Secure by Design

Hintergrund

Cyberattacken und offenbar werdende Sicherheitslücken in Geräten mit Internetverbindung stellen ein wachsendes Risiko für Nutzer dar. Daraus resultiert ein großes Hindernis für einen fortschreitenden Einsatz des Internets der Dinge (IoT). Während die EU sich bisher nur zu Absichtserklärungen hinreißen ließ, liefert das „Department for Digital, Culture, Media & Sport“ aus Großbritannien einen konkreten Konzeptvorschlag. Dieser sieht vor allem Hersteller und IoT-Dienstleister in der Verantwortung.

Konkreter Inhalt

Der Vorschlag des Departments besteht aus dreizehn Leitlinien, die sich zum Teil an bereits bestehenden Best Practice Maßnahmen orientieren. Die Leitlinien sind in der Reihenfolge ihrer Bedeutung aufgelistet (eine vollständige Auflistung finden Sie hier). Im Bereich der Produkthaftung wirkt sich das Konzept verstärkt auf die Konstruktionspflicht der Hersteller aus. Aber auch Instruktions- und Produktbeobachtungspflicht sind wesentlich betroffen.

An oberster Stelle haben Hersteller dafür zu sorgen, dass bei allen IoT-Produkten einzigartige Passwörter verwendet werden und dass diese nicht auf einen universellen Standardwert zurückgesetzt werden können. Darüber hinaus sollen Hersteller sicherstellen, dass ihre Produkte rechtzeitig und auf sichere Weise Softwareupdates erhalten ohne dass dabei die Funktionsfähigkeit des Produkts beeinträchtigt wird. Zusätzlich müssen Hersteller im Rahmen einer „end-of-life policy“ angeben, über welchen Zeitraum das Produkt Softwareupdates erhalten soll. Nicht zuletzt obliegt den Herstellern die Gewährleistung einer verschlüsselten Übertragung sicherheitsrelevanter Daten via Internet. 

Schließlich wirkt sich das Konzept auch auf die Instruktionspflicht der Hersteller aus. Dem Nutzer soll z.B. die Notwendigkeit einer jeden Aktualisierung deutlich gemacht und eine benutzerfreundliche Umsetzung ermöglicht werden. Außerdem soll der Nutzer klare Anweisungen erhalten, wie er personenbezogene Daten auf dem Produkt löschen kann. Vor dem Hintergrund, dass Gebrauchsanweisungen in jeder Hinsicht auch von dem am geringsten informierten Nutzer verstanden werden müssen, besteht ein erheblicher Erklärungsaufwand.

Als zweitwichtigsten Punkt sieht das Konzept vor, dass Hersteller zur Offenlegung von Schwachstellen einen öffentlichen Ansprechpartner bereitstellen. Hersteller müssen ihr Produkt nicht nur hinsichtlich Sicherheitslücken und notwendiger Updates beobachten, sondern auch für einen Kommunikationsprozess bereitstehen. So entstehen außerdem Mitteilungspflichten hinsichtlich entdeckter Risiken oder ausgesetzter Attacken.

Fazit

Das Konzept gibt Aufschluss über die Risikoverteilung zukünftiger Gesetze im Bereich der Cybersecurity. Das Department wird die freiwillige Umsetzung und deren Wirksamkeit im laufenden Jahr beobachten. Beweisen sich die Leitlinien als effektiv, kann das Konzept europaweit als Vorbild dienen. Hersteller sind im Interesse ihrer Wettbewerbsfähigkeit und im Interesse eines reduzierten Haftungsrisikos gut beraten, frühzeitig entsprechende Sicherheitsstandards zu implementieren. 

[19. April 2018]