IT-Sicherheit: Hersteller sollten für Geräte haften

Eine Woche ist der Hacker-Angriff auf die Telekom her, der 900.000 Router traf und in den dazugehörigen Haushalten vorübergehend Internetzugang, Telefonie und oftmals mehrere Fernsehabende ruinierte. Die Reaktionen darauf gingen vom alarmierten Ruf „Cyberattacke aus Russland“ bis zur eher schicksalsergeben wirkenden Einlassung der Bundeskanzlerin, die sagte, Hackerangriffe gehörten zum Alltag und „wir müssen damit leben lernen“.
Weniger im Fokus standen die gekaperten Router selbst, über die aber zu erfahren war, es seien Billigausführungen gewesen – was auch Fragen nach der Produktverantwortung der Telekom aufwarf. Denn der Kunde hat keinen Einfluss auf die Qualität der Geräte, die der Branchenriese in der Regel mitliefert. Er kann die Qualitätssicherung nicht steuern und die Güte der Sicherheitsvorkehrungen nicht beurteilen. Er muss darauf vertrauen, dass die IT-Konzerne in seinem Sinn handeln – und es wäre gut, wenn er am Ende nicht bestraft wird dafür.
Wieso gibt es im Bereich Software und Computertechnologie keine verbindliche Produkthaftung? Was soll man von der Information halten, es gebe für die nachtragenden Entwicklungsstrategien im IT-Bereich den Begriff „Bananen-Taktik“, sprich: Das Produkt reift beim Kunden.
Es ist richtig und wird hoffentlich Konsequenzen haben, wenn Innenminister Thomas de Maizière die laxen Standards kritisierte. Die Lastenverteilung bei digitaler Sicherheit ist auch ihm zufolge unfair verteilt – und zwar zulasten des Nutzers. In der Kraftfahrzeugindustrie wäre so etwas undenkbar. Würde dort ein Hersteller dem Kunden ein irgendwie funktionierendes Auto verkaufen nach dem Motto: Mal sehen, wie weit es fährt, melden Sie sich, wenn Sie aus der Kurve geflogen sind, dann schauen wir weiter? Viel zu gefährlich. Gefährlich ist Produktunsicherheit aber auch im Datenverkehr. Längst ist bekannt, dass hier die größten Sicherheitsherausforderungen der kommenden Jahre liegen. Denn es ist nicht mehr ausgemacht, dass Hackerangriffe vor allem vergleichbar sind mit Delikten aus der Rubrik Alltagskriminalität – oder ob sie inzwischen nicht zu Operationen im Format „atomarer Erstschlag“ in der Lage sind.

Der alte Feind Russland wird bemüht

Den Eindruck, dafür gerüstet zu sein, vermittelt Deutschland betrüblicherweise nicht. Die Basis der IT-Sicherheitsstrukturen wird leichtfertig vernachlässigt, wenn zugunsten besserer Erträge billige Hardware verwendet wird. Auch die Forderung, es müsse konkurrenzfähige Sicherheitssoftware made in Germany geben, ist noch unbeantwortet. Stattdessen wird der alte Feind Russland bemüht.
Dem Nachbarn im Osten werden als Hacker allerlei Schandtaten zugetraut, inklusive Wahlmanipulationen der nächsten Bundestagswahlen in Deutschland. Die Bundesbehörden sind alarmiert, Anfang November wurde eine schnelle Eingreiftruppe bei virtuellen Angriffen beschlossen, die Verfassungsorganen, Bundesbehörden und Betreibern kritischer Infrastrukturen bei der Bewältigung eines Hackerangriffs helfen soll.
Das ist sicher auch gut und richtig. Und hoffentlich kein PR-Coup derjenigen Firmen, die mit Sicherheits-IT Geld verdienen.