IT-Sicherheit in Deutschland

Das Thema IT-Sicherheit in Deutschland ist nach der Folge vom 08. Oktober 2022 des ZDF Magazin Royale wieder im Gespräch.

Hierbei stelle ich mir im Kern fünf Fragen:

  • Sollte es eine gesetzliche Pflicht in der EU oder in Deutschland geben, die Hersteller von Router, Smartphones, Tablets, PCs verpflichtet mindestens fünf Jahre nach Ende des Supports Sicherheitsupdates bereitzustellen, um die Sicherheit der Geräte zu gewährleisten?

  • Sollte ein Bundesgesetz (oder ein EU-Gesetz) regeln, dass Lösegeld im Falle eines Hackerangriffs zahlen unter Strafe stellt?

  • Sollte Bundesamt für Sicherheit in der Informationstechnik (BSI) von einer Bundesoberbehörde im Geschäftsbereich des Bundesministeriums des Innern und für Heimat in eine oberste Bundesbehörde überführt werden (wie das 2016 beim BfDI passiert ist), was öffentlichen Stellen von Bund und Unternehmen der kritischen Infrastruktur im Ernstfall rechtswirksame Weisungen im Bereich der IT-Sicherheit erteilen kann?

  • Sollte es hierbei eine dezentrale Struktur geben für die Länder (=> Ein Bundesgesetz regelt, dass es in jedem Bundesland eine oberste Landesbehörde geben muss, die rechtswirksame Weisungen im Bereich der IT-Sicherheit erteilen darf, im Ernstfall) oder soll das BSI entsprechend für Bund und Land zuständig sein?

  • Sollte es eine gesetzliche Pflicht geben, Sicherheitslücken im Responsible Disclouse As soon as possible (ASAP) schließen zu müssen.

Entweder das, oder die Verpflichtung, die verwendete Firmware auf Open Source umzustellen, daher den Kunden zu ermöglichen, notwendige Sicherheitsupdates aus der Community zu beziehen.

Alles andere ist nicht nur wegen der IT-Sicherheit, sondern auch im Hinblick auf die Nachhaltigkeit sehr problematisch. Diese Wegwerf-Mentalität („Nach 2 Jahren keine Updates mehr, also muss ein neues Gerät gekauft werden!“) darf sich jedenfalls nicht durchsetzen. Daher: Auch wenn es eine fünfjährige Pflicht gäbe, nach Ende des Supports noch Sicherheitsupdates nachzuliefern, sollte danach dennoch eine Verpflichtung zur Offenlegung der Firmware erfolgen, um eine Weiternutzung der Geräte „in Eigenregie“ zu ermöglichen.

Ich halte es für problematisch, das Opfer, dass nur glimpflich aus der Sache herauskommen will, dafür zu bestrafen. Letztlich hat das Opfer ja nicht den Vorsatz, den Täter zu unterstützen, sondern es ist nur die Konsequenz der eigenen Schadensminimierung.

Zur Struktur und Kompetenz von BSI und entsprechenden Landesbehörden… hmm, grundsätzlich ist es wünschenswert, Kompetenz auf Bundes- und Landesebene zu bündeln und nach „unten“ wirken zu lassen, aber es wird sicherlich auch Gründe dagegen geben, wobei mir spontan keine einfallen. Was spricht letztlich dagegen?

Die ergibt sich eigentlich schon indirekt, leider aber ohne die erwünschte Wirkung. Daher: Wenn eine Schwachstelle einem Unternehmen im Rahmen einer Responsible Disclosure gemeldet wurde kann das Unternehmen jedenfalls nicht mehr behaupten, man hätte von der Sicherheitslücke nichts gewusst. Wenn dann wegen Nichthandelns ein Schaden entsteht ist das in jedem Fall mindestens eine grob fahrlässige Pflichtverletzung mit allen entsprechenden (zivil-)rechtlichen Konsequenzen. Das Problem ist natürlich: Der einklagbare Schaden bei z.B. durch eine Sicherheitslücke erbeuteter Accountdaten ist für den Einzelnen so gering, dass sich keine Klage lohnt. Und Sammelklagen in dieser Form gibt es nicht.

In diesem Sinne würde ein Gesetz, welches eine ausdrückliche Pflicht konstruiert, gemeldete Sicherheitslücken zeitnah zu beheben (oder das System abzuschalten, bis die Sicherheitslücke behoben ist), dazu führen, dass die Verwaltung empfindliche Bußgelder verhängen könnte, auch wenn niemand zu Schaden kommt - das würde möglicherweise etwas mehr Druck erzeugen, Sicherheitslücken auch wirklich zu schließen (statt zu hoffen, dass „schon alles gut gehen wird oder zumindest kein sinnvoll einzuklagender Schaden entsteht…“).