„Die Verantwortung muss klar sein“

/, News/„Die Verantwortung muss klar sein“

„Die Verantwortung muss klar sein“

Jan-Peter Kleinhans leitet das Projekt „IT-Sicherheit im Internet der Dinge“ bei der Stiftung Neue Verantwortung (SNV). Er hat unlängst mit einem entsprechenden Policy Brief auf sich aufmerksam gemacht. Die IISW sprach mit Kleinhans am Sitz der SNV in Berlin.

IISW: Herr Kleinhans, wieso kümmert sich die SNV um die Sicherheit bei IoT (Internet of Things) und wer ist dafür eigentlich verantwortlich?

Kleinhans: Als Wirtschaftsinformatiker und Kommunikationswissenschaftler lag mir das Thema am Herzen, da die Sicherheit in der Digitalisierung – und hier vor allem bei Konsumgütern – ein wesentliches Zukunftsthema ist. Es entscheidet auch darüber, inwieweit wir als Gesellschaft uns neuen Technologien zuwenden oder doch lieber den Abstand halten. Und ja, die Frage nach der Verantwortung ist tatsächlich eine, die bislang unbeantwortet blieb.

IISW: Können Sie das näher erläutern?

Kleinhans: Es gibt derzeit keine verlässlichen Sicherheitsstandards und Verantwortlichkeiten, wenn ein neues digitales, vernetztes Produkt auf den Markt kommt. Der Kunde hat keine Chance. Nehmen Sie nur die aktuellen Smartphones. Sie finden sicher überall Informationen über Ladezeiten und die Performance des Displays. Aber ob diese Produkte sicher sind, dazu finden Sie nichts. Und die Verantwortung wird auf den Kunden durch die Allgemeinen Geschäftsbedingungen abgewälzt. Dieser kann aber schon bei seinem Handy gar nicht überblicken, was er da akzeptiert. Und stellen Sie sich nun ein smart vernetztes Haus vor, nicht mit einem, sondern mit Dutzenden von vernetzten Geräten. Dem Nutzer die alleinige Verantwortung zu übertragen ist gar nicht möglich. Dabei mangelt es nicht an sicheren Technologien, sondern an ökonomischen Anreizen, diese von Seiten der Hersteller auch wirklich einzusetzen. Der Staat und die Behörden haben es bislang versäumt, hier motivierend einzugreifen.

IISW: Was muss der Staat tun?

Kleinhans: Man kann entweder positiv-motivierend wirken oder restriktiv. Positiv wären zum Beispiel, Instrumente wie staatliche Förderungen, z. B. Sicherheitsaudits von Open-Source-Software oder steuerliche Vergünstigungen für Unternehmen, die Bug-Bounty-Programme aufsetzen. Man könnte aber auch über neue Regelungen zur Produkthaftung für Hersteller oder die Einführung verpflichtender Mindeststandards nachdenken. Im digitalen Bereich haben weder staatliche Behörden, noch Standardisierungsorganisationen hinreichend Erfahrung. Sie sind zwar geübt darin, technische, physische Produkte zu bewerten. Bei stark softwareabhängigen Produkten können Sie aber gar nicht mehr anhand fixer physischer Merkmale festlegen, ob Sicherheit gegeben ist. Jeder festgelegte Standard ist nur eine Momentaufnahme in einer sich permanent wandelnden digitalen Welt. Die Software kann schon bei Auslieferung veraltet und gefährlich sein. Wer trägt aber hier die Verantwortung? Bislang gibt es keine Verpflichtung der Hersteller, Produkte mit der jeweils aktuellen Software auszuliefern und während eines festgelegten Garantiezeitraums automatisch für Updates zu sorgen. Das brauchen wir aber. Beim IoT geht es schließlich nicht mehr darum, ob jemand meinen WhatsApp-Chat mitliest. Wer trägt zum Beispiel die Verantwortung, wenn der Smart-Lock meines Hauses durch eine Sicherheitslücke von Verbrechern aus großer Distanz geöffnet werden kann und sie sich dadurch Zutritt in mein vernetztes Haus schaffen können?

IISW: Nun ist Digitalisierung ja kein Zukunftsszenario und vernetzte Produkte gibt es heute schon reihenweise. Kommen Sie mit Ihren Vorschlägen da nicht ein bisschen spät? Außerdem scheint es die Masse der Kunden gar nicht zu interessieren, ob ein Produkt sicher ist oder ihre Daten geschützt sind. 

Kleinhans: Das sehe ich anders. Klar nutzen Millionen von Menschen zum Beispiel Facebook. Und viele wissen und akzeptieren, dass da alles von ihnen analysiert und getrackt wird. Aber sie nutzen Facebook nicht deswegen, weil ihnen Sicherheit und Privatsphäre egal sind, sondern weil sie keine Alternative haben. Sie haben die Wahl, Facebook zu akzeptieren, um darüber mit weit entfernten Verwandten am anderen Ende der Welt in Kontakt bleiben zu können – oder sie kommunizieren eben gar nicht. Sie kaufen ein Handy und akzeptieren die AGBs oder sie können das Smartphone eben nicht nutzen. Das ist kein fairer Deal. Wenn Kunden mehr Informationen bekommen zur Sicherheit ihrer digitalen Produkte und ihnen Alternativen geboten werden, dann werden sie diese auch nutzen.
Wir müssen dabei für zwei unterschiedliche Dinge sorgen: Erstens muss Transparenz herrschen über Sicherheitsfeatures und Software-Qualität – das fehlt derzeit am Markt. Zweitens fehlt eine funktionierende Marktüberwachung, die überprüft, inwiefern sich Hersteller an festgelegte Standards halten und, bei zertifizierten Geräten, den Verpflichtungen der Zertifizierung nachkommen.

IISW: Marktüberwachung ist so ein Thema. Egal in welchen Sicherheitsbereich man schaut, der Staat und seine Organe sind ständig überfordert. Ob Polizei, Militär, Lebensmittelkontrolle, Finanz- und Ordnungsämter … überall fehlt es an Know-how und Kapazitäten. Wie sollen den Behörden nun auch noch die Digitalisierung überwachen?

Kleinhans: Das ist in der Tat eine erhebliche Schwachstelle. Der Staat kann sich nicht immer mehr Sicherheitsaufgaben aufbürden, er kommt ja mit den vorhandenen schon nicht zurecht. Wie schon beschrieben, sollte der Staat keine technischen Standards vorgeben, da diese Standards stetig altern. Genau aus diesem Grund hat sich die EU vor einer Dekade mit dem „New Legislative Framework“ dazu entschieden nur noch Regulierungsziele zu definieren und den Standardisierungsorganisationen die Entwicklung entsprechender technischer Standards zu übertragen. Die Standards müssen mindestens auf europäischer Ebene gesetzt werden. Sobald man diese Standards und die entsprechende Zertifizierung hat, kann man dann hergehen und eine Datenbank einrichten, mit deren Hilfe Kunden in die Lage versetzt werden, die Einhaltung dieser Standards selbst überprüfen zu können. Zum Beispiel durch einen einheitlichen QR-Code auf jedem digitalen Gerät. Dieser kann dann zu einer zentralen Datenbank leiten, auf der die aktuellen Sicherheitsanforderungen an das Gerät transparent dargestellt sind. So bekommen wir eine Balance hin, bei der der Staat die grundsätzlichen Regeln vorgibt, die gesamte Zivilgesellschaft aber auch in der Lage ist, die Einhaltung selbst zu überprüfen und nötigenfalls einzuklagen. Die Musterfeststellungsklage ist ein solches Instrument.

 

Über Jan-Peter Kleinhans:

Jan-Peter Kleinhans ist Leiter des Projekts „IT-Sicherheit im Internet der Dinge“ und fragt sich, wie eine nachhaltige und effektive IT-Sicherheitspolitik aussehen müsste. Zuvor arbeitete er an verschiedenen Themen der staatlichen Überwachung (parlamentarische Kontrolle der Geheimdienste, Transparenz bei polizeilichen Überwachungsmaßnahmen). Außerdem ist er Projektbeirat des Projekts „Trusted Computing – Aufbau von Zertifizierungsinfrastrukturen zur Sicherung von Marktzutritt und Wettbewerb“ des Bundesministeriums für Wirtschaft und Energie (BMWi). Vor seiner Zeit bei der SNV arbeitete er 2013 bei netzpolitik.org. Kleinhans studierte Kommunikationswissenschaften in Uppsala, Schweden und Wirtschaftsinformatik in Darmstadt.

2018-09-18T15:05:37+00:0017. September 2018|Digitale Sicherheit, News|