Verkehrssicherheit als Vorbild für IT

Als Beispiel gab der Minister an: "Wer Reifen nicht wechselt, gefährdet sich selbst und andere Unfallteilnehmer. Wenn Sie einen Router unsicher betreiben, dann kann der Router gekapert werden, sogar ohne dass Sie das wissen. Und dann kann Ihr Router zum Angriffsobjekt gegen Dritte genutzt werden, ohne dass Sie das wissen." Und er ging sogar noch weiter: "Die Gefahr, die von einer solchen Leichtfertigkeit ausgeht, ist größer als im Straßenverkehr. Weil die Allgemeinheit durch die vielfache Nutzung unserer Schwachstellen gefährdet werden kann."

Das Beispiel des Ministers hinkt allerdings: Während der Autofahrer die Profiltiefe seines Reifens zur Not mit einem Ein-Euro-Stück überprüfen kann, ist das bei der Sicherheit seines Routers nicht so einfach. Ob das sogenannte Gütesiegel dabei hilfreich sein wird, wird sich zeigen. Ein BSI-Sprecher sagte auf Anfrage von Golem.de, dass man sich derzeit auf eine Technische Richtlinie (TR) für Breitbandrouter fokussiere. Eine Arbeitsgruppe gemeinsam mit Herstellern, Betreibern und Verbänden entwickele die entsprechenden Anforderungen.

Anforderungen an Heimrouter noch offen

Diese TR diene dann als Referenz für ein freiwilliges Gütesiegel oder ein Zertifizierungsverfahren. Je nachdem, ob für bestimmte Anwendungsfälle eine Zertifizierungspflicht vorgeschrieben wird. So umfangreich wie im Falle der vernetzten Stromzähler solle die TR jedoch nicht werden. Bereits im ersten Quartal 2018 könnten erste Produkttests erfolgen, so dass bei der derzeit geplanten Veröffentlichung der Richtlinie im Mai 2018 schon Geräte die Anforderungen erfüllen könnten.

Unklar ist allerdings noch, welche Anforderungen tatsächlich an die Geräte gestellt werden. Ob das BSI selbst den Quellcode prüft und umfangreiche Pentests durchführt, ist ebenfalls offen. Einem Spiegel-Bericht zufolge sind in der Behörde weitere Maßnahmen im Gespräch, darunter ein "Mindesthaltbarkeitsdatum" für digitale Geräte, das festlegen soll, bis wann der Hersteller die Software aktualisiert. Ebenfalls könnte es eine gesetzliche Haftung der Hersteller geben, wenn Produkte nicht den aktuellen Sicherheitsstandards genügten.

Haftungsfragen europäisch regeln

Einen deutschen Alleingang auf diesem Gebiet lehnte de Maizière allerdings ab. "Das ist ein dickes Brett, um das es da geht." So stelle sich im Internet die Frage, wer eigentlich wofür hafte. Gerade für Produkte, die aus Deutschland stammten, sei es aber sinnvoller, wenn die Haftungsfragen auf europäischer Ebene geregelt würden, sagte der Minister. Trotz aller Anstrengungen von Politik und Wirtschaft dürfte im nächsten Lagebericht des BSI wie gehabt stehen: "Im Berichtszeitraum Juli 2017 bis Juni 2018 ist die Gefährdungslage weiterhin auf hohem Niveau angespannt. Die bekannten Einfallstore für Cyber-Angriffe bleiben unverändert kritisch bestehen."