Compliance und Risiko
Juristischer Leitfaden: IoT und IIoT
Für das IoT bestehen mehr ungeklärte juristische Fragen als gesetzliche Regelungen. Wie stellt sich der Stand der juristischen Diskussion dar, und welche Herausforderungen aus IT-Security Sicht sind damit verbunden?
Save to Folio
Alle kennen das Internet der Dinge, viele nutzen es, aber aus juristischer Sicht ist noch einiges unklar. Der aktuelle juristische Leitfaden von Trend Micro kümmert sich auch um dieses Thema und behandelt es gemeinsam mit dem Bereich „Big Data“, der darin zunehmend eine Rolle spielt. Doch anders als für die meisten anderen Gebiete gibt es in puncto IoT mehr ungeklärte juristische Fragen als gesetzliche Regelungen. Wie stellt sich der Stand der juristischen Diskussion dar, und welche Herausforderungen aus IT-Security Sicht sind damit verbunden?
2016 hatte das so genannte Mirai Botnet seinen Auftritt und erregte viel Aufmerksamkeit. Es ging darum, dass ein Angreifer in der Lage war (ist), über eine Sicherheitslücke hunderttausende bis Millionen Systeme (je nach Quelle gibt es unterschiedliche Angaben) gleichzeitig dazu zu bringen, eine Distributed Denial of Service (DDoS)-Attacke gegen bestimmte Ziele zu starten. Für IT Security-Profis ist das nichts Neues. Botnetze ähnlicher Größenordnung gab und gibt es öfter. Das Gefährliche an Mirai ist, dass das Botnet IoT-Geräte anvisiert, so etwa Webcams. Diese Geräte setzen eine internetfähige Software ein und sind somit ansteuerbar und können ein Programm ausführen. Aus diesem Grund ist ein Angreifer, der eine Sicherheitslücke missbraucht, in der Lage, das Gerät zu übernehmen. Auch das gibt es in der Welt der PCs schon länger. Nur existieren dort verantwortungsvolle Hersteller, die mittels Updates die Systeme immunisieren können, und Sicherheitshersteller, die solche Angriffe auch schon vor Verfügbarkeit von Updates bekämpfen.
IoT-Geräte aber sind oft so billig, dass weder Hersteller noch Kunden Zeit und Geld dafür aufwenden wollen, diese zu schützen. Dabei wären Lösungen keineswegs Hexenwerk. Oft reicht es einfach, das Default -Passwort zu ändern bzw. den Kunden bei der Inbetriebnahme aufzufordern, dies zu tun.
Wer haftet bei einem Angriff?
Bei einem Angriff steht natürlich auch hier die Haftungsfrage im Raum, weil das DDoS-Opfer einen Schaden erlitten hat. Aber wer soll dafür aufkommen? Selbstverständlich der Hacker – wenn man diesen findet. Die Cyber-Versicherung – doch dann steigt die Versicherungsprämie. Der Betreiber oder der Hersteller? … Genau das ist das Problem, das zur Diskussion steht.
Und das Problem betrifft nicht allein Webcams, also Consumer-Ware, sondern auch IoT-gestützte Serviceleistungen wie beispielsweise den Warentransport mithilfe von Drohnen. Diese aber könnten durch einen Hackerangriff zum Absturz gebracht werden. Genauso involviert wäre dabei auch das Industrial IoT System, welches die Ware fertig verpackt. Alle diese Systeme können angegriffen, manipuliert und zweckentfremdet werden. Das Schadenspotenzial ist theoretisch unbegrenzt, und doch ist es häufig schwierig, mit den Beteiligten – ob Hersteller oder Betreiber – Fragen der IT-Security-Zuständigkeit zu klären. Da aber eine steigende Zahl von IT-fähigen Geräten immer weitere Bereiche unseres Lebens erobern, wird die Frage der rechtlichen Verantwortung immer dringlicher.
Gesetzgeber gehen denn jetzt auch die Themenfeldern IoT/IIoT an. Dabei stehen neben den Haftungsfragen auch die Punkte Datenschutz und Rechte an den Daten im Vordergrund. Damit hängt auch der Bereich Big Data eng zusammen. Schließlich werden Daten nicht umsonst als „das Gold des IT-Zeitalters“ bezeichnet. Aber wer hat welche Rechte und welche Pflichten? Ein Beispiel soll das Dilemma verdeutlichen: Im Lieferverkehr wird eine Drohne eingesetzt, die in der Lage ist Umgebungs- und Wetterdaten zu speichern und auszuwerten, etwa um Flugrouten zu optimieren. Darf davon nun der Hersteller der Drohne oder deren Betreiber der Nutznießer sein oder ist es doch der Empfänger der Ware, der doch für diesen Flug bezahlt hat? Und was, wenn die Drohne abstürzt und irgendwo Schaden entsteht? Wer haftet?
Angesichts des Debakels um Boeings 737 max sind wir von dieser Diskussion nicht mehr weit weg. Denn wenn es um Software geht, sind Systemschwächen und Bedienfehler gleichermaßen möglich, was im Ernstfall jahrelange juristische Streitigkeiten mit sich bringen kann und andere in Mitleidenschaft zieht. So führte der Absturz der ersten Maschine leider nicht zum Einsatzstop des Boeing-Typs, und erst ein zweiter Unfall innerhalb kürzester Zeit machte klar, dass Bedienfehler nicht allein die Ursache waren.
Aber gibt es eigentlich ein IT-Risiko, dass Handeln notwendig macht?
Ja, denn wir beobachten im Bereich Industrial Internet of Things (IIoT) derzeit eine Zunahme an Cyberaktivitäten. Das liegt daran, dass aktuelle Bedrohungen wie beispielsweise Ransomware hier genauso funktionieren wie in anderen Bereichen und sogar höhere Gewinne versprechen. Denn der Stillstand von Produktionsanlagen kann auch bei vorhandener Datensicherung durchaus kostenintensiv werden, speziell dann, wenn die Quelle der Infektion nicht auszumachen ist.
Im Bereich IoT ist die zunehmende Zahl unsicherer Geräte ein spannender Anreiz für Cyberkriminelle. Wie diese die Schwächen genau ausnutzen werden, ist derzeit allerdings nur bedingt klar. Die oben beschriebenen DDoS Attacken kann man heute im Darkweb mieten. Andere Pläne, also „Geschäftsideen im Kreis der Hacker“, werden diskutiert. Von der vergleichsweise harmlosen Ausnutzung von Rechenleistung für Kryptowährungs-Mining bis hin zur Videoüberwachung ist vieles denkbar. Für einiges fehlt aber noch die geeignete Technik, um für Hacker verwertbar zu sein. Denkbar wäre etwa ein Szenario, bei dem ein Besucher einschlägiger Seiten per Video aufgenommen und dann entsprechend erpresst wird. Dazu fehlt es aber noch an der benötigten KI, um aus den millionenfachen Datensätzen die „interessanten“ herauszufiltern und dann eindeutig zuzuordnen. Die Betonung liegt hier auf „noch“.
Welche gesetzlichen Regelungen gibt es?
Zwar ist der Umgang mit personenbezogenen Daten durch die DSGVO geregelt, doch darüber hinaus ist es der ungeklärte Rechtsraum des Internets der Fragen aufwirft. So fordert Kritis zwar, dass kritische Anlagen nach Stand der Technik zu schützen sind. Wenn jedoch der Hersteller des IoT-Geräts keine Schutzmaßnahmen durch den Betreiber erlaubt, hat letzterer seine Pflicht erfüllt. Beide sind im Prinzip sicher, bis irgendwer einen Weg findet an die Maschine zu kommen und sie zu infizieren. Wer haftet nun, vor allem wenn nicht klar ist, wer die Malware eingeschleppt hat? Es hätte ja auch der Wartungstechniker des Herstellers bei einer Routinekontrolle sein können (wie bei Stuxnet).
Vorstellbar ist hier beispielsweise eine Art Gefährdungshaftung, wie wir sie im Straßenverkehr haben? All das muss natürlich im Gesetz genauestens dargestellt werden was bislang noch nicht erfolgt ist.
Im juristischen Leitfaden von Trend Micro können Sie weitere Informationen zu den genannten Themenfeldern im Kapitel II/3 (Big Data) und IV (Internet of Things) nachlesen. Der erste Teil dieser Blog-Serie stellt neue Entwicklungen wie etwa beim IT-Sicherheitsgesetz Version 2 oder im Bereich IoT und im Strafrecht und die Auswirkungen davon vor. Der zweite Teil beleuchtet das Thema Bring Your Own Device (BYOD) sowie den Heimarbeitsplatz aus Sicht der IT-Sicherheit. Im Vordergrund stehen Anleitungen dazu, was die Security zu beachten hat. Der dritte Teil der Blog-Serie beschäftigt sich mit den rechtlichen Aspekten der Verantwortung im Fall der Nutzung einer Cloud-Umgebung. Im vierten Teil schließlich wird das Thema der juristischen Konsequenzen bei Straftaten im Internet diskutiert.