Menue-Button
← FACHDEBATTE Interview

Herstellerzwang gegen Sicherheitslücken?

Forscher fordert einheitliche IT-Sicherheitsregulierung bei IoT-Geräten

Prof. Dr. Michael Backes, Universität des Saarlandes, CISPA — Center for IT-Security Quelle: Oliver Dietze Prof. Dr. Michael Backes Forscher CISPA — Center for IT-Security 08.12.2017
INITIATOR DIESER FACHDEBATTE
Uwe Schimunek
Freier Journalist
Meinungsbarometer.info
ZUR FACHDEBATTE

"Die Rechtslage zur IT-Sicherheit ist aktuell nur fragmentarisch ausgestaltet. Das Einführen einer einheitlichen ITSicherheitsregulierung mit Gewährleistungs- und Haftungsregeln für Hard- und Software, die nicht dem Stand der Technik entsprechen, wäre beispielsweise eine wünschenswerte Maßnahme." Das sagt Prof. Dr. Michael Backes, Universität des Saarlandes, CISPA — Center for IT-Security. "Vorstellbar wäre, dass Verkäufer und ggf. Hersteller für einen bestimmten Zeitraum – beispielsweise den gesetzlichen Gewährleistungszeitraum von zwei Jahren – dazu verpflichtet würden, regelmäßig Sicherheitsupdates für bekannte Lücken und Angriffe bereitzustellen."






Das BSI klagt in seinem aktuellen Sicherheitsbericht, dass IT-Sicherheit bei IoTGeräten keine oder nur eine untergeordnete Rolle spielt. Was muss die Politik gegen die Gefahr aus den vernetzten Alltagsgeräten tun?
Die Rechtslage zur IT-Sicherheit ist aktuell nur fragmentarisch ausgestaltet. Bestimmte Bereiche wie kritische Infrastrukturen haben detaillierte Vorgaben, andere Bereiche wie zum Beispiel IoT-Geräte haben allenfalls Vorgaben aus dem Datenschutzrecht. Zudem sind beispielsweise bei den Datenschutz-Aufsichtsbehörden kaum Ressourcen vorhanden, um die Einhaltung dieser Vorgaben zu kontrollieren. Das Einführen einer einheitlichen ITSicherheitsregulierung mit Gewährleistungs- und Haftungsregeln für Hard- und Software, die nicht dem Stand der Technik entsprechen, wäre beispielsweise eine wünschenswerte Maßnahme.

Unsichere IoT-Geräte schaden nicht nur dem Eigentümer selbst, da sie laut BSI häufig für Attacken genutzt werden. Wer sollte in diesem Fall perspektivisch haften?
Ich denke, wir brauchen hier eine gesellschaftliche Diskussion, ob eine Haftungsregelung allein zum gewünschten Ergebnis führen kann. Vorstellbar wäre, dass Verkäufer und ggf. Hersteller für einen bestimmten Zeitraum – beispielsweise den gesetzlichen Gewährleistungszeitraum von zwei Jahren – dazu verpflichtet würden, regelmäßig Sicherheitsupdates für bekannte Lücken und Angriffe bereitzustellen. Doch auch durch diese Regelung könnte das Problem unsicherer Geräte nicht gelöst werden, wenn Nutzer beispielsweise diese Updates nicht installieren oder ihre Geräte auch über den Update- Zeitraum hinaus weiternutzen. Investitionen in bessere Schulung und ein Schärfen des Sicherheitsbewusstseins der Nutzer sind hier unerlässlich.

Ebenfalls bedenklich sind aus Sicht des BSI Mobilgeräte, deren Betriebssystem oder deren Apps nicht auf aktuellem Stand sind. Sehen Sie hier Regelungsbedarf für Anbieter solcher Software?
Betriebssysteme oder Apps, die nicht auf dem neusten Stand sind, stellen in der Tat immer ein hohes Sicherheitsrisiko dar, insbesondere bei Android-Geräten besteht hier ein Defizit. Die Hersteller haben das Problem aber erkannt und hier bereits Schritte in die richtige Richtung unternommen: Google hat mit Android 8 (Oreo) das „Project Treble“ eingeführt, das die Verantwortlichkeiten für Updates aufteilt, so dass Android-Geräte schneller, einfacher und günstiger aktualisiert werden können. Auf lange Sicht wäre es spannend, die Ergebnisse der Forschungsarbeiten an modularen Betriebssystemen zu sehen. Google Fuchsia OS ist etwa ein Beispiel für einen vielversprechenden Ansatz. Studien unserer CISPA-Forscher haben gezeigt, dass Applikationen i.d.R. häufig und zeitnah aktualisiert werden, wenn diese Updates durch einen Markt wie „Google Play“ oder den „App Store“ verteilt werden. Problematisch sind hingegen insbesondere Abhängigkeiten von Dritten, wie beispielsweise Bibliotheken in Apps, die leider von den App-Entwicklern nur unzureichend aktualisiert werden. Hier gibt es dringenden Handlungsbedarf. Abhilfe würden beispielsweise neue Erweiterungen für Integrierte Entwicklungsumgebungen (IDE, integrated development environment) schaffen, die Entwicklern bei der Aktualisierung solcher Abhängigkeiten helfen. Eine solche Erweiterung wird beispielsweise derzeit am CISPA entwickelt. Eine weitere Hilfe könnten aber auch regelmäßige Scans seitens der Marktbetreiber sein, die gezielt nach veralteten Bibliotheken suchen.

Bedenklich sind laut dem Bericht auch unsichere Verbindungen in öffentlichen Netzen. Wie sollten öffentliche Hotspots künftig besser gesichert werden?
Ein großes Problem bei drahtlosen Netzwerken besteht aktuell darin, dass nur zwei Optionen zur Wahl stehen: WLANs sind entweder nicht verschlüsselt, also komplett offen, oder aber gesichert, erfordern dann aber eine obligatorische Authentifizierung, etwa über einen Benutzernamen und ein Passwort. Beide Optionen sind für öffentliche Netze äußerst ungünstig. Entweder opfert man die Sicherheit oder man muss eine Infrastruktur aufbauen, um die notwendigen Passwörter verteilen zu können. Der Nachfolger des aktuellen WPA2 sollte also idealerweise ermöglichen, eine gesicherte Verbindung zum Router aufzubauen, ohne eine Authentifizierung via Passwörter o.Ä. durchführen zu müssen. Die Funktionsweise erinnert hier etwas an TLS/SSL, bei denen man ebenfalls ohne Authentifizierung eine sichere Verbindung zum Server herstellen kann, wobei im WLAN Szenario der „Server“ der WLANRouter wäre. Der Standard IEEE 802.1X, eine generelle Methode zur Authentifizierung, entkoppelt bereits die Authentifizierung von der Assoziation, aber im aktuellen WPA2 kann dies nicht genutzt werden. Dies wäre also eine wünschenswerte Weiterentwicklung, die das WPA3 künftig bieten könnte.

UNSER NEWSLETTER

Newsletter bestellen JETZT BESTELLEN

■■■ WEITERE BEITRÄGE DIESER FACHDEBATTE

EIN DEBATTENBEITRAG VON
Marion Steiner
Sachverständige
Bundesfachverband der IT-Sachverständigen und -Gutachter

Marion Steiner, Sachverständige, BISG - Bundesfachverband der IT-Sachverständigen und -Gutachter e.V.
IT-Sicherheit | Internet der Dinge

Das Netz muss benutzbar für Laien bleiben

Wer für die Sicherheit haften sollte - und was ■ ■ ■

EIN DEBATTENBEITRAG VON
Marion Steiner
Sachverständige
Bundesfachverband der IT-Sachverständigen und -Gutachter

EIN DEBATTENBEITRAG VON
Julian Gallasch
Referent
Verbraucherzentrale Bundesverband

Julian Gallasch, Referent Team Recht und Handel, Geschäftsbereich Verbraucherpolitik, Verbraucherzentrale Bundesverband e.V.
IT-Sicherheit | Internet der Dinge

Cyberangriff mit vernetzten Kühlschränken?

Bundesverbraucherzentrale fordert von Politik ■ ■ ■

EIN DEBATTENBEITRAG VON
Julian Gallasch
Referent
Verbraucherzentrale Bundesverband

EIN DEBATTENBEITRAG VON
Tomasz Lawicki
Senior Consultant
Schwerhoff Consultants

Tomasz Lawicki, Senior Consultant Schwerhoff Consultants GmbH
IT-Sicherheit | Internet der Dinge

Verursacherprinzip ohne Relevanz

Machen jetzt die Versicherungen mit ■ ■ ■

EIN DEBATTENBEITRAG VON
Tomasz Lawicki
Senior Consultant
Schwerhoff Consultants

ZUR FACHDEBATTE

ÜBER UNSERE FACHDEBATTEN

Meinungsbarometer.info ist die Plattform für Fachdebatten in der digitalen Welt. Unsere Fachdebatten vernetzen Meinungen, Wissen & Köpfe und richten sich an Entscheider auf allen Fach- und Führungsebenen. Unsere Fachdebatten vereinen die hellsten Köpfe, die sich in herausragender Weise mit den drängendsten Fragen unserer Zeit auseinandersetzen.

überparteilich, branchenübergreifend, interdisziplinär

Unsere Fachdebatten fördern Wissensaustausch, Meinungsbildung sowie Entscheidungsfindung in Politik, Wirtschaft, Wissenschaft, Medien und Gesellschaft. Sie stehen für neue Erkenntnisse aus unterschiedlichen Perspektiven. Mit unseren Fachdebatten wollen wir den respektvollen Austausch von Argumenten auf Augenhöhe ermöglichen - faktenbasiert, in gegenseitiger Wertschätzung und ohne Ausklammerung kontroverser Meinungen.

kompetent, konstruktiv, reichweitenstark

Bei uns debattieren Spitzenpolitiker aus ganz Europa, Führungskräfte der Wirtschaft, namhafte Wissenschaftler, Top-Entscheider der Medienbranche, Vordenker aus allen gesellschaftlichen Bereichen sowie internationale und nationale Fachjournalisten. Wir haben bereits mehr als 600 Fachdebatten mit über 20 Millionen Teilnahmen online abgewickelt.

nachhaltig und budgetschonend

Mit unseren Fachdebatten setzen wir auf Nachhaltigkeit. Unsere Fachdebatten schonen nicht nur Umwelt und Klima, sondern auch das eigene Budget. Sie helfen, aufwendige Veranstaltungen und überflüssige Geschäftsreisen zu reduzieren – und trotzdem die angestrebten Kommunikationsziele zu erreichen.

mehr als nur ein Tweet

Unsere Fachdebatten sind mehr als nur ein flüchtiger Tweet, ein oberflächlicher Post oder ein eifriger Klick auf den Gefällt-mir-Button. Im Zeitalter von X (ehemals Twitter), Facebook & Co. und der zunehmenden Verkürzung, Verkümmerung und Verrohung von Sprache wollen wir ein Zeichen setzen für die Entwicklung einer neuen Debattenkultur im Internet. Wir wollen das gesamte Potential von Sprache nutzen, verständlich und respektvoll miteinander zu kommunizieren.