Das BSI klagt in seinem aktuellen Sicherheitsbericht, dass IT-Sicherheit bei IoT-Geräten keine oder nur eine untergeordnete Rolle spielt. Was muss die Politik gegen die Gefahr aus den vernetzten Alltagsgeräten tun?
Die Politik hat in den vergangenen Jahren schon viel gemacht. Das IT-Sicherheitsgesetz schafft Regelungen nicht nur für kritische Infrastrukturen und Dienste, sondern auch für Anbieter von Diensten allgemein. Das NIS-Richtlinien-Umsetzungsgesetz schafft zusätzliche Möglichkeiten zur Beseitigung von Sicherheitslücken und Störungen. Es besteht aus unserer Sicht kein Bedarf an weiteren Gesetzen. Wichtiger wäre es, Sicherheitsbehörden und Hersteller an einen Tisch zu bekommen und einen konstruktiven Austausch über Sicherheitslücken und deren Schließung zu schaffen. Hier ist der institutionelle Rahmen noch nicht sonderlich stark ausgebaut. Aber es gibt bereits sehr gute Ansätze - in Deutschland und in Europa. Es wird noch einige Zeit dauern, bis diese sich etabliert haben und richtig greifen.

Der eco zusammen mit seinen Mitgliedsunternehmen unterstützt den Anwender aktiv. Seit 2010 gibt es mit botfrei.de einen kostenlosen Service. Dieser hat zum Ziel, die Zahl der infizierten Computer, Tablets und Smartphones zu verringern und Anwendern dabei zu helfen, ihre Internetgeräte von Schadprogrammen zu säubern. Wir möchten mit botfrei.de als Verband der Internetwirtschaft dazu beitragen das Internet nachhaltig sicherer zu machen und so auch den Wirtschaftsstandort Deutschland zu stärken.

Unsichere IoT-Geräte schaden nicht nur dem Eigentürmer selbst, da sie laut BSI häufig für Attacken genutzt werden. Wer sollte in diesem Fall perspektivisch haften?
Eine pauschale Haftung beim Hersteller oder bei einem Softwarelieferanten hilft hier ebenso wenig weiter, wie die Verantwortung ausschließlich auf die Nutzer abzuwälzen. Bereits jetzt besteht bei Software - um die geht es bei Sicherheitslücken meist - eine Herstellerhaftung, die z.B. bei grober Fahrlässigkeit oder gar bewusst geschaffenen Lücken greifen kann. Einen singulären Adressaten für die Haftung kann es in vernetzten Geräten, die Nutzer nach eigenen Vorstellungen konfigurieren können sollen, nicht geben.

Ebenfalls bedenklich sind aus Sicht des BSI Mobilgeräte, deren Betriebssystem oder deren Apps nicht auf aktuellem Stand sind. Sehen Sie hier Regelungsbedarf für Anbieter solcher Software?
Die regelmäßige Installation von Updates auf mobilen Endgeräte sehen wir in der Verantwortung des Anwenders. Diese werden auf modernen Smartphones und Tablets in der Regel zeitnah angezeigt und können einfach durchgeführt werden. Nutzer sollten sich beim Download auch darüber informieren, ob die von ihnen genutzte Software noch aktuell ist bzw. vom Hersteller unterstützt wird. Die meisten Hersteller bieten regelmäßige Sicherheitsupdates für ihre Produkte und Dienstleistungen kostenlos und über den gesamten Lebenszyklus des Produkts an. Dieses Angebot muss von den Nutzern regelmäßig wahrgenommen werden.

Bedenklich sind laut dem Bericht auch unsichere Verbindungen in öffentlichen Netzen. Wie sollten öffentliche Hotspots künftig besser gesichert werden?
Offene Hotspots ermöglichen uns im Alltag den einfachen und unkomplizierten Zugang zum Netz. Nutzer müssen nicht nach Passworten fragen und können so ihre Dienste und Anwendungen direkt nutzen. Sie sollten in offenen WLANs aber daran denken, dass ihre Daten unverschlüsselt übertragen werden, wenn sie selbst keine Vorkehrungen zu deren Sicherung getroffen haben. Ein Basisschutz ist daher bei der Nutzung offener WLANs unerlässlich. Zusätzlich ist es ratsam ein VPN einzurichten, wenn man sensible Daten übertragen möchte. Kommerzielle Lösungen können unter Umständen zusätzliche Sicherheit bieten.

Die Hotspot-Betreiber sollten ebenfalls einige Dinge beachten, um sowohl ihren Gästen einen benutzerfreundlichen Zugang zum Internet zu ermöglichen, als auch selber die Sicherheit des eigenen Netzes zu gewährleisten. Hierbei kann der Einsatz professioneller WLAN-Lösungen sinnvoll sein; diese neben der Zugangskontrolle auch die Möglichkeit das eigene Netz vom Hotspot zu trennen, um so die eigenen Daten und Dienste zu schützen.