Die Digitalisierung von Arbeit, Gesellschaft und Freizeit scheint übergriffiges Verhalten anzuziehen wie das Licht die Motten. Anders ist die überwältigende Flut von Hacks, Cyber-Attacken, Trojanern und anderen absichtlichen Schädigungen fremder IT-Systeme nicht zu erklären. Sicherheitslücken von Software werden im Darknet wie edle Rotweine gehandelt. Der Versuch betroffener Unternehmen, über Bug Bounties diesen Sumpf auszutrocknen, zeigt nur äußerst begrenzt Wirkung.
Gelegentlich liest und hört man im netzpolitischen Raum Stimmen, die deshalb den Blick auf die herstellenden Industrieunternehmen werfen. Dem liegt dann folgende Behauptung zugrunde: Produkte mit Embedded Software – in der Welt von IoT also unsere gesamte Zukunft – ist ein Hackerangriff auf das Produkt dann zugleich ein Sicherheitsfehler des Produkts, wenn dieses zu gefährlichen Konsequenzen gebracht werden kann. Wenn also in einer Smart Home-Umgebung ein Angreifer eine Heizungsanlage in einen explosionstauglichen Zustand hochfahren oder einen Gasverbrenner auf Kohlenmonoxid-Ausstoß umprogrammieren kann, so sei damit dieses gehackte Produkt sicherheitstechnisch fehlerhaft.
Suche nach dem Schuldigen an falscher Stelle
Ist an diesem Gedanken was dran? Nein, meine ich: man sucht hier den Schuldigen an der falschen Stelle. In verzweifelter Ermangelung von Zugriffsmöglichkeiten auf die Hacker selbst soll jetzt der Hersteller des gehackten Geräts dafür verantwortlich gemacht werden, dass Dritte sich vorsätzlich und rechtswidrig des Geräts bemächtigen. Denn hinter englischen Umschreibungen wie Cyber-Attack oder Cyber-Resilience steckt doch nichts anderes als ein absichtlicher IT-Vandalismus. Der Angriff, die Störung oder gar die Übernahme der integrierten Software fällt ja nicht vom Himmel, sondern ist (koordinierte) Tat eines Angreifers. In der analogen Welt wäre niemand – auch ohne Jurastudium – auf die Idee gekommen, den Hersteller eines zerstörten Produkts dafür verantwortlich zu machen, dass ein Angreifer das Produkt zerstören konnte: Denn es ist nicht das Problem eines Reifenherstellers, wenn ein Täter den Reifen zersticht. Es ist nicht das Problem des T-Shirt-Herstellers, wenn ein Angreifer das T-Shirt anzündet. Es ist nicht der Sicherheitsfehler einer Aktentasche, wenn ein Angreifer diese mit der Axt gewaltsam öffnet.
In der IT-Welt digitaler Produktleistungen gibt es keinen Grund, diese etablierte und vernünftige Risikoverteilung anders zu gewichten. Oder in der Sprache des Produkthaftungsgesetzes ausgedrückt: Ein Produkt hat nur dann einen Fehler im Rechtssinne, wenn es nicht die Sicherheit bietet, die unter Berücksichtigung aller Umstände berechtigterweise erwartet werden kann. Diese berechtigte Sicherheitserwartung wird kaum davon ausgehen können, dass ein Produkt gegen alle zukünftigen Ideen krimineller Angreifer im Design immer neuer Angriffswellen gewappnet ist.
Betreiber muss Eingriffslöcher schließen
In einer gesellschaftspolitisch akzeptablen Risikoverteilung wird die Pflicht zum 24/7-Kampf gegen die Risiken durch IT-Vandalismus daher wohl beim Betreiber des betroffenen Produkts liegen. Er, und nur er, kann dauerhaft durch ein funktionierendes Patch-Management, ein Einbindungs-Monitoring und durch Nutzerkontrolle systemisch garantieren, dass möglichst alle nachträglich erkannten Eingriffslöcher geschlossen werden. Für Anlagenbetreiber von kritischer Infrastruktur hat der Gesetzgeber diese Risikoverurteilung (§ 8a, Abs. 1, S. 2 BSI-Gesetz) selbst so gesehen; in allen anderen privaten wie gewerblichen Nutzungssituationen wird sich nach meiner Prognose diese Sicht durchsetzen. Je intensiver diese Diskussion rechtspolitisch geführt wird und je gravierender die Drittschäden in Zukunft sein werden, um so früher wird der (dann europäische?) Gesetzgeber eine Art verschuldensunabhängiger Betreiberhaftung diskutieren. Eine solche Betreiberhaftung wäre dann ihrerseits die optimale Grundlage für eine Betreiberversicherung; denn Deckung setzt Haftung voraus.