Standpunkt Produkthaftungsgesetz: Wer muss IT-Sicherheitslücken schließen?

Das Internet der Dinge braucht klare Haftungsregeln gegen Hackerangriffe, meint Otmar Lell vom Verbraucherzentrale Bundesverband.

Lernen Sie Tagesspiegel BACKGROUND kennen

Dieser Text erscheint im Tagesspiegel BACKGROUND, dem täglichen Entscheider-Briefing zu Digitalisierung & KI.

Jetzt kostenlos probelesen
Sie sind Background-Kunde und haben noch kein Passwort? Wenden Sie sich an unseren Support oder hier einloggen

Kein Mensch braucht unsichere IT-Produkte. Trotzdem gibt es sie derzeit zuhauf. Im Internet der Dinge ist es gang und gäbe, dass Produkte serienmäßig ohne Passwortverschlüsselung angeboten werden. Dass die Geräte sofort in Betrieb genommen werden können, ist den Herstellern wichtiger, als dass sie sicher sind. Natürlich kann der Nutzer dann selbst ein Passwort eingeben. Aber wenn er es nicht tut, dann bleibt das Gerät eben unverschlüsselt und ist leichte Beute für Hacker, die auf diese Weise beispielsweise eine smarte Türschließungsanlage außer Gefecht setzen können. In verschiedenen Fernsehsendungen wurde gezeigt, wie häufig IoT-Anlagen ungeschützt im Netz zu finden sind und wie leicht sie von Hackern übernommen werden können. 

Selbst schuld, kann man sagen. Wer sich so eine Anlage kauft, sollte eben zusehen, dass er sie auch richtig bedient. Aber das ist zu kurz gedacht. Denn wenn sich die Prognosen nur halbwegs bewahrheiten, dann werden wir in Kürze jede Menge smarte Produkte um uns herum haben. Jedes davon ein potenzielles Sicherheitsrisiko. Das kann nur gut gehen, wenn sich die Verbraucher nicht selbst um die Sicherheit jedes einzelnen Produkts kümmern müssen, sondern wenn Sicherheit standardmäßig garantiert ist. Notwendig ist das nicht nur im Interesse der betroffenen Verbraucher, sondern auch im gesellschaftlichen Interesse. Denn leicht angreifbare IT-Produkte lassen sich beispielsweise für Botnetzattacken nutzen, mit denen die vereinte Rechnerkapazität vieler kleiner Geräte genutzt wird, um kritische IT-Strukturen lahmzulegen.

Wie kann die Sicherheit von Verbraucher-IT-Produkten besser werden? 

Ein wirksames Mittel hierfür sind effektive Haftungsregeln. Denn wer damit rechnen muss, im Schadensfall zu bezahlen, der wird dafür sorgen, dass sich dieser Schadensfall tunlichst nicht einstellt. Die Bundesregierung hat sich in ihrem Koalitionsvertrag deshalb ganz zu Recht vorgenommen, „klare Regeln für die Produkthaftung in der digitalen Welt aufzustellen“. An dieser Klarheit fehlt es gegenwärtig. Das geltende Produkthaftungsrecht lässt den Hersteller zwar verschuldensunabhängig haften, aber nur dann, wenn das Produkt einen Fehler hatte. Die Frage ist: Wann ist ein IT-Produkt eigentlich fehlerhaft? Dazu fehlt es heute an Standards und Normen – und es fehlt auch an einem Grundkonsens, wofür der Hersteller überhaupt verantwortlich sein sollte. Dadurch geht die Haftung schnell ins Leere.

Die Frage der Haftung bei IT-Produkten stellt sich gerade dann, wenn Hacker sich eine Sicherheitslücke zunutze machen und sich des Geräts bemächtigen. Inwieweit muss der Hersteller eines IT-Produkts Verantwortung dafür übernehmen, dass das nicht geschieht? Thomas Klindt von der Kanzlei Noerr vertrat an dieser Stelle am 21. November die Auffassung, der Schutz des Gerätes gegen feindliche Angriffe sei Aufgabe des Betreibers, nicht des Herstellers. „Es ist nicht das Problem des T-Shirt-Herstellers, wenn ein Angreifer das T-Shirt anzündet“, so Klindt. Dass T-Shirt-Hersteller keine Schutzvorkehrungen gegen das Anzünden treffen müssen, liegt aber in erster Linie daran, dass dieser Fall eher selten vorkommt.

Sicherheitslücken müssen durch den Hersteller geschlossen werden

Angesichts der „überwältigenden Flut von Hacks, Cyber-Attacken und anderen absichtlichen Schädigungen fremder IT-Systeme“ (so Klindt in seinem Standpunkt) erscheint es lebensfremd, die Bewältigung dieser Angriffe alleine dem Betreiber anzulasten – und damit bei Verbraucherprodukten dem Verbraucher. Denn anders als der Hersteller ist der Verbraucher nicht in der Lage, sich gegen die Vielzahl von möglichen Bedrohungen auch nur halbwegs angemessen zu rüsten.

Sicher hat der Verbraucher eine Mitverantwortung – die sollte sich aber darauf beschränken, die Geräte bestimmungsgemäß zu verwenden und beispielsweise standardmäßig angebotene Sicherheitsupdates zu installieren. Nur eine Minderzahl der Verbraucher wird für die Sicherheit ihrer IT-Ausstattung selbst aktiv werden und etwa Patches für entdeckte Sicherheitslücken suchen. Kaum jemand wird sich wissentlich ein Produkt zulegen, das in der Wartung einen solchen Aufwand mit sich bringt.

In der Praxis ist aber eher anzunehmen, dass Verbraucher – wie bisher auch – unsichere Geräte kaufen in Unkenntnis möglicher Sicherheitslücken und dass sie während der Nutzung keine Sicherheitsvorkehrungen treffen, auch wenn das rechtlich ihre Verantwortung wäre. Die Folge wäre, dass Verbraucher und Allgemeinheit massenweise durch Hackerangriffe geschädigt würden. Das kann keiner wollen, auch nicht die Hersteller, die IoT-Produkte auf den Markt bringen wollen. Die Haftung sollte deshalb dort verortet werden, wo auch die fachliche Kompetenz und die finanziellen Mittel vorhanden sind, Vorkehrungen gegen feindliche Angriffe zu treffen – nämlich bei den Herstellern. Diese verdienen an IoT-Produkten, und wenn die Kehrseite dieses Verdienstes die Zunahme von Hackerangriffen ist, dann kann das nicht zulasten von Verbrauchern und Allgemeinheit gehen. Die Einnahmen aus dem Verkauf von IoT-Produkten sollten vielmehr genutzt werden, um die Sicherheit dieser Produkte zu garantieren.

Der Impuls für diesen Gastbeitrag war der Standpunkt von Thomas Klindt, Kanzlei Noerr. Der Beitrag erschien am 21. November 2018 im Tagesspiegel Background.

Lernen Sie Tagesspiegel BACKGROUND kennen

Dieser Text erscheint im Tagesspiegel BACKGROUND, dem täglichen Entscheider-Briefing zu Digitalisierung & KI.

Jetzt kostenlos probelesen
Sie sind Background-Kunde und haben noch kein Passwort? Wenden Sie sich an unseren Support oder hier einloggen