De Maizière: "Warum hat niemand einen Anspruch und alle einen Schaden?"

Bundesinnenminister de Maizière hat einen rechtlichen Schadensersatzanspruch bei "Sicherheitsvorfällen" bei IT-Firmen gefordert. Auf dem Jahreskongress zum 10. Jubiläum der Initiative Deutschland sicher im Netz sagte er, IT-Firmen müssten für bei ihnen vorkommende Vorfälle auch rechtlich die Verantwortung übernehmen. Unternehmen müssten sich dagegen auch versichern können.

"Freiheit ist ohne Haftung und Verantwortung nicht zu haben", sagte der Minister. IT-Sicherheit habe heute in der Regel keinen Preis, weil es keine Verantwortungsträger gebe. Als Beispiel führte er die Debatte um WLAN- oder Providerhaftung an. Dort gehe es immer nur um die Frage, "wer nicht haftet". So gerate die Frage der Verantwortung systematisch in den Hintergrund und man wundere sich: "Warum hat eigentlich niemand einen Anspruch und alle einen Schaden."

IT-Sicherheit hinkt hinterher

Die IT-Sicherheit schreite nicht im "Gleichschritt" mit der restlichen technischen Entwicklung voran. "Digitale Sorglosigkeit, Gleichgültigkeit und Gutgläubigkeit sind auch heute noch Wegbegleiter des digitalen Fortschritts", sagte der Minister. Grundlegende Schutzmaßnahmen kämen häufig nicht zur Anwendung.

De Maizière bezog sich nicht explizit auf die aktuelle Diskussion um die IT-Sicherheit im Internet der Dinge. Seine Bemerkungen dürften jedoch auch auf Hersteller von IoT-Geräten wie Überwachungskameras und Netzwerkdrucker gemünzt sein, die wegen fehlender Sicherheitsupdates als Teil des IoT-Botnetzes Mirai erst vergangene Woche für die massiven DDoS-Angriffe gegen den Internetdienstleister Dyn missbraucht wurden.

Über fatalistische Nutzer

Die größte Verantwortung für die IT-Sicherheit trage aber der Nutzer. Der sensible Anwender, der weiß, worauf es ankommt, sei "die beste Firewall", so de Maizière in seiner Rede. Er halte nichts von dem Bild des "armen Nutzers", der sich nicht zu helfen wisse. Besonders junge User beherrschten ihre Geräte sehr wohl, wendeten das vorhandene Wissen aber kaum an. Häufig, weil sie als "fatalistische Nutzer" an dessen Wirksamkeit zweifelten.

Ob das auch mit übermächtigen Geheimdiensten, Bundestrojanern und einer Ausweitung der Massenüberwachung durch das neue BND-Gesetz zu tun haben könnte, ließ der Minister offen.

Gestufte Sicherheit gegen 80 Prozent der Gefahr

Um dem Fatalismus der Nutzer entgegenzutreten, warb der Minister stattdessen für eine Debatte über "gestufte Sicherheit". Man dürfe niemandem vorgaukeln, dass es hundertprozentige Sicherheit in der IT gebe. Stattdessen müsse den Nutzern kommuniziert werden, dass sich auch solche Maßnahmen lohnten, die einfach für mehr Sicherheit sorgten, auch wenn sich nicht jedes Risiko ausschließen lasse.

"Wir müssen für das zumutbare, mögliche Maß an Sicherheit werben", sagte der Minister. 80 Prozent der "normalen Angriffe" ließen sich "mit umsonst verfügbarer und die Bequemlichkeit nicht besonders einschränkender Technik" verhindern. Der volle Zugriff des BND auf Internetknoten in Deutschland gehört wohl zu den verbleibenden 20 Prozent.