Cyber-Sicherheit: Produkthaftung für IT-Hersteller im Gespräch

Der Fachbeirat beim Nationalen Cyber-Sicherheitsrat fordert eine umfangreiche Regulierung der Hard- und Software-Anbieter.

Der Fachbeirat beim Nationalen Cyber-Sicherheitsrat fordert massive Investitionen und weitere Maßnahmen, um die Cybersicherheit in den kommenden fünf Jahren deutlich zu verbessern. Dazu soll es eine umfangreiche Regulierung der Hard- und Software-Anbieter geben. Das geht aus einem Bericht des Beirates hervor, über den das „Handelsblatt“ in seiner Montagausgabe berichtet.

„Grundprinzip“ müsse es werden, dass Cyber-Sicherheit von Beginn eines jeden IT-Projekts berücksichtigt wird (security by design) und Produkte bei der Auslieferung mit sicheren Grundeinstellungen versehen werden (security by default). Die Branchenverbände sollten dazu binnen eines Jahres „eine Selbstverpflichtung der Hersteller, Anbieter und Betreiber“ erstellen. Die Hersteller sollen diese dann anerkennen. Die Selbstverpflichtung solle danach in technischen Regelwerken wie der DIN, beim Tüv und anderen verankert und möglichst auch auf europäischer Ebene umgesetzt werden.

Im Beirat sitzen Vertreter aus Behörden, Ministerien, der Bundeswehr, Wirtschaftsverbänden wie dem BSI, DIHK und Bitkom sowie von Unternehmen wie Siemens, Telekom und Amprion. Sie haben in dem Bericht die Gefährdungstrends für die kommenden fünf Jahre identifiziert und vor allem notwendige Maßnahmen für mehr Cyber-Sicherheit benannt.

So setzten Unternehmen vermehrt auf IT-Dienstleistungen über ein Netz (Cloud) oder nutzen über das Internet vernetzte Geräte (Internet der Dinge) und dezentral organisierte Datenbanksysteme (Blockchain). Die zunehmende Vernetzung auch im Alltag wie dem Straßenverkehr erhöhe die Gefahr von Angriffen und stelle „mittelfristig ein ernstzunehmendes Bedrohungsszenario dar“, heißt es in dem Bericht.

Verbraucher sollten von den Unternehmen beim Kauf eines Produkts über die Cyber-Sicherheitseigenschaften Informationen erhalten. Dazu soll es zudem „ein einheitliches, freiwilliges Sicherheitskennzeichen“ geben. Das Cyber-Sicherheitslabel soll „den Verbraucherschutz beim Umgang mit vernetzten Geräten“ fördern und das Sicherheitsniveau anzeigen.

Unternehmen, die öffentliche Aufträge erhalten wollen, sollen die Prinzipien einhalten müssen. Sollten die Unternehmen nicht bereit sein, sich freiwillig zu verpflichten, so sei auch „die vollständige Marktkontrolle durch Produktzulassung“ zu erwägen, heißt es in dem Bericht.

Auch schaffe eine Produkthaftung in einer arbeitsteiligen Wertschöpfungskette, „die Motivation, Verantwortung für die IT-Sicherheit ihres Teilproduktes zu übernehmen“. (dts)