Wir alle, die wir die digitale Revolution von der ersten Minute an miterlebt haben, kennen es nicht anders: Geräte veralten rapide, funktionieren nur fehlerhaft oder geben plötzlich den Geist auf; sie werden gehackt oder sind auf einmal nicht mehr kompatibel zum Stand der Technik. Aus dem hochmodernen Device wird innerhalb weniger Jahre ein digitales Auslaufmodell.
Wir haben uns daran gewöhnt, dass wir mit unseren Produkten und etwaigen Problemen oft allein gelassen werden. Wenn der Hersteller einen Tag nach dem Kauf des neuen Handys dessen Support einstellt, nehmen wir es mit einem Seufzen in Kauf: wahrscheinlich haben wir uns bei der Produktwahl nicht ausreichend informiert. In irgendeinem Forum, irgendeiner User-Group wurde die Einstellung sicher angekündigt. Ähnlich im Fall von Sicherheitslücken: meist obliegt es dem Kunden, sich zu informieren und Gegenmaßnahmen zu ergreifen. Mit unserem Schaden werden wir nicht selten allein gelassen.

Zeit für ein neues Verständnis von Verbraucherrechten und Sicherheit

Doch es ist Zeit, sich von dieser Einstellung zu verabschieden. Nicht nur vom Standpunkt der Verbraucherrechte her ist ein Umdenken nötig: Die niedrigen Standards bei der fortlaufenden Unterstützung digitaler Produkte stellen ein massives Sicherheitsrisiko dar. Ein Gerät, das nicht supportet wird, ist ein unsicheres Gerät; ohne Updates werden Sicherheitslücken nicht behoben. Es droht zur Waffe in einem Bot-Netz zu werden und damit die Durchschlagskraft von Cyber-Attacken weiter zu erhöhen.

Beim Design digitaler Systeme ist die Update-Tauglichkeit eine von drei unverzichtbaren Doktrinen (die anderen beiden sind durchgängige Verschlüsselung und die konsequente Forderung von Authentifizierung und Autorisierung jedes Zugriffs). Für die sichere digitale Welt muss sie einklagbar sein, ebenso wie Hersteller für Fehler in Haftung genommen werden müssen. Jede Forderung nach „Security by design“ ist Makulatur, solange man einen säumigen Hersteller nicht für seine unsicheren Geräte verantwortlich machen kann.

Die Sicherheit unserer digitalen Infrastruktur ist zu wichtig, als dass der Staat sie nicht durch entsprechende Gesetze gewährleisten muss. Die Forderung nach verlässlichen Produkten mit einer garantierten Lebensdauer ist deswegen eine Aufgabe für die Politik. Die Hoffnung, dass sich der Markt in puncto IT-Sicherheit selbst reguliert, ohne dass der Gesetzgeber eingreift, dürfte selbst der größte Optimist mittlerweile aufgegeben haben.

Digitaler Binnenmarkt funktioniert nicht mit „analogen“ Gesetzen

Die EU hat die Förderung des digitalen Binnenmarktes zu einem Kernziel erklärt. Doch anders als in anderen Branchen, wo gemeinsame Standards schon 2008 mit dem „New Legislative Framework“ eingeführt wurden, ist der Digitalmarkt noch immer uneinheitlich reguliert. Schlimmer noch: In vielen Fällen finden Gesetze aus der prä-digitalen Ära Anwendung. So etwa beim Urteil eines niederländischen Gerichts: Im Juni dieses Jahres hatte es eine Klage eines Verbraucherschutzbundes abgewiesen, der verlässliche Update-Garantiezeiten für Smartphones gefordert hatte. Ganz im Sinne herkömmlicher Produkthaftung hatte das Gericht entschieden, dass der Hersteller für zukünftige Ereignisse wie Sicherheitslücken nicht zur Verantwortung zu ziehen ist und Updates deswegen nicht einklagt werden könnten.

Damit geht die Rechtslage an den besonderen Umständen der digitalen Welt vorbei: Mag bei einem herkömmlichen Produkt die Entwicklung mit der Auslieferung abgeschlossen sein – bei internetfähigen Geräten und Software endet sie erst mit dem Ende der Nutzung. Niemand außer dem Hersteller vermag Produkte zu aktualisieren und ihre Sicherheit zu gewährleisten. Ohne zeitgemäße Gesetze, die diese Sondersituation anerkennen, werden alle Bemühungen zur IT-Sicherheit ins Leere laufen.

Nationale Vorstöße, wie sie derzeit beispielsweise in Deutschland diskutiert werden, sind lobenswert, werden das Problem aber nicht abschließend lösen. Es muss eine einheitliche, EU-weite Regelung zur Einführung einer verpflichtenden Sicherheitskennzeichnung analog zum bekannten CE-Kennzeichen her. Auch die Hersteller-Pflicht, Updates für einen bestimmten Zeitraum nach Kauf eines Geräts bereit zu stellen, muss im Binnenmarkt einheitlich verankert werden.

Eine einheitliche, moderne und sicherheitsfokussierte Einführung von Update- Pflichten und Mindeststandards innerhalb der EU hätte noch einen weiteren Vorteil: sie würde präventiv wirken und die Widerstandsfähigkeit („Resilience“) der IT-Infrastruktur erhöhen: Billiganbietern, die an Sicherheit und Updates sparen, würde sie einen Riegel vorschieben und gleichzeitig die Marktchancen derjenigen Hersteller stärken, die von Grund auf sicherer designte Produkte anbieten.

EU Cybersecurity Act: Erste Schritte

Erfreulicherweise ist die EU hier bereits aktiv geworden. Sie strebt im „EU Cybersecurity Act“ erste Schritte zur Verbesserung der Sicherheit an, darunter die Stärkung der ENISA, des europäischen Äquivalents zum BSI, und die Einführung einheitlicher Zertifizierungsschemata für internetfähige-Produkte. Diese sollen dann in allen Mitgliedstaaten verlässlich Auskunft über das Sicherheitsniveau internetfähiger Produkte geben.

Ein Entwurf der EU-Kommission liegt seit September letzten Jahres auf dem Tisch, die endgültige Verabschiedung steht aber noch aus. Änderungen sind also noch möglich. Sie sind aus meiner Sicht auch nötig.

Denn die im aktuellen Entwurf verankerten freiwilligen Sicherheitszertifizierungen werden das Problem der fehlenden Cybersicherheit alleine nicht lösen. Hierfür bräuchte es verpflichtende Sicherheitsmindeststandards für alle Produkte, die in irgendeiner Weise mit dem oder über das Internet kommunizieren. Und: es bräuchte zusätzlich eine gesetzliche Pflicht für die Hersteller, Sicherheitslücken schnellstmöglich nach Bekanntwerden zu schließen.

Ein aus meiner Sicht entscheidendes Argument hierfür liegt in der besonderen Art der digitalen Welt begründet: anders als bei Autos, Zahnpasta oder Lebensmitteln ist ein einmal zugelassenes digitales Produkt nur vorübergehend sicher. Die sich verändernde Bedrohungssituation, neue Schwachstellen und Angriffsmuster erfordern zwingend, dass das Herz dieser Produkte – die Software oder auch Firmware – dauerhaft überprüft und bei Bedarf aktualisiert wird. Freiwillige Einmal-Zertifizierungen sind nicht auf diese zyklischen Anforderungen ausgelegt. Sie erfüllen damit ein zentrales Ziel der IT-Sicherheitspolitik nicht – böten aber gleichwohl den Herstellern eine gute Gelegenheit, sich durch zusätzliche, besondere Sicherheitsmerkmale aus der Masse der Anbieter hervorzuheben.

Jetzt oder nie

Um die Sicherheit im Cyberraum langfristig zu fördern, muss die EU einen Dreisprung vollziehen: Sicherheits-Mindeststandards, die Update-Pflicht und Sicherheits-Zertifizierungen gehören thematisch fest zusammen. Sie sind zentrale Elemente für die digitale Sicherheit ebenso wie für die digitale Souveränität sowohl des einzelnen Verbrauchers als auch des Wirtschaftsstandorts Europa als Ganzes. Diese Maßnahmen müssen Teil des EU Cyber Security Act werden.

Dabei gilt es keine Zeit zu verlieren. Eine EU-Richtlinie, würde sie morgen verabschiedet, benötigt Zeit zur Umsetzung in nationales Recht. Auch die Industrie braucht Zeit: Um Produkte gemäß verpflichtender Sicherheits-Mindeststandards zu entwickeln und zu produzieren, brauchen die Hersteller offizielle Normen, an denen sie sich orientieren können. Diese gilt es zunächst zu entwickeln. Ein Prozess, der mitunter Jahre dauert.

Je länger die EU also jetzt braucht, um die gesetzlichen Grundlagen zu legen, desto länger verschiebt sich die Lösung unserer Cybersicherheitsprobleme in die Zukunft. Desto länger werden Verbraucher – aber auch die Wirtschaft – weiter mit auftretenden Sicherheitslücken alleine gelassen und hängen allein vom guten Willen der Hersteller ab.

Machen wir uns nichts vor: sollten es Mindeststandards & Update-Pflichten nicht mehr in den aktuellen Entwurf schaffen, wird die Stärkung der Verbraucherrechte in der digitalen Welt noch lange auf sich warten lassen. Denn dass eine gerade verabschiedete Richtlinie schon kurz darauf wieder angepackt wird, ist sehr unrealistisch.

Doch genau diese Zeit haben wir nicht.