Im März entdeckten Sicherheitsforscher:innen eklatante Sicherheitslücken in mit dem Internet verbundenen Netzwerkspeichergeräten (NAS). Der Hersteller selbst teilte lapidar mit, die Geräte hätten das Ende ihres Lebenszyklus erreicht und er könne deswegen keine Updates mehr zur Verfügung stellen. Nutzer:innen empfahl er, die Geräte auszusortieren und zu ersetzen. Aus Sicht des Herstellers ist das zunächst einmal verständlich, es wäre für ihn nicht sehr ökonomisch, dauerhaft Updates bereitzustellen. Allerdings könnte man auch argumentieren, dass der Hersteller hier durchaus in die Pflicht zu nehmen wäre, denn: Eine der Schwachstellen ist ein fest einprogrammierter Account mit Standardpasswort. Dies widerspricht allen Richtlinien und Best Practices sicherer Programmierung, die der Hersteller eigentlich befolgen sollte.
Unsichere Geräte als Infrastruktur für Kriminelle und staatliche Akteure
Es handelt sich hierbei nicht um einen Einzelfall, im Gegenteil: Vielfach gibt es für schwachstellenbehaftete Geräte keine Sicherheitsupdates mehr. Gleichzeitig dürften die wenigsten Geräte-Nutzer:innen überhaupt von solchen Sicherheitshinweisen der Hersteller erfahren – geschweige denn die Geräte tatsächlich aussortieren. Das führt dazu, dass unzählige unsichere und leicht zu kompromittierende Router, Netzwerkspeichergeräte, Smart-TVs und allerlei andere Internet-der-Dinge-Geräte munter weiterbetrieben werden. Doch selbst wenn die Nutzenden gewarnt werden, ist zweifelhaft, ob eine Mehrheit von ihnen die Geräte einfach so ausmustert.
Bei Geräten wie Netzwerkspeichergeräten oder Smartphones sind Nutzende vielleicht noch dazu geneigt, um eigene Daten vor Verlust zu schützen. Router, Smart-TVs oder vernetzte Waschmaschinen, bei denen die Nutzenden womöglich gar nicht bemerken, dass sie von Dritten, zum Beispiel Cyberkriminellen, kompromittiert wurden, werden oft genug einfach weiter betrieben. Auch hier: verständlicherweise. Denn: Wenn der Smart-TV noch das tut, was es soll, warum sollte es dann ausgetauscht werden? Erschwerend hinzu kommt die ökologische Komponente. Es ist wenig nachhaltig, einen Kühlschrank nach vier Jahren wegzuschmeißen, nur weil er keine Sicherheitsupdates mehr bekommt.
Aus diesen Gründen gibt es eine große Anzahl an unsicheren, mit dem Internet verbundenen Geräten. Teil der Wahrheit ist natürlich auch, dass nicht alle von ihnen EOL-Geräte sind. Für viele dieser Geräte gäbe es durchaus Sicherheits-Updates, sie werden aber aus unterschiedlichen Gründen nicht von den Besitzer:innen eingespielt. Kriminelle nutzen dann beispielsweise kompromittierte Geräte in einem Botnetz indirekt als weiteren Knoten für ihre Command-and-Control-Infrastruktur (C2) oder direkt als Distributed-Denial-of-Service (DDoS)-Multiplikatoren. Staatliche Akteure verwenden erfolgreich infizierte Geräte unter anderem für die Vorbereitung und Durchführung von Cyberoperationen gegen kritische Infrastrukturen. Durch diese Nachlässigkeit wird also mindestens Cyberkriminalität ermöglicht; im schlimmsten Fall ist die Versorgung der Bevölkerung gefährdet.
Wer muss Verantwortung übernehmen?
Fängt man am Ende der Lieferkette an, könnte man argumentieren, dass die Endnutzer:innen für die Sicherheit ihrer Geräte verantwortlich sind. Betreiben sie unsichere, mit dem Internet verbundene Geräte, wie vernetzte Kühlschränke, Smart-TVs oder Router, müssen sie dafür haften, wenn diese von Kriminellen oder staatlichen Akteuren zum Schaden Dritter genutzt werden. Allerdings: Das ist wenig praktikabel und würde vermutlich zu einem massiven Anstieg an Privatinsolvenzen führen. Selbst wenn all diese Geräte ein IT-Sicherheitskennzeichen mit „Ablaufdatum” hätten, was sie nicht haben, wäre es unzumutbar, die Endnutzer:innen hier zur Verantwortung zu ziehen.
Am anderen Ende der Lieferkette stehen die Hersteller, oder im Falle von Open-Source-Softwareprodukten auch die Maintainer. Für diese ist es nicht zumutbar, dass sie für alle Produkte Sicherheits-Updates für die Ewigkeit bereitstellen müssen. Gleichzeitig reicht ihre Kommunikation über EOL und Schwachstellen aber auch nicht aus, weil diese Warnungen meist nicht bei den Endbenutzern ankommen. Und selbst wenn sie ankommen, müssen die Endnutzer:innen eine Abwägung treffen, bei der sie selbst wenig zu verlieren haben, wenn sie ihre Geräte trotzdem weiter betreiben. Auf diese Weise lässt sich das Problem also nicht aus dem Weg schaffen.
Hersteller könnten aber zum Beispiel dazu verpflichtet werden, dafür zu sorgen, dass auch nach Eintritt des EOL Remote-Updates sicher bereitgestellt werden können. Dieser Mechanismus könnte dann zum Zuge kommen, wenn es sich bei den Schwachstellen um fahrlässige Fehler des Herstellers handelt – zum Beispiel fest einprogrammierte Accounts und Standardpasswörter – oder wenn eine Ausnutzung der Schwachstelle zur Beeinträchtigung der nationalen Sicherheit führen kann. Microsoft hat zum Beispiel als Reaktion auf die sich selbst weiterverbreitende Schadsoftware unter Ausnutzung des „EternalBlue“-Exploits ausnahmsweise Patches für EOL-Windowsversionen bereitgestellt. Eine solche Lösung erscheint skalierbar und einigermaßen zumutbar.
Der Staat zwischen Adoption und Betriebsverbot
Konsequent und effektiv wäre die Lösung, für jedes Produkt einen sicheren und vorgeschriebenen Lebenszyklus zu definieren und zu kommunizieren. Das ist aktuell selten der Fall. Die Länge des Lebenszyklus muss sich, auch aus Nachhaltigkeitsperspektive, an der durchschnittlichen Nutzungsdauer der Geräte orientieren. Bei einem Kühlschrank wären das zum Beispiel bis zu fünfzehn Jahre.
Während der voraussichtlichen Verwendungsdauer müssen Sicherheits-Updates zeitnah bereitgestellt werden. Das deckt sich auch mit Passagen des aktuellen Stands der Verordnung des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU) 2019/1020, dem Cyber Resilience Act (CRA). Aber auch das verschiebt das Problem nur zeitlich nach hinten. Daher müsste zusätzlich das letzte Update die Funktionalität des Produkts in einer Art und Weise verändern, dass es zukünftig nur noch lokal erreichbar ist oder offline weitergenutzt werden kann. Quasi die Beerdigung der Online-Vernetzung.
Natürlich kann EOL auch bedeuten, dass es den Hersteller beispielsweise wegen Insolvenz gar nicht mehr gibt. Oder es handelt sich um ein Open-Source-Software-Projekt, das aufgegeben wurde. Der erste Schritt bei proprietären Produkten wäre es, Hersteller, da wo es lizenzrechtlich geht, zu verpflichten, den Quellcode als Open Source zu hinterlegen, wenn sie den Betrieb einstellen, ihn also zum Beispiel in die treuhänderische Verwaltung zu übergeben. Denn im Open-Source-Ökosystem gibt es bereits unterschiedliche Ansätze, mit aufgegebenen Projekten umzugehen.
Doch auch der Staat hat viele Handlungsmöglichkeiten beim Thema Softwaresicherheit: Er könnte, zum Beispiel in Form des Bundesamts für Sicherheit in der Informationstechnik (BSI), unterstützend eingreifen und (mindestens hochkritische) Sicherheits-Updates für einzelne EOL-Projekte oder -Produkte programmieren lassen. Voraussetzung dafür ist, dass der Quellcode Open Source ist und es einen sicheren automatischen Mechanismus für Sicherheits-Updates gibt. Letzteres gestaltet sich allerdings schwierig, da entsprechend sensible Informationen (zum Beispiel Schlüssel zum Signieren des Updates) bei einer vertrauenswürdigen Stelle hinterlegt werden müssten. Andernfalls gibt es zwar ein Update, aber es bleibt eine Informations- und Holschuld der Endnutzer:innen, es zu kennen und einzuspielen.
Unterstützendes Eingreifen durch den Staat
Der Staat könnte also – im Interesse der Versorgungssicherheit und nationalen Sicherheit – bei ausgewählten aufgegebenen Projekten und Produkten unterstützend eingreifen. Doch er könnte auch noch eine andere Rolle einnehmen: So können Sicherheitsbehörden zur akuten Gefahrenabwehr natürlich auch aktive Cyberabwehroperationen durchführen, um Schadsoftware von Geräten zu entfernen und sie gegen Re-Infektion möglichst zu immunisieren. So geschehen beim Takedown des Emotet-Botnetzes mit deutscher Beteiligung oder zuletzt bei der Disruption des KV-Botnetzes. Solche Operationen sind jedoch sehr anspruchsvoll, nicht ohne Risiko, ressourcenintensiv und skalieren schlecht. Zusätzlich ist der entsprechende Rechtsrahmen in Deutschland noch nicht final geklärt.
Da wo andere Maßnahmen, wie etwa das zwangsweise Offline-nehmen durch das letzte Update, nicht funktionieren, könnte der Staat sich noch einen weiteren Schritt vorbehalten: ein (Weiter-)Betriebsverbot. Der Staat könnte Betriebsverbote bei unsicheren, nicht mehr absicherbaren vernetzten Geräten aussprechen, da deren Weiterbetrieb indirekt die Allgemeinheit gefährdet.
Nach der Regulierung ist vor der Regulierung
Welchen Pflichten die Hersteller im Verlauf des Lebenszyklus ihrer Produkte nachkommen müssen, darüber hat sich die Politik inzwischen einige Gedanken gemacht – das zeigt nicht zuletzt der CRA. Doch das reicht eben nicht. Politische Entscheidungsträger:innen müssen dringend Lösungen auch für das Ende des Lebenszyklus finden.
Und in der Zwischenzeit müssen Politik und Industrie herausfinden, mit welchen Anreizen man Endnutzer:innen dazu bekommt, Sicherheits-Updates zeitnah einzuspielen. Alternativ könnten Hersteller dazu verpflichtet werden, ihre Produkte mit Opt-Out bei automatischen Updates zu versehen.
Endnutzer:innen müssten sich damit aktiv gegen das Einspielen von Updates entscheiden, sonst würden sie automatisch zeitnah durchgeführt. Damit es die Updates aber auch bei kritischen Schwachstellen für EOL-Produkte geben kann, müsste die Politik verpflichtende Anreize für die Hersteller schaffen, damit ihre EOL-Produkte nicht weiterhin zur Spielwiese von Kriminellen und staatlichen Akteuren wie Geheimdiensten und Militärs verkommen.
Dafür tragen Hersteller eine Verantwortung. Während der Staat also operativ im Einzelfall eingreifen kann, können flächendeckende Lösungen nur vom Hersteller kommen. Ein entsprechender regulatorischer Weg kann sinnvollerweise nur über die EU führen. Die letzten Jahre haben gezeigt, dass im Bereich der Cybersicherheitspolitik auf EU-Ebene mutige Schritte gegangen werden und Deutschland hier durchaus als wichtiger Ideengeber und Antreiber fungieren kann – wenn die deutsche Politik es denn will.
Sven Herpig ist Leiter für Cybersicherheitspolitik und Resilienz bei der Stiftung Neue Verantwortung.
In unserer Reihe „Perspektiven“ kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Herpig erschienen: Zur Lage der Cybernation
