Menue-Button
← FACHDEBATTE Interview

Verursacherprinzip ohne Relevanz

Machen jetzt die Versicherungen mit Hackerpolicen den großen Reibach?

Tomasz Lawicki, Senior Consultant Schwerhoff Consultants GmbH Quelle: Schwerhoff Consultants GmbH Tomasz Lawicki Senior Consultant Schwerhoff Consultants 07.12.2017
INITIATOR DIESER FACHDEBATTE
Uwe Schimunek
Freier Journalist
Meinungsbarometer.info
ZUR FACHDEBATTE

In Deutschland gilt das Verursacherprinzip. Das bedeutet, wer einen Schaden verursacht, muss dafür haften. "In der digitalen Welt ist es jedoch schwierig, den eigentlichen Verursacher festzustellen. Noch schwieriger ist es, einen solchen dingfest zu machen, insbesondere, wenn er einen Angriff aus einem entfernten Ausland durchführt", so Tomasz Lawicki von der Schwerhoff Consultants. "Daher könnte es in der Zukunft für Versicherungen ein lukratives Geschäft werden, die Unternehmen gegen Schäden durch Hacker zu versichern."






Das BSI klagt in seinem aktuellen Sicherheitsbericht, dass IT-Sicherheit bei IoT-Geräten keine oder nur eine untergeordnete Rolle spielt. Was muss die Politik gegen die Gefahr aus den vernetzten Alltagsgeräten tun?
Als im Jahr 2015 das IT-Sicherheitsgesetz in Kraft trat, war das der richtige Schritt, um das Sicherheitsniveau für Betreiber kritischer Infrastrukturen anzuheben. Mit den darauffolgenden zwei KRITIS-Verordnungen wurden die Kriterien an Betreiber aus sieben KRITIS-Sektoren definiert. Einigen Kritikern der Verordnungen gingen die Vorgaben nicht weit genug, während manchen betroffenen Unternehmen die Umsetzung der Vorgaben schwer zu schaffen machte.

Nur Wenigen ist jedoch aufgefallen, dass mit dem IT-Sicherheitsgesetz gleich mehrere Gesetze angepasst wurden: BSIG, AtomG, EnWG, TKG und TMG. Warum also das IT-Sicherheitsgesetz nicht weiter fassen und die IoT-Industrie (Hardware, Software) fokussieren? Alternativ wäre ein Digitalisierungsgesetz (nicht zu verwechseln mit dem „Gesetz zur Digitalisierung der Energiewende“), in dem die Regeln für Produkte digitaler Nutzung aufgestellt werden, denkbar

Unsichere IoT-Geräte schaden nicht nur dem Eigentürmer selbst, da sie laut BSI häufig für Attacken genutzt werden. Wer sollte in diesem Fall perspektivisch haften?
In Deutschland gilt das Verursacherprinzip. Das bedeutet, wer einen Schaden verursacht, muss dafür haften. In der digitalen Welt ist es jedoch schwierig, den eigentlichen Verursacher festzustellen. Noch schwieriger ist es, einen solchen dingfest zu machen, insbesondere, wenn er einen Angriff aus einem entfernten Ausland durchführt. Daher könnte es in der Zukunft für Versicherungen ein lukratives Geschäft werden, die Unternehmen gegen Schäden durch Hacker zu versichern. Dass dies nicht ohne Weiteres geht und auch die Versicherungen die Hürden hinreichend hoch stellen werden, scheint auf der Hand zu liegen.

Es sollte jedoch auch überlegt werden, was getan werden kann, um die IoT-Geräte insgesamt sicherer zu machen. Da die Hersteller nach dem Produkthaftungsgesetz für ihre Produkte haften, sind sie auch verpflichtet, festgestellte Fehler zu beheben. Das gilt auch für Lücken in der IT-Sicherheit. Denkbar wäre eine Prüfung der Geräte im Hinblick auf die IT-Sicherheit. In der Presse wird diesbezüglich von einem Produktzertifikat gesprochen. Nur dürfen solche Zertifikate nicht einmalig vergeben werden, sondern müssten eine Verpflichtung zur wiederkehrenden Untersuchung während des Betriebs enthalten.

Ebenfalls bedenklich sind aus Sicht des BSI Mobilgeräte, deren Betriebssystem oder deren Apps nicht auf aktuellem Stand sind. Sehen Sie hier Regelungsbedarf für Anbieter solcher Software?
Die Problematik ist aus meiner Sicht mehrschichtig. Für Mobilgeräte mit aktuellem Betriebssystem werden während der regulären Nutzungsdauer Sicherheitspatches geliefert. Ein Vergleich der Bereitstellungsdauer von Sicherheitspatches zeigt enorme Unterschiede zwischen den einzelnen Herstellern. Teilweise vergehen mehrere Monate bis eine bekannte Sicherheitslücke geschlossen wird. Während dieser Zeit ist das System ungeschützt. Aus meiner Sicht sollte die maximale Dauer für die Bereitstellung von Sicherheitspatches reguliert werden.

Darüber hinaus unterliegen die Mobilgeräte einer künstlichen Alterung, indem immer wieder neue Geräte mit neuen Betriebssystemen (oder Versionen) auf den Markt gebracht werden. Mobilgeräte, die länger im Gebrauch sind, fallen aus dem Support. Hierfür werden keine Aktualisierungen geliefert. Aus Sicht der Hersteller ist das auch verständlich. Die Pflege von mehreren Versionen von Betriebssystemen und Bereitstellung von Patches ist kostspielig. Daher haben die Hersteller kein Interesse an solchen, für den Anwender kostenlosen, Leistungen. Hier sollte die Supportdauer reguliert werden.

Einen weiteren Aspekt bilden die Apps, die jeder Anwender einfach aus dem App-Store herunterladen und auf seinem Mobilgerät installieren kann. Solche Apps gelangen kaum kontrolliert in die App-Stores. Oftmals entstehen die Apps aus einer Idee, die nur den funktionalen Nutzen fokussiert. Security by design und Privacy by design sind unbekannt oder gar störend. Aus meiner Sicht müssten Regeln hierfür definiert und überwacht werden.

Aber es bleibt immer noch der Anwender als letzte Instanz. Er ist im Zweifel derjenige, der die Installation eines Sicherheitspatches ablehnen kann. Eine Regulierung an dieser Stelle würde zu weit gehen. Allerdings sollten meiner Ansicht nach Mechanismen geschaffen werden, die es ermöglichen, notwendige Sicherheitspatches automatisch zu installieren oder, sofern keine solche Installation erfolgte, die bedrohte Funktionalität automatisch zu deaktivieren.

Bedenklich sind laut dem Bericht auch unsichere Verbindungen in öffentlichen Netzen. Wie sollten öffentliche Hotspots künftig besser gesichert werden?
Für den Schutz öffentlicher Hotspots müssen die Anbieter geeignete Maßnahmen zum Schutz der angebotenen Infrastruktur sicherstellen. Dazu sind sie auch heute schon verpflichtet.

Die Problematik besteht jedoch bei den oft ahnungslosen Nutzern öffentlicher Netze, die ihre Daten anderen Nutzern im gleichen Netz offenlegen. Um sie zu schützen wären VPN-Produkte denkbar, die eine automatische 1-1 Verschlüsselung mit der Einwahl in öffentliche Netze sicherstellen. Hier sind die Hersteller von Sicherheitsprodukten gefragt, kreative Lösungen anzubieten.

UNSER NEWSLETTER

Newsletter bestellen JETZT BESTELLEN

■■■ WEITERE BEITRÄGE DIESER FACHDEBATTE

EIN DEBATTENBEITRAG VON
Marion Steiner
Sachverständige
Bundesfachverband der IT-Sachverständigen und -Gutachter

Marion Steiner, Sachverständige, BISG - Bundesfachverband der IT-Sachverständigen und -Gutachter e.V.
IT-Sicherheit | Internet der Dinge

Das Netz muss benutzbar für Laien bleiben

Wer für die Sicherheit haften sollte - und was ■ ■ ■

EIN DEBATTENBEITRAG VON
Marion Steiner
Sachverständige
Bundesfachverband der IT-Sachverständigen und -Gutachter

EIN DEBATTENBEITRAG VON
Prof. Dr. Michael Backes
Forscher
CISPA — Center for IT-Security

Prof. Dr. Michael Backes, Universität des Saarlandes, CISPA — Center for IT-Security
IT-Sicherheit | Internet der Dinge

Herstellerzwang gegen Sicherheitslücken?

Forscher fordert einheitliche ■ ■ ■

EIN DEBATTENBEITRAG VON
Prof. Dr. Michael Backes
Forscher
CISPA — Center for IT-Security

EIN DEBATTENBEITRAG VON
Julian Gallasch
Referent
Verbraucherzentrale Bundesverband

Julian Gallasch, Referent Team Recht und Handel, Geschäftsbereich Verbraucherpolitik, Verbraucherzentrale Bundesverband e.V.
IT-Sicherheit | Internet der Dinge

Cyberangriff mit vernetzten Kühlschränken?

Bundesverbraucherzentrale fordert von Politik ■ ■ ■

EIN DEBATTENBEITRAG VON
Julian Gallasch
Referent
Verbraucherzentrale Bundesverband

ZUR FACHDEBATTE

ÜBER UNSERE FACHDEBATTEN

Meinungsbarometer.info ist die Plattform für Fachdebatten in der digitalen Welt. Unsere Fachdebatten vernetzen Meinungen, Wissen & Köpfe und richten sich an Entscheider auf allen Fach- und Führungsebenen. Unsere Fachdebatten vereinen die hellsten Köpfe, die sich in herausragender Weise mit den drängendsten Fragen unserer Zeit auseinandersetzen.

überparteilich, branchenübergreifend, interdisziplinär

Unsere Fachdebatten fördern Wissensaustausch, Meinungsbildung sowie Entscheidungsfindung in Politik, Wirtschaft, Wissenschaft, Medien und Gesellschaft. Sie stehen für neue Erkenntnisse aus unterschiedlichen Perspektiven. Mit unseren Fachdebatten wollen wir den respektvollen Austausch von Argumenten auf Augenhöhe ermöglichen - faktenbasiert, in gegenseitiger Wertschätzung und ohne Ausklammerung kontroverser Meinungen.

kompetent, konstruktiv, reichweitenstark

Bei uns debattieren Spitzenpolitiker aus ganz Europa, Führungskräfte der Wirtschaft, namhafte Wissenschaftler, Top-Entscheider der Medienbranche, Vordenker aus allen gesellschaftlichen Bereichen sowie internationale und nationale Fachjournalisten. Wir haben bereits mehr als 600 Fachdebatten mit über 20 Millionen Teilnahmen online abgewickelt.

nachhaltig und budgetschonend

Mit unseren Fachdebatten setzen wir auf Nachhaltigkeit. Unsere Fachdebatten schonen nicht nur Umwelt und Klima, sondern auch das eigene Budget. Sie helfen, aufwendige Veranstaltungen und überflüssige Geschäftsreisen zu reduzieren – und trotzdem die angestrebten Kommunikationsziele zu erreichen.

mehr als nur ein Tweet

Unsere Fachdebatten sind mehr als nur ein flüchtiger Tweet, ein oberflächlicher Post oder ein eifriger Klick auf den Gefällt-mir-Button. Im Zeitalter von X (ehemals Twitter), Facebook & Co. und der zunehmenden Verkürzung, Verkümmerung und Verrohung von Sprache wollen wir ein Zeichen setzen für die Entwicklung einer neuen Debattenkultur im Internet. Wir wollen das gesamte Potential von Sprache nutzen, verständlich und respektvoll miteinander zu kommunizieren.