Standpunkte Hilft das Produkthaftungsgesetz gegen IT-Vandalismus?

Foto: Noerr

Bei Hacker-Angriffen ist der Hacker Schuld, aber wenn der nicht zu fassen ist, wer haftet dann? Thomas Klindt von der Kanzlei Noerr sieht die Verantwortung in erster Linie beim Betreiber, nicht beim Hersteller.

von Prof. Dr. Thomas Klindt

veröffentlicht am 21.11.2018

aktualisiert am 18.01.2019

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen

Die Digitalisierung von Arbeit, Gesellschaft und Freizeit scheint übergriffiges Verhalten anzuziehen wie das Licht die Motten. Anders ist die überwältigende Flut von Hacks, Cyber-Attacken, Trojanern und anderen absichtlichen Schädigungen fremder IT-Systeme nicht zu erklären. Sicherheitslücken von Software werden im Darknet wie edle Rotweine gehandelt. Der Versuch betroffener Unternehmen, über Bug Bounties diesen Sumpf auszutrocknen, zeigt nur äußerst begrenzt Wirkung.

Gelegentlich liest und hört man im netzpolitischen Raum Stimmen, die deshalb den Blick auf die herstellenden Industrieunternehmen werfen. Dem liegt dann folgende Behauptung zugrunde: Produkte mit Embedded Software  in der Welt von IoT also unsere gesamte Zukunft  ist ein Hackerangriff auf das Produkt dann zugleich ein Sicherheitsfehler des Produkts, wenn dieses zu gefährlichen Konsequenzen gebracht werden kann. Wenn also in einer Smart Home-Umgebung ein Angreifer eine Heizungsanlage in einen explosionstauglichen Zustand hochfahren oder einen Gasverbrenner auf Kohlenmonoxid-Ausstoß umprogrammieren kann, so sei damit dieses gehackte Produkt sicherheitstechnisch fehlerhaft.

Suche nach dem Schuldigen an falscher Stelle

Ist an diesem Gedanken was dran? Nein, meine ich: man sucht hier den Schuldigen an der falschen Stelle. In verzweifelter Ermangelung von Zugriffsmöglichkeiten auf die Hacker selbst soll jetzt der Hersteller des gehackten Geräts dafür verantwortlich gemacht werden, dass Dritte sich vorsätzlich und rechtswidrig des Geräts bemächtigen. Denn hinter englischen Umschreibungen wie Cyber-Attack oder Cyber-Resilience steckt doch nichts anderes als ein absichtlicher IT-Vandalismus. Der Angriff, die Störung oder gar die Übernahme der integrierten Software fällt ja nicht vom Himmel, sondern ist (koordinierte) Tat eines Angreifers. In der analogen Welt wäre niemand  auch ohne Jurastudium  auf die Idee gekommen, den Hersteller eines zerstörten Produkts dafür verantwortlich zu machen, dass ein Angreifer das Produkt zerstören konnte: Denn es ist nicht das Problem eines Reifenherstellers, wenn ein Täter den Reifen zersticht. Es ist nicht das Problem des T-Shirt-Herstellers, wenn ein Angreifer das T-Shirt anzündet. Es ist nicht der Sicherheitsfehler einer Aktentasche, wenn ein Angreifer diese mit der Axt gewaltsam öffnet.

In der IT-Welt digitaler Produktleistungen gibt es keinen Grund, diese etablierte und vernünftige Risikoverteilung anders zu gewichten. Oder in der Sprache des Produkthaftungsgesetzes ausgedrückt: Ein Produkt hat nur dann einen Fehler im Rechtssinne, wenn es nicht die Sicherheit bietet, die unter Berücksichtigung aller Umstände berechtigterweise erwartet werden kann. Diese berechtigte Sicherheitserwartung wird kaum davon ausgehen können, dass ein Produkt gegen alle zukünftigen Ideen krimineller Angreifer im Design immer neuer Angriffswellen gewappnet ist.

Betreiber muss Eingriffslöcher schließen

In einer gesellschaftspolitisch akzeptablen Risikoverteilung wird die Pflicht zum 24/7-Kampf gegen die Risiken durch IT-Vandalismus daher wohl beim Betreiber des betroffenen Produkts liegen. Er, und nur er, kann dauerhaft durch ein funktionierendes Patch-Management, ein Einbindungs-Monitoring und durch Nutzerkontrolle systemisch garantieren, dass möglichst alle nachträglich erkannten Eingriffslöcher geschlossen werden. Für Anlagenbetreiber von kritischer Infrastruktur hat der Gesetzgeber diese Risikoverurteilung (§ 8a, Abs. 1, S. 2 BSI-Gesetz) selbst so gesehen; in allen anderen privaten wie gewerblichen Nutzungssituationen wird sich nach meiner Prognose diese Sicht durchsetzen. Je intensiver diese Diskussion rechtspolitisch geführt wird und je gravierender die Drittschäden in Zukunft sein werden, um so früher wird der (dann europäische?) Gesetzgeber eine Art verschuldensunabhängiger Betreiberhaftung diskutieren. Eine solche Betreiberhaftung wäre dann ihrerseits die optimale Grundlage für eine Betreiberversicherung; denn Deckung setzt Haftung voraus.

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen