Mehr Cybersicherheit: Kommt jetzt die Update-Pflicht in der EU?

Veröffentlicht am: 6. März 2019 Autor: Ralf Koenzen Veröffentlicht in Netzpolitik Keine Kommentare

Knapp eineinhalb Jahre ist es her, da sorgte eine der größten WLAN-Sicherheitslücken der letzten Jahre für Unruhe bei Nutzern und Sicherheitsexperten: KRACK. Das besondere an KRACK war, dass die Lücke im bis dahin genutzten WLAN-Sicherheitsstandard WPA2 selbst klaffte, im Prinzip also alle WLAN-Geräte – vollständig unabhängig vom Fabrikat – betraf. Die einzige langfristige Abhilfe: ein Update auf den neuen WLAN-Sicherheitsstandard WPA3.

Genau da aber offenbart sich ein Problem, das stellvertretend für die ganze vernetzte Welt steht: die Abhängigkeit der Nutzer vom Goodwill der Hersteller, ein entsprechendes Sicherheits-Update überhaupt zu liefern. Denn während wir – und viele andere verantwortungsbewusste Anbieter – mittlerweile selbstverständlich WPA3 für unsere WLAN-Produkte verfügbar gemacht haben, warten Abermillionen von Anwendern bis heute auf entsprechende Software-Aktualisierungen für ihre Geräte. Allen voran Smartphone-Nutzer und Smarthome-Pioniere, aber auch Router-Besitzer und IoT-Anwender.

Fehlende Updates lassen Nutzer im Regen stehen

Das Problem der fehlenden Sicherheits-Patches ist indes kein Neues: in schöner Regelmäßigkeit wird die Welt der smarten, Internet-fähigen Geräte und Dinge von Sicherheitslücken heimgesucht, die von Herstellerseite nicht behoben werden. Kein Wunder, dass die Forderungen nach einer entsprechenden gesetzlichen Verpflichtung der Hersteller, Patches zu liefern, immer lauter werden.

Während sich jedoch unsere nationale Politik offenbar schwer damit tut, ein Gesetz zur Update-Pflicht auf den Weg zu bringen, wagt der Verbraucherschutzausschuss im Europäischen Parlament (IMCO) nun einen ambitionierten Vorstoß.

Ein Paradigmenwechsel: Sicherheitslücken als Mangel

In einer Pressemeldung von Ende Januar kündigt das Europäische Parlament eine neue Verbraucherschutzrichtlinie an, die zunächst einmal zum Ziel hat, die Rechte der Verbraucher bei defekten oder mängelbehafteten Produkten zu stärken. Und zwar ganz unabhängig davon, in welchem EU-Land ein Produkt gekauft wurde und auf welchem Weg: klassisch über den stationären Handel oder über einen Online-Shop oder Marketplace.

Das Spannende an der „Sales of Goods Directive“ liegt jedoch im Detail. Erstmals in der Geschichte der EU überhaupt, wird ganz konkret festgelegt, dass eine Sicherheitslücke bei einem „smarten“ Produkt – also bei allen vernetzbaren Waren – einem Sachmangel gleichzusetzen ist. Genau dies wird nämlich bislang von vielen Herstellern und Händlern vehement bestritten. Die Folge für Kunden: sie können bislang für ihre Geräte bei ungepatchen Sicherheitslücken weder einen Umtausch noch eine Minderung verlangen. Und dies nicht einmal für Geräte, die sich noch innerhalb der Garantie befinden!

Geht die neue Richtlinie in der derzeitigen Fassung durch, kommt das einem wahren Paradigmenwechsel gleich. Die Rechte von Verbrauchern – und natürlich auch Anwenderunternehmen – werden massiv gestärkt und die Hersteller Internet-fähiger Produkte in die Pflicht genommen. Das wäre ein ganz wichtiger Hebel für mehr Cybersicherheit innerhalb der EU!

Wirtschaft, Verbraucherschützer und EU sind sich einig

Mit seiner Initiative erfüllt der IMCO-Ausschuss einen lang gehegten Wunsch vieler Verbraucherschützer, der auch in der Wirtschaft auf große Unterstützung stößt: in einer repräsentativen Umfrage zur Digitalpolitik vom Oktober 2018 fordern 92 Prozent von insgesamt 500 befragten Unternehmensvertretern in Deutschland eine gesetzliche Update-Pflicht bei Sicherheitslöchern. Klarer könnte das Signal in Richtung Politik kaum ausfallen! Die überwiegende Mehrheit der Umfrage-Teilnehmer (89 Prozent) spricht sich außerdem für die Einführung verbindlicher Sicherheits-Mindeststandards für internetfähige Produkte auf EU-Ebene aus – ein weiterer, immens wichtiger Baustein für mehr Cybersicherheit im Binnenmarkt.

Auf die Details kommt es an

Dass der Wunsch nach einer Update-Pflicht nun auch bei den EU-Parlamentariern angekommen ist, ist ein großartiger Fortschritt. Mehr noch: mit den Europawahlen im Mai vor der Brust ist eine rasche Verabschiedung der Richtlinie durchaus realistisch.

Allerdings lohnt sich hier noch einmal der Blick in die Details. In der aktuellen Fassung gibt es durchaus Formulierungen, die einen großen Interpretationsspielraum zulassen, beispielsweise Passagen wie „[…] including security updates that are necessary to keep the goods with digital elements in conformity: during the period of time which the consumer may reasonably expect given the type and purpose of the goods”.

Hier wäre es wichtig, konkreter zu werden. Wir benötigen klar definierte Zeiträume, in denen Verbraucher ohne Diskussion Sicherheits-Updates einfordern können. Denkbar wäre beispielsweise, diese an der gesetzlichen Gewährleistung (bei Consumer-Produkten) oder an Abschreibungsfristen (bei Business-Produkten) festzumachen.

Auch die Frage danach, in welchen Fällen genau Hersteller Sicherheits-Updates liefern müssen, wird nicht klar beantwortet. Stattdessen sieht die Richtlinie vor, die Pflicht der Hersteller auf Updates zu beschränken, „which are necessary for such goods to maintain their conformity […]”.

Solange diese „Konformität“ im Bereich Cybersicherheit jedoch nirgendwo klar definiert ist, muss diese Regelungslücke in der Richtlinie geschlossen werden. Denkbar wären beispielsweise konkrete Vorgaben anhand von „CVE-Klassen“, mit deren Hilfe die Schwere einer Sicherheitslücke von offizieller Seite bewertet wird. Langfristig wäre es aber wichtig, verbindliche Cybersicherheits-Mindeststandards für alle internetfähigen Produkte festzulegen, die dann als Bewertungsmaßstab herangezogen werden könnten.

Hersteller verpflichten, Verbraucher schützen

Die Verankerung einer Update-Pflicht ist längst überfällig: sie würden den Anwendern von Waren mit digitalen Komponenten endlich die Chance geben, diese sicher über einen längeren Zeitraum betreiben zu können und ihre diesbezüglichen Rechte wirksam einzufordern.

Gleichzeitig nimmt eine Update-Pflicht gerade auch diejenigen Hersteller in die Verantwortung, die leider häufig aus Kostengründen keine Sicherheitsupdates liefern oder ihre Produkte gar gänzlich ohne jegliche Update-Möglichkeit auf den Markt bringen. Oder neue Player in der IP-Welt, die mit Waschmaschine, Kühlschrank, Glühbirne & Co. zwar auf der „Internet-of-Things“ Welle mitschwimmen, ihr Lebenszyklus-Management jedoch noch nicht an die neuen Realitäten angepasst haben.

Diese beiden Aspekte sind von unschätzbarem Wert. Allerdings lässt die derzeitige Fassung der Richtlinie trennscharfe Definitionen schmerzhaft vermissen. Hier steht die EU in der Verantwortung, konkrete, praktikable und maßvolle Regelungen zu schaffen, die einerseits das gewünschte Mehr an Cybersicherheit bringen und andererseits nicht zum Innovationshemmnis werden. Andernfalls besteht das Risiko, dass die Richtlinie zum zahnlosen Tiger wird.

Verwandte Posts

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.