Autor: Karlheinz Strasser, langjährige Erfahrung als IT-, Datenschutz- Outsourcing- und Krisenmanager

Was bisher vernachlässigt wurde, sollte bald notwendige Voraussetzung für den Vertrieb von kostenpflichtiger Hard- und Software sein:  Die standardmäßige Umsetzung von Datenschutz- und Datensicherheits-Standards, welche das Cybercrime-Angriffspotential und das Datenschutzverletzungsrisiko senkt.

Die Pflicht zur Umsetzung der europäischen Datenschutzrichtlinie im Jahr 2018 und die angedrohten hohen Verwaltungsstrafen bei Nichtbeachtung derselben, sowie die steigende Erfolgsquote bei Cybercrime-Angriffen führt grundsätzlich zur Frage, ob Anbieter von IT-Hardware und Software für Sicherheitsmängel ihrer Produkte und Dienstleistungen in die Haftung genommen werden können.

Diese Haftung muss künftig im Licht der zunehmenden Vernetzung beurteilt werden.

Wie das Beispiel Automobilbranche zeigt, ist es übliche Praxis, dass Kraftfahrzeuge standardmäßig mit gebrauchsfertig skalierten und parametrierten Sicherheitseinrichtungen (Airbag, ABS, Sicherheitsgurt usw.) ausgeliefert werden. Versicherungen und Verkehrsteilnehmer können darauf vertrauen, dass die mit der Zulassung eines KFZ definierten Sicherheitsfunktionen scharf gestellt sind und einer regelmäßigen Überprüfung unterzogen werden. Der Fluss des Straßenverkehrs ist vergleichbar mit dem Fluss der Datenpakete im Internet of Things. Im Straßenverkehr wird das vom Menschen ausgehende Sicherheitsrisiko durch das standardmäßige Aktivieren der Produktsicherheitsfeatures bzw. durch gesetzliche Regelungen zum Gebrauch dieser Sicherheitseinrichtungen weitgehend entschärft.

Es wäre undenkbar und allgemein gefährlich, wenn die im Produkt „KFZ“ angelegten Sicherheitseinrichtungen vom Käufer parametriert werden müssten. In diesem Fall würden wohl Typisierungseinrichtungen und Hersteller zur Rechenschaft gezogen.

In der IT-Branche war es bisher üblich, dass die Aktivierung der eingebauten Sicherheitsbordmittel – falls überhaupt vorhanden – vom Käufer bzw. IT-Administrator vorgenommen werden musste. Aufgrund der zunehmenden Komplexität und Vernetzung im IoT wird die aus Sicherheitssicht korrekte Implementierung selbst für IT-Administratoren immer schwieriger. Stattdessen konzentriert man sich darauf, allfällige Angriffe auf die IT anhand forensischer Merkmale im Nachhinein zu erkennen, anstatt sie durch entsprechende Produktsicherheit im Vorhinein zu erschweren.

Nun könnte man behaupten, im Straßenverkehr geht es um den Schutz der Gesundheit von Leib und Psyche, das ist etwas anderes.

Anwendungsprozesse im IT-Bereich, speziell im Internet of Everything, werden vermehrt mittelbaren oder unmittelbaren Einfluss auf Leib, Leben und Psyche der Menschen haben.

Man denke nur an vernetzte Anwendungen in der Medizintechnik, Roboter in der Altenpflege, an smarte Gebäudetechnik, ethische Maschinen oder an intelligente Überwachungseinrichtungen, welche das Verhalten der beobachteten Menschen analysieren und entsprechende automatisierte Reaktionen daraus ableiten.

Oder an die vielen ungeschützten Consumer-Geräte, welche in den nächsten Jahren milliardenfach in die neu entstehende IoT-Infrastruktur eingebunden werden.

Weder geschlossene noch offene Systemarchitekturen garantieren standardmäßig Schutz und Privatsphäre. Die IT-Verwendung mit Standard-Einstellungen deaktiviert Datenschutz und Privatsphäre. Zudem ist IT nicht fehlerfrei und die Unerfahrenheit vieler Anwender betreffend korrekter Parametrierung der angebotenen Standard-Bordmittel eines Gerätes erhöht die Anfälligkeit der entstehenden IKT-Infrastrukturen.

Schutz vor allgemeiner Gewalt und Schutz vor Eingriffen in die Privatsphäre

Die Kriminalstatistik des BMI Österreich über das Jahr 2016 zeigt zunehmende Aktivitäten im Bereich der Cyberkriminalität. Das Angebot der Leistungen „Crime as a Service“ im Darknet steigt kontinuierlich an.

Eine Vielzahl dieser Angriffe wird erst durch die unveränderte Verwendung von Geräte Default-Einstellungen begünstigt.

Eine wichtige Aufgabe des Gesetzgebers ist der Schutz vor allgemeiner Gewalt und Schutz vor Eingriffen in die Privatsphäre.

Wehret den Anfängen – die ethische Selbstverpflichtung der Hersteller wäre ein guter Ansatz

Wichtige Schutzeinstellungen bei Hardware sollten bereits vom Hersteller standardmäßig vorkonfiguriert sein, softwarebasierte und vernetzungsfähige Produkte die Sicherheit und den Datenschutz bereits in der Entwicklung berücksichtigen.

Standardmäßig bei Auslieferung nicht voreingestellte Schutzmechanismen und fehlende Richtlinien bei Hard- und Software erhöhen nämlich das Gefährdungspotential.

Hersteller die sich zur freiwilligen Umsetzung von best practice Sicherheitsimplementierungen bekennen und die Normierung in diese Richtung vorantreiben, zeigen guten Willen und beugen von sich aus möglichen Haftungsfolgeschäden vor.

Ausarbeitung von Schutzstandards durch Hersteller, Anwenderschutzorganisationen und Gesetzgeber

IKT-Produkte und Dienstleistungen sollten bereits vor der Auslieferung standardmäßig auf die Erfüllung definierter Basisschutzanforderungen geprüft und getestet sein.

Dazu müssen Normen ausgearbeitet werden, welche einen Anwender bei Einsatz eines IKT-Produktes oder Prozesses vor gefährlichen Angriffen bzw. Verletzung seiner verfassungsmäßig geschützten Grundrechte weitgehend schützt.

Erste Ansätze dazu gibt es bereits, nachzulesen etwa unter https://digitalcharta.eu.

Der Anwender muss über den standardmäßig voreingestellten Basisschutz informiert werden. Ein europaweit einheitliches, klar verständliches Gütesiegel, welches für Auslieferung und Wartung eines IKT-Produktes die Umsetzung standardmäßig parametrierter best practice Sicherheitsregeln garantiert, würde rasch zur Umorientierung bei Produzenten und Anwendern beitragen.

Die nachfolgenden Überlegungen zum Basisschutz stellen nur eine beispielhafte Aufzählung dar und ist daher unvollständig:

  • Umsetzung von best practice Sicherheits-Richtlinien bereits in der Software-Entwicklung
  • Verpflichtende Penetration-Tests für die in der Entwicklung eines Produktes geplanten üblichen Einsatzumgebungen eines IKT-Produktes oder Prozesses
  • Förderung der Interoperabilität, also die sichere Zusammenarbeit mit anderen ähnlichen Produkten
  • Anfälligkeit für bekannte Bugs müssen zum Auslieferungszeitpunkt bereits beseitigt sein
  • Passwortrichtlinien für starke Passwörter sind bereits vorparametriert
  • Regelmäßige Security-Audits für bereits ausgelieferte Produktversionen werden durchgeführt
  • Automatische Software-Updates (auch für Firmware) müssen möglich sein und angeboten werden
  • Default mäßig eingestellter Schutz der Privatsphäre
  • Verpflichtende Information der Anwender, welche Daten vom Hersteller ausgelesen werden
  • Beschränkung der Datensammlung durch den Hersteller auf die für eine sichere Produktverwendung benötigten Daten
  • Verpflichtende automatische Datenlöschung bei Verlassen eines Services durch den Anwender, unter Wahrung der gesetzlich notwendigen Aufbewahrungspflichten
  • Transparentes Reporting zur weiteren Verwendung der gesammelten Userdaten
  • Unaufgeforderte aktive Verständigung der Anwender durch den Hersteller bei jedem Data Breach
  • Unaufgeforderte aktive Verständigung bei Weitergabe der Daten an Dritte
  • Standardmäßig aktivierte Verschlüsselung von Datenträgern (Festplatten) und Datenverkehr (E-Mails, Internetverkehr)
  • Standardmäßig aktivierter Schutz vor Spähprogrammen und bösartiger Software

Aufgrund der mit zunehmender Vernetzung von standardmäßig ungeschützten IT-Produkten und Services steigenden Schadensfolgeauswirkungen wird der Ruf nach möglichen Verursachern bald lauter werden.

Kommentar

Siehe hierzu auch Internet der Dinge – Neue Herausforderungen für den Sicherheitssektor bzw. Datenschutz-Grundverordnung könnte Zahlungswilligkeit bei Ransomware fördern. Ja, hier stehen einige große Herausforderungen an. Das beispiel Auto stimmt grundsätzlich, auch wenn etwa in Indien oder vielen anderen Ländern völlig andere Vorschriften als bei uns gelten. Und bei einem Auto ist das ganze (noch) irgendwie eingrenzbar. Eine doch noch mehr oder wenig abgeschlossene „Maschine“, was für das Internet der Dinge nicht mehr gilt, da es eine „Weltmaschine“ ist oder wie Bruce Schneier das ausgedrückt hat: „We no longer have things with computers embedded in them. We have computers with things attached to them.” Ob die regulatorische Geschwindigkeit mit der technischen mithalten können wird, darf vorerst bezweifelt werden, vor allem ist zu befürchten, dass es erst einmal zu größeren Schäden kommen wird müssen. Aber die zeichnen sich ab. Die Frage ist daher, welche Kollateralschäden dafür notwendig sein werden.