Hallo liebe Lage,
zunächst mal fand ich sehr gut, dass ihr das Thema aufgegriffen habt und fand auch eure Kollegin Dr. Alexandra Paulus sehr gut und habe sie gerne gehört.
Was mich beim Hören des Kapitels aber immer wieder stutzig gemacht hat ist die Verknüpfung zwischen der neuen EU Richtlinie zur Produkthaftung (bzw dessen Umsetzung in nationales Recht) und der IT-Sicherheit. Auch obwohl Dr. Alexandra Paulus dem inhaltich auch widersprochen hat.
Disclaimer: Ich komme aus der IT-Sicherheit, bin kein Jurist und habe auch keine juristische Erfahrung, habe mich aber beruflich mit dem Cyber Resilience Act (CRA) beschäftigt.
Meiner Einschätzung nach hat die Produkthaftung rechtlich doch nur indirekt mit der IT-Sicherheit zu tun. Und zwar insoweit, dass Hersteller ein Produkt nicht komplett befallen von Sicherheitslücken auf den Markt bringen wollen um nicht von Schadensansprüchen überrollt zu werden. Aber konkrete Sicherheitsstandards werden (und vorallem: sollen) damit garnicht eingeführt werden. Das passiert im CRA, wie auch Dr. Paulus an 1-2 Stellen richtig sagt.
Von euch beiden, kommt aber immer wieder die Verknüpfung Produkthaftung und IT-Sicherheit. Dabei ist das Ziel der EU, so wie ich die Richtlinie (EU 2024/2853) lese, „einfach“ nur die bestehende endlich mal in die Gegenward zu holen. Die bisherige stammt nämlich aus dem Jahre 1985 (und wurde 1989 in deutsches Recht umgesetzt). Damals gab es kein Internet, keine Software wie heutzutage, und quasi keine Schadprogramme.
Diese eingestaubte Richtlinie wird jetzt also endlich auch um Software Haftung ergänzt, dass Privatkunden endlich auch mal einen rechtlichen Anspruch auf Schadensersatz haben, wenn Microsoft Word abstürtzt und die Dissertation dabei löscht. Mal so als Beispiel.
Mir kommt folgende Analogie in den Sinn: Der Schadenersatzanspruch den ich im Schadenfall gegen den Hersteller meines PKW geltend machen könnte, ersetzt im Straßenverkehr auch nicht die Notwendigkeit einer regelmäßigen Hauptuntersuchung aller PKW.
Diese Hauptuntersuchung (auch wenn es natürlich anders funktioniert) ist der CRA und wie Dr. Paulus auch genau so sagt, das unterschätzte Gesetz für die IT-Sicherheit. Und ich muss sagen, auch von euch in dem Kapitel unterschätzt, da es so wenig Raum im Kapitel bekommt.
Ich würde auch fast sagen, dass der CRA bei euch noch zu zahnlos dargestellt wurde: Beispielsweise wurde gesagt, dass man nur bei sehr wichtigen und kritischer Software von dritten Zertifiziert werden muss. Das ist ansich korrekt, aber das befreit nicht von der Umsetzung der Regelungen. Und bei einem gravierenden Verstoß dessen, können Strafen von bis zu €15 Mio oder 2,5% des weltweiten Jahresumsatzes verhängt werden (Siehe Artikel 64 CRA). Und zwar unabhängig von der Klassifizierung des Produkts. Das wird sicher kein Hersteller einfach so riskieren. Und zusätzlich würde er die CE-Kennzeichnung verlieren.
Zur Regelung selbst. Unternehmen werden quasi gezwungen im Entwicklungsprozess Sicherheit von anfang an Mitzudenken und darüber hinaus auch Schwachstellen über den Lebenszyklus überprüfen und Sicherheitspatches bereitstellen. Es wird minimale Angriffsfläche verlangt, sichere Standardeinstellungen und vieles mehr (Siehe Anhang I Absatz 1 und 2).
Damit liesen sich höchstwahrscheinlich auch viele der Router im Botnetz aus eurem Beispiel vermeiden, da diese meist genau das nicht hatten. Einige hatten in der Vergangenheit überall das gleiche Passwort, offene Ports oder andere nicht sichere Standardeinstellungen.