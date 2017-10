18. Oktober 2017, 18:59 Uhr IT-Sicherheit Der programmierte Absturz









Die Hersteller machen es sich leicht - das ist der Grund, warum IT-Sicherheitslücken wie beim Wlan so gefährlich sind. Die Politik muss jetzt handeln.

Kommentar von Helmut Martin-Jung

Die gute Nachricht zuerst: Das gerade bekannt gewordene Sicherheitsproblem bei der Verschlüsselung von Wlan-Netzen ist eher theoretischer Natur. Ein Angreifer muss in der Nähe sein und sich mit der Wlan-Technik sehr gut auskennen. Ein Massenangriff über das Internet ist damit nicht möglich. Zudem: Die Sache ließe sich mit Software-Updates beheben.

Ließe: In diesem Konjunktiv steckt die schlechte Nachricht. Denn es gibt eine Vielzahl von Geräten, die zwar munter im Wlan mitfunken, für die es aber kein Update mehr geben wird. Das fängt bei Dingen wie vernetztem Spielzeug an, reicht über Überwachungskameras und Drucker bis hin zu Smartphones mit Googles Android-Betriebssystem. Jedes davon ist ein Sicherheitsrisiko, und die jetzt entdeckte Lücke wird bestimmt nicht die letzte sein.

Vernetzte Geräte abzusichern darf nicht allein den Kunden überlassen werden

Hersteller wie Apple und Microsoft haben längst erkannt, dass sie sich um die Sicherheit ihrer Produkte kümmern müssen. Sie stehen ja auch im Rampenlicht der Öffentlichkeit. Doch viele andere Hersteller verfahren nach der Devise "Aus dem Haus, aus dem Sinn". Das kann so nicht mehr weitergehen. Die EU sollte sich daher für eine Pflicht zum Update einsetzen, zumindest aber durchsetzen, dass Produkte ohne Update-Garantie gekennzeichnet werden - ähnlich wie Haushaltsgeräte mit überdurchschnittlich hohem Energieverbrauch.

Marktforscher, Branchenverbände und nicht zuletzt die Hersteller selbst übertreffen sich gegenseitig mit Prognosen dazu, wie viele Milliarden vernetzte Geräte es schon in den nächsten Jahren geben wird. Es lässt sich auch nicht bestreiten, dass in der Vernetzung Vorteile liegen können. Die Heizung etwa muss nicht bollern, wenn keiner zu Hause ist. Andererseits wär's schon nett, wenn die Wohnung warm wäre, wenn man im Winter heimkommt. Vernetzung ermöglicht das und spart dabei auch noch Geld und Energie - ein Beispiel von vielen.

Keine Technik ohne Schattenseiten

Doch keine Technik, die der Mensch bisher erfunden hat, ist ohne Schattenseiten. Je mehr man sich in Abhängigkeit vernetzter Maschinen begibt, desto mehr Schaden entsteht, wenn die Maschinen plötzlich versagen. Wer schon einmal an einem Flughafen war, als dort die IT ausfiel, hat eine Vorstellung davon. Solche Ausfälle können viele Gründe haben, einer davon ist ihre Absicherung.

So wie sich das sogenannte Internet der Dinge, die Vernetzung von Alltagsgegenständen also, derzeit entwickelt, ist der IT-GAU im wahrsten Sinn des Wortes programmiert: Um mitzumachen beim Vernetzungs-Hype flanschen viele Hersteller an ihre Geräte die Möglichkeit an, sich zu vernetzten; doch auf Sicherheit achten viele nicht. Entweder verstehen sie zu wenig davon oder es ist ihnen einfach egal. Und so passiert es dann: Sensible Daten werden unverschlüsselt durch die Gegend gesendet, die Geräte sind übers Internet von außen erreichbar, weil vollkommen unprofessionell abgesichert - die Liste ließe sich fortsetzen.

Das alles muss sich dringend ändern. Sicherheit muss ein integraler Bestandteil sein, wenn vernetzte Geräte entwickelt werden. Die Kunden sollten nicht wie bisher alleingelassen werden, wenn der Hersteller sich nicht mehr zu einem Update verpflichtet fühlt. Vorbild könnte die Vorgehensweise von Microsoft sein: Der Hersteller garantiert für seine Produkte Updates für einen vorab angegebenen Lebenszyklus. Darauf kann man sich einstellen und entsprechend planen.

Helfen würden vor allem drei Maßnahmen. Erstens: Vernetzbare Produkte sollten ein Prüfverfahren durchlaufen, das sicherstellt, dass sie den aktuellen und absehbaren IT-Sicherheitsanforderungen genügen. Zweitens sollte eine Kennzeichnungspflicht vorgeschrieben sein, aus der hervorgeht, ob der Hersteller Updates liefert. Drittens sollte eine Informationspflicht für Hersteller eingeführt werden. Bei gravierenden Sicherheitslücken müssten diese dann zum Beispiel auf einer speziell dafür eingerichteten öffentlichen Plattform im Internet Informationen über die Lücke und im Idealfall auch ein Update bereitstellen. Damit ein solcher Vorstoß die nötige Wucht den Herstellern gegenüber entwickelt, müsste er von der EU kommen.

Das klingt nach Bürokratie, auch ein bisschen nach Technikangst. Doch es ist nur weise Voraussicht. An warnenden Beispielen fehlt es nicht: Die Lücke bei der Wlan-Verschlüsselung ist eines davon, der Angriff auf vernetzte Kameras, die eigentlich der Sicherheit dienen sollten, ein anderes. Hacker hatten 2016 die Geräte gekapert und als Schleudern für eine riesige Angriffswelle missbraucht. Es ist höchste Zeit, dieses Problem anzugehen.