IT-Sicherheitskongress: BSI-Chef befürwortet neue Haftungsregeln

Inhaltsverzeichnis

Steuert die weitgehend unregulierte Verbreitung des Internet Of Things in eine Katastrophe oder nehmen Staat und Wirtschaft die Sicherheit ernst genug? In einer kontroversen Diskussionsrunde auf dem IT-Sicherheitskongress in Bonn lieferten Experten eine kritische Lageeinschätzung – insbesondere der Staat müsse eingreifen.

Steht die IoT-Katastrophe bevor?

Im Hinblick auf die WannaCry-Attacke und der immer größeren Verbreitung billiger Netzgeräte zeichnete heisec-Chefredakteur Jürgen Schmidt in Bonn ein düsteres Bild: "Wir steuern mit dem Internet of Things sehenden Auges auf eine Katastrophe zu, wie wir sie noch nicht gesehen haben." So biete der derzeitige Markt weder für Verbraucher noch für Hersteller Anreize, sich nachhaltig um die Sicherheit zu kümmern. Dies könne auch Menschenleben kosten.

Grund sei ein systematisches Marktversagen: Hersteller netzfähiger Geräte seien nur an Kostenersparnis interessiert und kümmerten sich nicht um die Standards der IT-Sicherheit oder Updates. Auch für die Verbraucher bestehe derzeit wenig Anlass, sich um Probleme wie das Mirai-Botnetz kümmern, das Millionen vernetzter Geräte wie Webcams befallen hatte. "Was interessiert es mich, wenn mein Videorekorder das Onlinebanking in Kanada lahmlegt?", fragte Schmidt.

Cyber-CE-Siegel

Um das Dilemma zu lösen, müsse der Staat eingreifen. So plädierte Schmidt dafür, Hersteller für die Schäden durch ihre Produkte haften zu lassen. Ein geeignetes Mittel könne ein Sicherheits-Siegel ähnlich dem CE-Siegel sein, mit dem Hersteller garantieren, wesentliche Sicherheitsstandards einzuhalten und Updates für eine gewisse Geräte-Lebensdauer zu liefern.

Arne Schönbohm, Chef des Bundesamtes für Sicherheit in der Informationstechnik, erklärte daraufhin: "Ich bestärke die Politik, den Weg zu gehen, den Sie gerade geschildert haben." Allerdings sei seine Behörde nur mit der Umsetzung der Gesetze beauftragt und könne keine eigenen Regeln aufstellen.

Klage gegen Elektromarkt

Innerhalb seiner bisherigen gesetzlichen Möglichkeiten versucht das Bundesamt, die Sicherheit im Endverbraucher-Markt zu verbessern. So hat die Behörde im Frühjahr ein Abkommen mit der Verbraucherzentrale Nordrhein-Westfalen geschlossen. Die Verbraucherschützer haben eine Elektronikmarktkette verklagt, die Geräte im Angebot hatte, die wegen veralteter Gerätesoftware nach Auffassung des BSI eine Sicherheitsgefahr darstellen, ergab die Zusammenarbeit.

Das BSI plant außerdem ein Zertifizierungsprogramm, durch das Verbraucher sichere Geräte kaufen können sollen. Anders als bei anderen BSI-Zertifikaten geht es hier allerdings um eine Selbstverpflichtung: Die Hersteller reichen ihre Spezifikationen und Software nicht ein, sondern sollen lediglich eine Selbstverspflichtung unterschreiben. Diese Pläne befinden sich allerdings noch in einem Frühstadium. Insgesamt zeichnete Schönbom aber ein positiveres Bild von der IT-Sicherheit – gerade in Deutschland seien Behörden und Wirtschaft vergleichsweise gut aufgestellt. Zudem plädierte der Behördenchef für Geduld. So sei derzeit nicht einmal der zweite Korb des IT-Sicherheitsgesetzes verabschiedet.

Cyber-Pazifismus

Auf Kritik an den Aufrüstungsplänen der Bundesregierung im Internet gab sich Schönbohm als Cyber-Pazifist. Er versprach, dass seine Behörde keine Sicherheitslücken zurückhalten werde, um diese für Gegenattacken oder für Abhöraktionen auszunutzen. Allerdings gilt dies nicht für alle Bundesbehörden. So betonte Schönbohm, dass er den Leiter der in München ansässigen Entschlüsselungsbehörde Zitis bis heute nicht gesprochen habe.

Gegenüber staatlichen Eingriffen ins Internet zeigte sich auch Microsoft auf der Bonner Konferenz sehr kritisch. Renate Radon von Microsoft Deutschland plädierte für eine Art Digitaler Genfer Konvention, die auch auf dem G20-Treffen in Hamburg thematisiert werden soll. Insbesondere dass der US-Geheimdienst eine schwere Sicherheitslücke erst geheimhielt und dann entweichen ließ, ist für Radon kein haltbarer Zustand.

Auf die Kritik, dass Microsoft erst nach der verheerenden WannaCry-Attacke mit einem Patch für Windows XP reagiert hatte, entgegenete Radon, dass Microsoft das Betriebssystem über ein Jahrzehnt aktualisiert habe. "Zehn Jahre sind bei der heute vorherrschenden Innovationsgeschwindigkeit ein guter Wert."

Auf Ausfälle gefasst machen

Angesichts der neuen Herausforderungen des Internet Of Things plädierte Professor Max Mühlhäuser von der TU Darmstadt für mehrere Paradigmenwechsel. So sei es angesichts der schieren Masse von vernetzten Geräten, die heute bereits online seien, nicht mehr realistisch, den Sicherheitszustand manuell vom Anwender kontrollieren zu lassen. Deshalb müssten Schwarm-Ansätze zur Verteidigung gegen IT-Angriffe dringend entwickelt werden.

Die Bemühungen, IT-Einbrüche zu verhindern seien zwar notwendig, mittlerweile zum Scheitern verurteilt. Deshalb plädierte der Sicherheitsforscher dafür, sich darauf einzustellen, dass manche Attacken gelingen werden. "Wenn das Smart-Grid eine Sicherheit von 99,9 Prozent hat und es jeden Tag Tausende Angriffe gibt, können Sie sich ausrechnen, wann ein großer Ausfall kommt", erklärte Mühlhäuser.

Deshalb müssten für die zu erwartenden Notfälle bessere Notfallpläne entwickelt werden. So sei bisher nur sichergestellt, dass bei einem Stromausfall Institutionen wie Krankenhäuser noch mit Energie versorgt werden. Hier seien viel differenzierte Pläne notwendig, um großflächige Ausfälle im Fall erfolgreicher IT-Angriffe zu verhindern. (anw)