https://www.faz.net/-gqz-8o05o

Regeln nach dem Telekom-Hack : Der Preis der Sicherheit

  • -Aktualisiert am

Entsprechend dauert die Fehlerdiagnose und die Fehlerbehebung lange, die Updates sind selten. Dabei spielt auch eine Rolle, dass jedes Mal, wenn ein Software-Update millionenfach ausgerollt wird, ein bis zwei Prozent der Geräte danach funktionsunfähig sind: Der Preisdruck zwingt die Hersteller zur Verwendung der billigsten Speicher-Komponenten.

Die für Einkauf und Management der Beziehungen zu den Router-Herstellern zuständigen Mitarbeiter der Netzanbieter haben zwei Prioritäten, an denen sie festhalten: niedriger Preis und möglichst großer Funktionsumfang. Bessere Sicherheit hingegen führt nicht zum höheren Jahresendbonus – mehr Umsatz und höhere Gewinnmargen aber schon.

Hier liegt auch der Schlüssel zur Lösung: Man muss dringend eine geschlossene Kette für Haftung und Verantwortlichkeit durchsetzen. Der aktuelle Stand der Technik, die tatsächliche Umsetzung der derzeit verfügbaren Sicherheitsmaßnahmen muss verpflichtend werden. Die einzigen, die dazu technisch in der Lage wären, sind die Hersteller und die Netzbetreiber, die die Geräte vermarkten.

Im ersten Schritte wäre daher eine verpflichtende Angabe nötig, in welchem Zeitraum und mit welcher Aktualität Sicherheitsupdates garantiert zur Verfügung gestellt und ausgespielt werden – für alle Klassen von vernetzten Geräten. Was der gerade aktuelle Stand der Technik ist, müssen Wissenschaft, Sicherheitsforscher, Industrie und Staat kollaborativ und dynamisch untereinander definieren. Die zuständigen Behörden können dabei nur die Rolle des Moderators übernehmen. Derzeit sind wieder Ideen von zertifizierten Geräten im Umlauf, das geht aber an der Dynamik der Technikentwicklung vorbei: Die Branchenbesten liefern Sicherheitsupdates alle zwei Wochen, keine Zertifizierungsbehörde könnte dabei mithalten.

Strenge Strafen für Schlamperei

Im zweiten Schritt wären Haftungsregeln zu etablieren, die für starke ökonomische Anreize sorgen, keine Geräte mehr auszuliefern, die nicht auf dem aktuellen Stand der IT-Sicherheit sind. Solange niemand um seinen Bonus fürchten muss, solange kein Konzern strenge Strafen für Schlamperei riskiert, solange über die globalen Warenströme jede Woche Hunderttausende Internetgadgets ohne belastbare Sicherheitsverantwortungskette in die Netze gelangen, wird sich an der Situation nichts ändern.

Im dritten Schritt sollte man nach Sicherheitskriterien entwickelte, geprüfte und gepflegte Open-Source-Software konsequent und auch finanziell fördern. Durch frei verfügbare offene Software-Komponenten, die fortlaufend Sicherheitsupdates erhalten und auf Schwachstellen geprüft werden, werden auch kleine Hersteller weiter in der Lage sein, sicher am Markt teilzunehmen.

Praktisch heißt das, die Politik muss auch gegen kurzfristige Wünsche aus der Wirtschaft arbeiten, um gezielte Anreize zu setzen. Damit tut sich die Politik erwiesenermaßen schwer. Die IT-Sicherheit zu erhöhen, ist jedoch ein so bedeutsames Ziel – auch Unternehmen dürfen sich dem nicht entziehen, selbst wenn es zunächst Zeit und Geld kostet. Langfristig ist dieses Geld ohne Zweifel gut angelegt.

Schlechte Software ist volkswirtschaftlich nicht tolerierbar

Wenn die Geräte dann wegen sauber kalkulierter Sicherheitsupdates im garantierten Zeitraum teuer würden, dann moderat, aber sicher spürbar. Man kann diese Kosten aber nicht weiter auf die Allgemeinheit umlegen. Der volkswirtschaftliche Schaden durch schlechte Software und fehlende Updates ist nicht mehr tolerierbar, wenn es Botnets gibt, die innerhalb von Stunden Millionen Geräte automatisiert übernehmen.

Man stelle sich kurz vor, es wären nicht Router betroffen, sondern vernetzte Autos. Bei fahrenden Computern könnte man die Schuldfrage dann nämlich nicht einfach schulterzuckend abtun: Sicherheit wird im Straßenverkehr wie selbstverständlich erwartet. Bei allen anderen Computern ist das bei weitem nicht so.

Und das liegt an der Gefahr, die von dysfunktionalen Autos ausgeht. Auch wenn es nicht eben billig ist, haben wir uns entschieden, hier ökonomische Anreize gezielt so zu setzen, dass Gefahren möglichst präventiv verbannt werden. Aber die Gefahr durch unsichere Software auf Millionen von Geräten ist immens. Das müssen wir erkennen. Wir brauchen keine „Cyber-Nato“. Wir brauchen sondern ökonomische Anreize und rechtliche Regeln, die Sicherheit für alle über Profite stellen.

Weitere Themen

Topmeldungen

Im trauten Kreis: Olaf Scholz (Mitte) umringt von Hubertus Heil (links), Norbert Walter-Borjans und Saskia Esken in Berlin

Sonderparteitag : SPD tagt zum Koalitionsvertrag

In der SPD sind nicht alle zufrieden mit dem Koalitionsvertrag. Einige wollen in letzter Sekunden verhindern, dass ein FDP-Politiker Finanzminister wird.