Das BSI klagt in seinem aktuellen Sicherheitsbericht, dass IT-Sicherheit bei IoT-Geräten keine oder nur eine untergeordnete Rolle spielt. Was muss die Politik gegen die Gefahr aus den vernetzten Alltagsgeräten tun?
Es stimmt, dass wir mehr „Security-by-Design“ bei diesen Geräten brauchen – Hard- und Software müssen also bereits bei der Entwicklung möglichst unempfindlich gegen Angriffe konzipiert werden. Weiterhin müssen sie so gestaltet werden, dass sie je nach Anwendungsfall Updates, ein Rollen- und Rechtemanagement, sichere Kommunikation und ggf. eine Ereignisprotokollierung zulassen. Die Industrie hat dafür bereits Standards geschaffen. Grundlegend für IoT-Security ist allerdings, dass wir vor allem die Organisations- und Prozessreife für Cybersicherheit berücksichtigen: Gute und vertrauenswürdige Produkte können nur aus einem sicheren Entwicklungs- und Produktionsprozess heraus kommen. Hier müssen Politik und Wirtschaft über Standardisierung und Regulierung hinaus zusammenarbeiten.

Unsichere IoT-Geräte schaden nicht nur dem Eigentürmer selbst, da sie laut BSI häufig für Attacken genutzt werden. Wer sollte in diesem Fall perspektivisch haften?
Hersteller müssen sich um Security-by-Design und Security-by-Default, d.h. die Standardeinstellungen entsprechen den höchsten Sicherheitsstandards, kümmern. Die Kunden und Anwender sind für den zweckgemäßen, sicheren Betrieb der IoT-Geräte verantwortlich. Diesen Zusammenhang und gegenseitige Wechselbeziehung wird auch das Internet der Dinge nicht auflösen. Das heißt, eine einseitige und allein verantwortliche Haftungszuschreibung kann es nicht geben. Wichtiger wird jedoch, dass Hersteller die Qualität, Sicherheit und Vertrauenswürdigkeit ihrer eigenen Drittprodukte, die sie selbst vor allem im Softwarebereich einsetzen, intensiv abfragen. Jeder Zulieferer und Hersteller sollte künftig in der Lage sein, klare Angaben zu seinen Security-Maßnahmen im Produkt und Prozess geben zu können.

Ebenfalls bedenklich sind aus Sicht des BSI Mobilgeräte, deren Betriebssystem oder deren Apps nicht auf aktuellem Stand sind. Sehen Sie hier Regelungsbedarf für Anbieter solcher Software?
Zunächst brauchen wir mehr Transparenz. Anbieter sollten klar angeben, ob und wenn ja wie lange die Software auf dem Gerät mit Security-Updates versorgt wird. Zweitens müssen wir auch die Hardware berücksichtigen. Noch zu viele IoT-Geräte sind allein von der Hardware nicht fähig, Updates (längerfristig) aufzunehmen. Hier müssen Lösungen gefunden werden, wie angesichts der z.T. extrem kurzen Produktzyklen von wenigen Monaten stets der Stand der Technik abgebildet werden kann. Das ist jedoch eine Aufgabe für Unternehmensprozesse und die Standardisierung – und nicht für die Regulierung. Drittens sollte es das gemeinsame Ziel von Politik und Industrie sein, eine Art Basis-Cybersicherheit für alle vernetzbaren IoT-Geräte zu definieren. Künftig gilt: Keine Vernetzung ohne Security-Maßnahmen. Aufgabe der Politik ist es hierbei, faire Rahmenbedingungen für alle Beteiligten, wie bspw. Hersteller und Importeure, zu gewährleisten.