Ripple20 – Secu­ri­ty Night­ma­re und Haf­tungs­fal­le für Betrei­ber und Hersteller?

Mit Ripple20 wird eine Rei­he von kri­ti­schen Schwach­stel­len bezeich­net, wel­che der­zeit die IT-Sicherheit von Haus­halts­ge­rä­ten, Kran­ken­häu­sern und Indus­trie­an­la­gen gefähr­den. Ihren Ursprung haben die ins­ge­samt 19 Sicher­heits­lü­cken, die teil­wei­se von Angrei­fern aus der Fer­ne aus­ge­nutzt wer­den kön­nen, in einer von vie­len Her­stel­lern ver­wen­de­ten Netz­werk­im­ple­men­tie­rung der Fir­ma Treck. Ein Angrei­fer kann durch die­se feh­ler­haf­te Imple­men­tie­rung unter ande­rem einen Puf­fer­über­lauf im Spei­cher des TCP/IP-Stack erzeu­gen und belie­bi­gen Code ausführen.

Von den Sicher­heits­lü­cken betrof­fen sind alle Gerä­te, in denen die ent­spre­chen­de Imple­men­tie­rung genutzt wur­de. Dabei han­delt es sich ins­be­son­de­re um Embedded Gerä­te, wie ver­netz­te Steck­do­sen, aber auch Dru­cker, USVs, medi­zi­ni­sche Gerä­te und Indus­trie­an­la­gen von Her­stel­lern wie Cis­co, Eaton, Aru­ba Net­works, Dell, Mie­le, Rock­well Auto­ma­ti­on, Schnei­der Elec­tric, HP und vie­len mehr. Es exis­tiert bereits eine neue Ver­si­on des Stack, in der die Sicher­heits­lü­cken geschlos­sen wur­den. Schon jetzt ist jedoch abseh­bar, dass die­se nicht alle betrof­fe­nen Gerä­te errei­chen wird. Ursäch­lich dafür sind zwei Aspek­te: Einer­seits wis­sen vie­le Her­stel­ler und Betrei­ber wahr­schein­lich nicht, dass bei ihnen der betrof­fe­ne Stack zum Ein­satz kommt, da der Ein­satz des Stack und damit das Sicher­heits­pro­blem auf die gesam­te Supply-Chain ver­teilt sein kann. Ande­rer­seits exis­tiert bei eini­gen betrof­fe­nen Gerä­ten kein Mecha­nis­mus zur Instal­la­ti­on von Updates, weil nie­mand in Erwä­gung gezo­gen hat, dass die­se ein­mal not­wen­dig sein könnten.

Ripple20 ver­fügt damit über alle Vor­aus­set­zun­gen für ein lang anhal­ten­des Sicher­heits­de­sas­ter mit epi­schem Aus­maß. Was kön­nen Her­stel­ler und Betrei­ber tun, um ein sol­ches Desas­ter zu ver­hin­dern? Wozu sind sie recht­lich ver­pflich­tet und was pas­siert, wenn sie ihrer Ver­pflich­tung nicht nachkommen?

Die­sen Fra­gen wid­met sich das inter­dis­zi­pli­nä­re Online-Seminar von reusch­law Legal Con­sul­tants und HiSo­lu­ti­ons am 25.08.2020 von 15:00 bis 16:30 Uhr. Dabei wird Manu­el Atug, Seni­or Mana­ger der HiSo­lu­ti­ons AG in Bonn, die tech­ni­schen Hin­ter­grün­de von Ripple20 und Lösungs­an­sät­ze erläu­tern, wäh­rend Phil­ipp Reusch, Rechts­an­walt und Foun­ding Part­ner bei reusch­law Legal Con­sul­tants in Ber­lin, und Ste­fan Hes­sel, Rechts­an­walt und Asso­cia­te bei reusch­law Legal Con­sul­tants in Saar­brü­cken, auf produkthaftungs- und ver­trags­recht­li­che Aspek­te eingehen.

Im Anschluss an die Impuls­vor­trä­ge besteht aus­rei­chend Zeit für Rück­fra­gen und Diskussion.

Ter­min

• 25. August 2020, 15:00–16:30 Uhr

Refe­ren­ten

• Manu­el Atug, Seni­or Mana­ger, HiSo­lu­ti­ons AG
• Phil­ipp Reusch, Rechts­an­walt und Foun­ding Part­ner, reusch­law Legal Consultants
• Ste­fan Hes­sel, Rechts­an­walt und Asso­cia­te, reusch­law Legal Consultants

Mel­den Sie sich jetzt an. Die Teil­nah­me am Online-Seminar ist kos­ten­los. Die Anzahl der zur Ver­fü­gung ste­hen­den Plät­ze ist begrenzt. Die Ver­an­stal­tung wird unter Zuhil­fe­nah­me der Video­kon­fe­renz­soft­ware von Zoom durchgeführt.

Bit­te beach­ten Sie, dass Ihre Anmel­dung erst abge­schlos­sen ist, wenn Sie sich auch im Zoom Event regis­triert haben. Alle hier­für erfor­der­li­chen Infor­ma­tio­nen wer­den Ihnen im Anschluss an die nach­ste­hen­de Regis­trie­rung per E‑Mail zur Ver­fü­gung gestellt.

Spre­chen Sie uns bei Rück­fra­gen gern an.