Politik muss handeln: Gericht entscheidet gegen Update-Pflicht für Handy-Hersteller

Finger berührt Smartphone-DisplaySelten schaffen es Gerichtsurteile aus dem Ausland als Top-News in die deutschen Medien. Es sein denn, das verhandelte Thema bewegt auch hierzulande die Gemüter.

So geschehen in der vergangenen Woche: Die niederländische Verbraucherorganisation Consumentenbond hatte den Handy-Hersteller Samsung verklagt, um diesen gerichtlich zu verpflichten, langfristig Sicherheits-Updates für seine Smartphones bereitzustellen. Die Verbraucherschützer scheiterten an einer fast schon fahrlässigen Begründung des Gerichts, die sich liest wie ein Lobbyisten-Papier.

Sicherheits-Updates: Hersteller soll entscheiden

Dort hieß es: Sicherheitslücken seien „zukünftige Vorgänge“, die ein Unternehmen nicht berücksichtigen könne, weshalb Hersteller frei entscheiden könnten, wie sie darauf reagierten. Außerdem stellte das Gericht fest, dass es für Hersteller aus verschiedenen Gründen unzumutbar sei, Updates für „ältere“ Geräte anzubieten. Wobei mit „ältere“ nicht etwa zehn Jahre alte Geräte gemeint waren, sondern im Extremfall sogar aktuelle Modelle, die sich noch im Verkauf befinden.

Offene Sicherheitslücken sind trauriger Alltag

Viele Hersteller Internet-fähiger Produkte bieten nur kurz oder gar keine Sicherheits-Updates an. Das hat zur Folge, dass in Privathaushalten – aber auch Unternehmen – millionenfach unsichere Geräte im Einsatz sind, für die es keine Patches gibt. Ein Zustand, den wohl niemand wollen kann! Der Worst Case: Ein Produkt kommt auf den Markt und läuft seinen gesamten Lebenszyklus über mit nur einer Software-Version – trotz zwischenzeitlich bekannt gewordener Schwachstellen. Der Hersteller bietet keine Updates an, denn diese würden Geld kosten und die Marge nachträglich schmälern.

Gerade in der Smart Home-Industrie ist das trauriger Alltag. Viele Nutzer bleiben so auf Geräten sitzen, die durch ihre offenen Sicherheitslücken häufig nicht nur sie selbst gefährden, sondern den nimmersatten Botnetzen großartiges Futter liefern. Die Verantwortung für ein sicheres Produkt wird damit still und leise vom Hersteller an den Kunden „weitergegeben“ – der aber gar keine andere Möglichkeit hätte, als das Produkt wegzuwerfen. Akzeptabel ist anders – und nachhaltig wäre dies auch nicht.

Die Hersteller bei der Geräte-Sicherheit völlig aus der Pflicht zu nehmen, ist mehr als fahrlässig. Nur sie sind in der Lage, ihre Produkte so zu konzipieren und zu pflegen, dass sie künftigen Security-Anforderungen gerecht und über Jahre sicher genutzt werden können. IT-Security Experten in ganz Europa sind sich hier einig und sehen in zeitnahen Sicherheits-Updates einen der wichtigsten Hebel zur Erhöhung des allgemeinen IT-Sicherheitsniveaus.

Update-Pflicht: Neue Gesetze müssen her

Der Urteilsspruch aus den Niederlanden zeigt zweierlei: einerseits gibt es die bestehende Gesetzeslage dort offenbar nicht her, die Hersteller in die Pflicht zu nehmen. Fast noch schlimmer ist jedoch das völlige Unverständnis für die digitale Welt, das die Richter mit ihrer Urteilsbegründung offenbaren. Denn eines ist ganz klar: anders als bei herkömmlichen Toastern oder Kühlschränken, die noch aus analogen Zeiten stammen, hört bei Internet-fähigen, „smarten“ Produkten die Entwicklung mit der Markteinführung nicht auf. Ganz im Gegenteil: in vielen Fällen steht sie da noch ganz am Anfang und hat einen jahrelangen Pflegeprozess vor sich.

Hätten sie dies erkannt, hätten die Richter zumindest einen klaren Handlungsauftrag an die Politik formulieren können, nämlich schnellstmöglich für eine sinnvolle gesetzliche Neuregelung zu sorgen.

Was wir jetzt dringend brauchen, sind klare rechtliche Vorgabe, die Sicherheits-Updates für Hersteller zur Pflicht machen – europaweit. Und das gilt nicht nur für Hersteller, die eigene Software und Betriebssysteme einsetzen, sondern gerade auch für diejenigen, die hierbei auf OpenSource-Lösungen setzen und bei Schwachstellen gerne jede Verantwortung von sich weisen.

EU Cybersecurity Act als Chance

Auch die Politik hat das erkannt. Sowohl in Deutschland als auch in Europa gibt es eine lebhafte Debatte darüber, ob und wie sich eine gesetzliche Verankerung der Update-Pflicht für Hersteller umsetzen lässt – zum Beispiel als Bestandteil des geplanten EU Cybersecurity Acts.

Eine per Gesetz geregelte Update-Pflicht würde Anwendern endlich die Chance geben, ihre Geräte über längere Zeit sicher zu betreiben. Dann müssen vor allem diejenigen Hersteller umdenken, die aus Kostengründen an Speicher & Co. sparen und so keinen Platz für spätere Updates lassen – oder auf Fremdcode setzen, den sie ja „leider nicht unter Kontrolle“ haben – wie man so oft hört.

Gleichzeitig würden auch diejenigen Unternehmen in die Pflicht genommen, die „neu“ sind in der IP-Welt, wie die Hausgerätehersteller, die immer mehr „smarte“ Produkte auf den Markt bringen. Diese müssten dann die IT-Sicherheit bereits frühzeitig in der Entwicklung ihrer Geräte berücksichtigen und ganz neue Prozesse aufsetzen. Wir unterstützen jedenfalls die Initiativen der Bundesregierung und der EU voll und ganz, denn die Sicherheitslücken der letzten Monate haben gezeigt, dass es längst Zeit ist, diesen Schritt zu gehen!

 

PS: Natürlich kann man nicht alle Sicherheitslücken über einen Kamm scheren. Die sicher nicht ganz einfache Aufgabe für die Politik wird es sein, einen ausgewogenen rechtlichen Rahmen zu schaffen, der einerseits die Anwender schützt, in dem er die Hersteller in die Pflicht nimmt. Der andererseits aber auch klare Grenzen setzt, die die Wirtschaft nicht über Gebühr belasten. Institutionen wie das BSI und sein europäisches Pendant ENISA werden hierbei eine wichtige Rolle spielen.

Getagged mit: , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Wenn Sie einen Kommentar hinterlassen, speichert das System automatisch folgende Daten:

  • Ihren Namen oder Ihr Pseudonym (Pflichtangabe / wird veröffentlicht)
  • Ihre E-Mail-Adresse (Pflichtangabe / wird nicht veröffentlicht)
  • Ihre IP (Die IP wird nach 60 Tagen automatisch gelöscht)
  • Datum und Uhrzeit des abgegebenen Kommentars
  • Eine Website (freiwillige Angabe)
  • Ihren Kommentartext und dort enthaltene personenbezogene Daten
  • Ich erkläre mich auch damit einverstanden, dass alle eingegebenen Daten und meine IP-Adresse nur zum Zweck der Spamvermeidung durch das Programm Akismet in den USA überprüft und gespeichert werden. Weitere Informationen zu Akismet und Widerrufsmöglichkeiten