Produkte ohne Haftung – ein Danaergeschenk

Sebastian Schreiber über IoT-Botnetze und Massenangriffe auf Router – ein Kommentar

Personen, die vor 10 Jahren behaupteten, ihre E-Mails, Telefonate und SMS würden einmal abgehört werden, wurde oftmals eine Paranoia diagnostiziert. Nach den Enthüllungen von Snowden kommen wir zu einer Neubewertung dieses Sachverhalts. Hätten Sie, geneigter Leser, mir vor zehn Jahren mitgeteilt, dass Internetgiganten wie Amazon oder Netflix von einer Horde wild gewordener Kameras angegriffen und zur Strecke gebracht werden würden, dann hätte ich dies als Wahnvorstellung abgetan. Doch genau dieser Angriff geschah am 21. Oktober 2016. Was auf den ersten Blick total verrückt klingt, kann also schnell wahr werden. Die heutige Zeit ist eine Zeit im Umbruch. Es ist daher mehr als ratsam, mit Bewertungen und Diagnosen sehr, sehr vorsichtig zu sein.

Geräte aller Art mit dem Internet zu verbinden, ist ein Megatrend. Ich selbst besitze eine internetfähige Personenwaage und kann die Entwicklung meines Körpergewichts in einer App betrachten. Auch meine Zahnbürste führt Protokoll und meldet, wenn ich falsch putze. Internetrouter, Smart-TV, Amazon Fire-Stick und eine LAN-Buchse in meinem AV-Receiver habe ich natürlich auch. Das Küchengerät Thermomix hat neben einem festen Plätzchen in meiner Küche auch eine dynamische IP-Adresse in meinem WLAN.

Welche Betriebssysteme auf den Geräten laufen, ist dem Anwender in der Regel nicht bekannt. Genauso ungeklärt ist auch, wer für einen sicheren Betrieb der Geräte verantwortlich zeichnet. Wer beispielsweise in Deutschland Medikamente oder Kraftfahrzeuge verkaufen will, benötigt entsprechende Zulassungen. Die Verteilung der Haftung bei Vorfällen ist hier geregelt. So musste Bayer die Lipobay-Opfer entsprechend entschädigen und Daimler musste die A-Klasse nach nicht bestandenem Elch-Test kostenlos mit einem Stabilitätsprogramm nachrüsten.

Gerade im amerikanischen Recht wird geklärt, wer wann für welche Risiken verantwortlich ist („transition in responsibility and liability“). Dabei geht es weniger um Schuld, sondern schlicht darum, wer das Risiko trägt, also im Schadensfall haftet. Die Anwendung von Software und diverser IoT-Gegenstände ist jedoch völlig unreguliert: Jeder darf sie importieren, verkaufen, in Betrieb nehmen. Wenn in seltenen Fällen eine Wartung vorgesehen ist, dann fühlt sich keiner verantwortlich. Zudem werden Geräte sehr lange betrieben. Eine Kamera, die 2017 in Betrieb genommen wird, wurde vielleicht bereits 2014 entwickelt und leistet im Jahr 2020 gegen die dann aktuellen Angriffe keinen Widerstand mehr.

Wir verminen unsere Städte mit einem engmaschigen Netz an Geräten, die allesamt tickende Zeitbomben sind. Ein Inventar existiert nicht. Doch wer muss sich um das Problem kümmern? Nehmen wir an, der Telekom-Router-Angriff wäre erfolgreich gewesen und ein Täter hätte 900.000 Router in seine Gewalt gebracht und hiermit kritische Infrastruktur gestört. Wer hätte gehaftet? Die Telekom? Der chinesische Router-Hersteller? Der Importeur? Das Softwarehaus, das im Auftrag der Telekom die gebrandete Firmware erstellt hat? Oder trägt ein einzelner Anwender zum Beispiel zu einem Neunhunderttausendstel den Schaden?

Bei der Haftung geht es mir allerdings gar nicht so sehr darum, wer im Schadensfall die Zeche bezahlt: Vielmehr beeinflusst die Haftung das Verhalten eines Unternehmens. Denn nur, wenn Unternehmen (Produkthersteller und ISPs) ein Haftungsrisiko tragen, werden sie auch Maßnahmen ergreifen, dieses wiederum zu reduzieren.

„Cyberattacken gehören zum Alltag“ kommentiert unsere Bundeskanzlerin; das klingt einerseits verharmlosend und andererseits ohnmächtig. Beides kann ich nicht akzeptieren. Beim jüngsten Telekom-Vorfall sind wir zwar mit einem blauen Auge davon gekommen. Was jedoch geschieht, wenn der nächste Vorfall Menschenleben kostet? Oder wenn er die für unsere Wirtschaft vital erforderliche Infrastruktur für ein bis zwei Wochen lahmlegt?

Harmlos sind Cyberattacken also nicht. Ohnmächtig sind wir jedoch auch nicht, denn wir können etwas tun und alles daran setzen, dass sie keinen Erfolg haben. Doch wie macht man das? Indem man selbst simulierte Cyberattacken durchführt und die dabei identifizierten Schwachstellen behebt. Unsere Penetrationstests sind nichts anderes als solche simulierten Cyberangriffe. Mein Team und ich sind stets bereit, Sie bei dieser eminent wichtigen Arbeit zu unterstützen.

 


Termine

19.03.2019 - 22.03.2019
Hack1/Hack2: Hacking Workshop
26.03.2019 - 28.03.2019
Secu1: Digitale Forensik bei Computern und Smartphones
02.04.2019 - 03.04.2019
Hack8: WLAN-Hacking und WLAN-Security
09.04.2019 - 10.04.2019
Hack4: Angriffe gegen VoIP-Infrastrukturen