Interview mit Prof. Dr. Udo Helmbrecht: Software- und Hardware- Produkthaftung ist notwendig

Das Vertrauen in die digitale Infrastruktur ist in Deutschland relativ gering –das war das Ergebnis einer kürzlich durchgeführten DIVSI-Erhebung. Viele Menschen haben eine pragmatisch-fatalistische Haltung im Sinne von „Nichts ist sicher“. Sie halten die Kommunikationsmittel nicht für vertrauenswürdig, benutzen sie aber trotzdem. Wie bewerten Sie das?

Udo Helmbrecht: Es gibt eine übertriebene Erwartungshaltung, dass es so etwas wie hundertprozentige Sicherheit im IT-Bereich gibt. Wenn man Auto fährt, fährt man auch nicht mit 150 Stundenkilometern auf einer Landstraße. Man weiß: Ich kann leicht ins Schleudern kommen und hänge dann am Baum. Trotzdem sagt niemand, dass er kein ABS oder keinen Sicherheitsgurt braucht.

Bei der ganzen Diskussion vermischen sich viele Kontexte, die nichts miteinander zu tun haben. Um bei dem Bild vom Auto zu bleiben: Wenn Sie mit Ihrem Auto auf einer nassen Straße fahren, dann reden Sie nicht darüber, dass Geheimdienste versuchen, Ihr Auto zu manipulieren. Aber wenn Sie Präsident oder Kanzlerin sind, kann schon jemand Interesse daran haben.

Sie müssen einen Umgang mit Sicherheit finden, der für Sie adäquat ist. Dann ignorieren Sie vielleicht die Geheimdienste oder Terroristen, aber schützen sich gegen Identitätsdiebstahl und andere Cyberkriminalität. Die Frage ist, wie wir vernünftiges Risikobewusstsein bei den Endnutzern entwickeln können, damit sie nicht fatalistisch im Netz unterwegs sind. Sie sollen sagen, genauso wie ich im realen Leben Fahrrad fahre, Auto fahre, zur Bank oder zur Post gehe und dabei bestimmte Regeln beachte, gehe ich in der virtuellen Welt digital zur Bank oder zur Post. Und dabei halte ich mich auch an bestimmte Sicherheitsmaßnahmen.

Wie kann Ihrer Meinung nach das Vertrauen in digitale Kommunikation gestärkt werden?

UH: Das eine ist sicherlich Aufklärung. Die Menschen müssen sich bewusst werden, wann sie was und auf welche Weise kommunizieren. Ein einfaches Beispiel: Eine E-Mail ist wie eine mit Bleistift geschriebene Postkarte, das heißt, jeder kann sie lesen und verändern. Genau so, wie ich nicht möchte, dass der Postbote meine Briefpost lesen kann, so will ich auch in der virtuellen Welt nicht, dass andere meine E-Mails lesen können. Die Anbieter müssen aber auch mehr für ihre Produkte werben. Sie müssen den Menschen besser kommunizieren: „Bei uns kannst du dich darauf verlassen, dass nach menschlichem Ermessen keine Dritten deine Kommunikation unberechtigterweise mithören.“

Können Zertifizierungen und Gütesiegel den Verbrauchern helfen, vertrauenswürdige Angebote zu identifizieren?

UH: So etwas könnte sicherlich weiterhelfen. Beim Auto gibt es zum Beispiel den TÜV, der die staatlichen Vorgaben überprüft. Dann gibt es Produkttests wie bei der Stiftung Warentest. Andere Gütesiegel funktionieren auf Basis von Selbstverpflichtung, etwa das CE-Gütesiegel. Wir brauchen eine Mischung von Standards, Selbstverpflichtung, Produktinformation – und an den Stellen, wo es nicht gleich funktioniert, vielleicht sogar ein wenig Druck vom Staat.

Wie stehen Sie in der Diskussion um Produkthaftung bei IT-Anwendungen? Sind Sie für solche Maßnahmen?

UH: Die Diskussion über Softwarehaftung begann in Deutschland in großem Stil im Anschluss an die Botnet-Attacke von Telekom- Routern im November 2016. Plötzlich begann man darüber zu reden, ob man Hersteller verpflichten sollte, für bestimmte kritische Geräte wie Router Aktualisierungen bereitzuhalten. Ich bin für Software- und Hardware- Produkthaftung. Man muss nur sorgfältig in kleinen Schritten vorgehen, weil es heute noch keine ausreichenden Standards gibt. Die vorhandenen kommen aus dem Hochsicherheitsbereich und sind zu teuer und aufwendig für Endnutzer- Angebote. Deshalb sollten wir uns langsam annähern.

Brauchen wir mehr geförderte Angebote, um die Bürger darüber zu informieren, wie sichere Kommunikation funktioniert? Oder ist es sinnvoller, mehr darin zu investieren, um nutzerfreundlichere und sichere Angebote zu schaffen?

UH: Beides sollte gemacht werden. Die Sicherheitsfeatures, die wir heute in den Autos haben, waren auch nicht von Anfang an da. Wir haben sie in den letzten 30 Jahren nach und nach entwickelt und eingebaut. Dieser Prozess ist in der Informationstechnologie ganz am Anfang. Wir haben heute praktisch keine Haftung für IT-Anwendungen, aber fangen langsam an, das zu diskutieren. Wie schon gesagt, das muss in kleinen Schritten geschehen. Auf der anderen Seite kann man den Wettbewerb fördern und den Nutzern sagen, es gibt bestimmte Provider, die besser sind als andere, weil sie höhere Sicherheitsstandards haben.

Leider werden die IT-Medien, also Magazine und Zeitschriften, noch nicht so flächendeckend gelesen wie andere Produktinformationen, zum Beispiel wie das ADAC-Magazin beim Auto. Es gibt zwar Computer Bild oder Heise, aber sie werden immer noch als Nischenmedien wahrgenommen.

Wer sollte Ihrer Meinung nach solche Informationskampagnen anstoßen?

UH: Wir haben das im Beirat für „Deutschland sicher im Netz“ schon einige Male diskutiert. Leider fiel uns kein Patentrezept dafür ein. Wir haben einige Ideen, aber wir schaffen es nicht, diese so zu skalieren, dass sie die Masse der Menschen erreichen. Es gibt eigentlich eine Menge Initiativen, sowohl staatliche als auch von der Wirtschaft und sogar auf EU-Ebene, wie etwa den Cyber Security Month, den die EU-Mitgliedsstaaten jährlich im Oktober veranstalten. Trotzdem ist die Reichweite gering. Das Bundesamt für Sicherheit in der Informationstechnik hat eine Webseite mit Informationen für Bürger, in der viel Arbeit drinsteckt. Aber auch sie kriegen damit nicht die Skalierung und die Flächendeckung hin, die notwendig ist.

Vielleicht brauchen wir einfach noch mehr Zeit?

UH: Leider haben wir diese Zeit nicht. Die Sicherheitsvorfälle nehmen mit der Nutzung zu: Die Ransomware- Attacken, WannaCry oder Botnet-Angriffe, die wir in den letzten Monaten erlebt haben, werden sicherlich nicht die letzten sein. Die nächsten Cyberattacken könnten vor der Tür stehen. Wir müssen die Kommunikationssicherheit kurzfristig erhöhen, z. B. durch die Einführung verbindlicher Zertifizierungsmaßnahmen oder Produkthaftung, um auf zukünftige Sicherheitsvorfälle vorbereitet zu sein.

Prof. Dr. Udo Helmbrecht

Foto: Privat

Prof. Dr. Udo Helmbrecht

Prof. Dr. Udo Helmbrecht hat mehr als 40 Jahre Berufserfahrung im IT-Sektor. 1955 in Castrop-Rauxel/ Nordrhein-Westfalen geboren, studierte er Physik, Mathematik und Computerwissenschaften an der Ruhr-Universität in Bochum und promovierte dort 1984 in theoretischer Physik. Seit 2010 hat Udo Helmbrecht eine Honorarprofessur an der Universität der Bundeswehr in München inne. Seine Erfahrung auf dem Gebiet der Informationssicherheit sammelte er durch die Leitung diverser Projekte der Technik- und Versicherungswirtschaft sowie im Bereich Luft- und Raumfahrt. Von 2003 bis 2009 war er der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Seit dem 16. Oktober 2009 ist Helmbrecht geschäftsführender Direktor (engl. Executive Director) der European Network and Information Security Agency (ENISA) mit Sitz in Heraklion auf Kreta.