebatten in der digitalen Welt. Unsere Fachdebatten vernetzen Meinungen, Wissen & Köpfe und richten sich an Entscheider auf allen Fach- und Führungsebenen. Unsere Fachdebatten vereinen die hellsten Köpfe, die sich in herausragender Weise mit den drängendsten Fragen unserer Zeit auseinandersetzen.

überparteilich, branchenübergreifend, interdisziplinär

Unsere Fachdebatten fördern Wissensaustausch, Meinungsbildung sowie Entscheidungsfindung in Politik, Wirtschaft, Wissenschaft, Medien und Gesellschaft. Sie stehen für neue Erkenntnisse aus unterschiedlichen Perspektiven. Mit unseren Fachdebatten wollen wir den respektvollen Austausch von Argumenten auf Augenhöhe ermöglichen - faktenbasiert, in gegenseitiger Wertschätzung und ohne Ausklammerung kontroverser Meinungen.

kompetent, konstruktiv, reichweitenstark

Bei uns debattieren Spitzenpolitiker aus ganz Europa, Führungskräfte der Wirtschaft, namhafte Wissenschaftler, Top-Entscheider der Medienbranche, Vordenker aus allen gesellschaftlichen Bereichen sowie internationale und nationale Fachjournalisten. Wir haben bereits mehr als 600 Fachdebatten mit über 20 Millionen Teilnahmen online abgewickelt.

nachhaltig und budgetschonend

Mit unseren Fachdebatten setzen wir auf Nachhaltigkeit. Unsere Fachdebatten schonen nicht nur Umwelt und Klima, sondern auch das eigene Budget. Sie helfen, aufwendige Veranstaltungen und überflüssige Geschäftsreisen zu reduzieren – und trotzdem die angestrebten Kommunikationsziele zu erreichen.

mehr als nur ein Tweet

Unsere Fachdebatten sind mehr als nur ein flüchtiger Tweet, ein oberflächlicher Post oder ein eifriger Klick auf den Gefällt-mir-Button. Im Zeitalter von X (ehemals Twitter), Facebook & Co. und der zunehmenden Verkürzung, Verkümmerung und Verrohung von Sprache wollen wir ein Zeichen setzen für die Entwicklung einer neuen Debattenkultur im Internet. Wir wollen das gesamte Potential von Sprache nutzen, verständlich und respektvoll miteinander zu kommunizieren.