Das BSI klagt in seinem aktuellen Sicherheitsbericht, dass IT-Sicherheit bei IoT-Geräten keine oder nur eine untergeordnete Rolle spielt. Was muss die Politik gegen die Gefahr aus den vernetzten Alltagsgeräten tun?
Als im Jahr 2015 das IT-Sicherheitsgesetz in Kraft trat, war das der richtige Schritt, um das Sicherheitsniveau für Betreiber kritischer Infrastrukturen anzuheben. Mit den darauffolgenden zwei KRITIS-Verordnungen wurden die Kriterien an Betreiber aus sieben KRITIS-Sektoren definiert. Einigen Kritikern der Verordnungen gingen die Vorgaben nicht weit genug, während manchen betroffenen Unternehmen die Umsetzung der Vorgaben schwer zu schaffen machte.
Nur Wenigen ist jedoch aufgefallen, dass mit dem IT-Sicherheitsgesetz gleich mehrere Gesetze angepasst wurden: BSIG, AtomG, EnWG, TKG und TMG. Warum also das IT-Sicherheitsgesetz nicht weiter fassen und die IoT-Industrie (Hardware, Software) fokussieren? Alternativ wäre ein Digitalisierungsgesetz (nicht zu verwechseln mit dem „Gesetz zur Digitalisierung der Energiewende“), in dem die Regeln für Produkte digitaler Nutzung aufgestellt werden, denkbar
Unsichere IoT-Geräte schaden nicht nur dem Eigentürmer selbst, da sie laut BSI häufig für Attacken genutzt werden. Wer sollte in diesem Fall perspektivisch haften?
In Deutschland gilt das Verursacherprinzip. Das bedeutet, wer einen Schaden verursacht, muss dafür haften. In der digitalen Welt ist es jedoch schwierig, den eigentlichen Verursacher festzustellen. Noch schwieriger ist es, einen solchen dingfest zu machen, insbesondere, wenn er einen Angriff aus einem entfernten Ausland durchführt. Daher könnte es in der Zukunft für Versicherungen ein lukratives Geschäft werden, die Unternehmen gegen Schäden durch Hacker zu versichern. Dass dies nicht ohne Weiteres geht und auch die Versicherungen die Hürden hinreichend hoch stellen werden, scheint auf der Hand zu liegen.
Es sollte jedoch auch überlegt werden, was getan werden kann, um die IoT-Geräte insgesamt sicherer zu machen. Da die Hersteller nach dem Produkthaftungsgesetz für ihre Produkte haften, sind sie auch verpflichtet, festgestellte Fehler zu beheben. Das gilt auch für Lücken in der IT-Sicherheit. Denkbar wäre eine Prüfung der Geräte im Hinblick auf die IT-Sicherheit. In der Presse wird diesbezüglich von einem Produktzertifikat gesprochen. Nur dürfen solche Zertifikate nicht einmalig vergeben werden, sondern müssten eine Verpflichtung zur wiederkehrenden Untersuchung während des Betriebs enthalten.
Ebenfalls bedenklich sind aus Sicht des BSI Mobilgeräte, deren Betriebssystem oder deren Apps nicht auf aktuellem Stand sind. Sehen Sie hier Regelungsbedarf für Anbieter solcher Software?
Die Problematik ist aus meiner Sicht mehrschichtig. Für Mobilgeräte mit aktuellem Betriebssystem werden während der regulären Nutzungsdauer Sicherheitspatches geliefert. Ein Vergleich der Bereitstellungsdauer von Sicherheitspatches zeigt enorme Unterschiede zwischen den einzelnen Herstellern. Teilweise vergehen mehrere Monate bis eine bekannte Sicherheitslücke geschlossen wird. Während dieser Zeit ist das System ungeschützt. Aus meiner Sicht sollte die maximale Dauer für die Bereitstellung von Sicherheitspatches reguliert werden.
Darüber hinaus unterliegen die Mobilgeräte einer künstlichen Alterung, indem immer wieder neue Geräte mit neuen Betriebssystemen (oder Versionen) auf den Markt gebracht werden. Mobilgeräte, die länger im Gebrauch sind, fallen aus dem Support. Hierfür werden keine Aktualisierungen geliefert. Aus Sicht der Hersteller ist das auch verständlich. Die Pflege von mehreren Versionen von Betriebssystemen und Bereitstellung von Patches ist kostspielig. Daher haben die Hersteller kein Interesse an solchen, für den Anwender kostenlosen, Leistungen. Hier sollte die Supportdauer reguliert werden.
Einen weiteren Aspekt bilden die Apps, die jeder Anwender einfach aus dem App-Store herunterladen und auf seinem Mobilgerät installieren kann. Solche Apps gelangen kaum kontrolliert in die App-Stores. Oftmals entstehen die Apps aus einer Idee, die nur den funktionalen Nutzen fokussiert. Security by design und Privacy by design sind unbekannt oder gar störend. Aus meiner Sicht müssten Regeln hierfür definiert und überwacht werden.
Aber es bleibt immer noch der Anwender als letzte Instanz. Er ist im Zweifel derjenige, der die Installation eines Sicherheitspatches ablehnen kann. Eine Regulierung an dieser Stelle würde zu weit gehen. Allerdings sollten meiner Ansicht nach Mechanismen geschaffen werden, die es ermöglichen, notwendige Sicherheitspatches automatisch zu installieren oder, sofern keine solche Installation erfolgte, die bedrohte Funktionalität automatisch zu deaktivieren.
Bedenklich sind laut dem Bericht auch unsichere Verbindungen in öffentlichen Netzen. Wie sollten öffentliche Hotspots künftig besser gesichert werden?
Für den Schutz öffentlicher Hotspots müssen die Anbieter geeignete Maßnahmen zum Schutz der angebotenen Infrastruktur sicherstellen. Dazu sind sie auch heute schon verpflichtet.
Die Problematik besteht jedoch bei den oft ahnungslosen Nutzern öffentlicher Netze, die ihre Daten anderen Nutzern im gleichen Netz offenlegen. Um sie zu schützen wären VPN-Produkte denkbar, die eine automatische 1-1 Verschlüsselung mit der Einwahl in öffentliche Netze sicherstellen. Hier sind die Hersteller von Sicherheitsprodukten gefragt, kreative Lösungen anzubieten.