Der Winter 2017/2018 brachte eine deutlich gestiegene Grippe-Aktivität mit sich. Die Viren der Influenza mit Themen rund um die Cybersecurity in Verbindung zu bringen, ist nicht nur ein rein sprachliches Konstrukt. Denn der Anstieg von Cyber-Attacken, die Mutation der Attacken sowie die Professionalisierung der Angreifer ist durchaus ein vergleichbares Phänomen. Das wirft spätestens seit den Angriffen auf die Router der Deutschen Telekom 2016 und dem ein Jahr vorher in Kraft getretenen IT-Sicherheitsgesetz grundlegende Fragen nach der Gestaltung von Cyber- beziehungsweise IT-Sicherheit auf und erhält seine aktuelle Würze aus dem Hacker-Angriff auf das Außenministerium.

Mit dem Ende 2017 veröffentlichten Cybersecurity Act ist die Europäische Union einigen Antworten nähergekommen. Um aber wirklich zu verstehen, wo sich im Hinblick auf Cybersecurity eklatante Lücken befinden und was dies für alle Beteiligten - Hersteller wie Betreiber - bedeutet, muss die aktuelle Lage etwas genauer beleuchtet werden.

Einheitliches Cybersecurity-Konzept fehlt in der EU

Zunächst ist festzuhalten, dass es derzeit kein europaweit einheitliches Konzept zum Umgang mit Cybersecurity gibt. Das Europäische Parlament hat einen anspruchsvollen Fahrplan aufgesetzt, um Ende 2018 unter anderem mit der Umsetzung des Cybersecurity Act zu starten. Dieser ist derzeit aber noch in der Gesetzgebung, wie viele andere begleitende Rechtsakte rund um die Cybersecurity.

Insofern unterscheiden sich Cyber-Produkte hinsichtlich ihrer Security aktuell von Produkten aller anderen Kategorien, die produktsicherheitsrechtlich geprägt sind. Denn während letztere bereits seit knapp zehn Jahren im Konzept des New Legislative Framewerk komplett geregelt sind und produkt- oder branchenspezifische Standards zusammen mit Normen ein anspruchsvolles Sicherheitsniveau gewährleisten, existiert ein vergleichbarer Regelungsrahmen für Cybersecurity zum aktuellen Zeitpunkt nicht.

Wichtig für die Diskussion ist auch, dass es derzeit für reine Software keine Haftung gibt, die der für physische Produkte vergleichbar wäre. Schäden aufgrund von Softwarefehlern lassen sich daher nicht annähernd ausgleichen. Auch in diesem Punkt besteht also eine erhebliche und regelungsbedürftige Lücke zwischen Hardware und digitalen Produkten.

EU-Überlegungen zur Cybersecurity

Die in der EU zu beobachtenden Entwicklungen zum Thema Cybersecurity gehen in eine Richtung, die den produktsicherheitsrechtlichen Konzepten der realen Welt ähnelt. So sieht auch die Europäische Union die Zuständigkeit und Verantwortung für die Sicherheit der Produkte bei den Herstellern von Cyber-Produkten beziehungsweise deren Komponenten. Insofern besteht eine Analogie zum aktuellen Produktsicherheitsrecht, das in erster Linie den Hersteller adressiert.

Nach den bisherigen Überlegungen ist der Hersteller für die Security-by-Design verantwortlich. Dies bedeutet, dass er die Verantwortung dafür trägt, Sicherheit in die Software beziehungsweise das Produkt von Beginn der Entwicklung an zu implementieren. Diese Betrachtung folgt also auf ganzer Linie dem Produktsicherheitsrecht für nicht-digitale Produkte.

Trennlinie zwischen Hersteller und Nutzer

Allerdings sind die bisherigen rechtlichen Regelungen darauf ausgerichtet, eine quasi-chronologische Trennlinie zwischen Hersteller und Nutzer beziehungsweise Betreiber des Produktes zu ziehen. Diese Trennlinie steht für den Zeitpunkt, zu dem das Produkt den Verantwortungsbereich des einen verlässt und in den des anderen übergeht und zu dem das Produkt den Sicherheitsanforderungen entsprechen muss.

Doch diese Trennlinie kann bei digitalen Produkten nicht abschließend gezogen werden: Neue Bedrohungen, Bugs in den Produkten oder auch die Notwendigkeit, Funktionen und Schnittstellen an veränderte Umweltbedingungen anzupassen, erfordern häufig genug Eingriffe von außen. Bildlich gesprochen wird das sorgfältig abgedichtete Einfallstor also viel zu oft wieder aufgerissen, um das Produkt mit neuen Inhalten zu ergänzen und eventuell sogar Daten aus dem Gerät zu erhalten. Ein solcher Vorgang kann zum einen bereits eine Schwachstelle darstellen. Daneben können Updates oder Datenaustäusche den ursprünglich sicheren Zustand gefährden, weil etwa ein Patch oder ein Update per se Fehler enthalten.

Verantwortung anders verteilen

Die Verteilung der Verantwortung zwischen Hersteller und Nutzer ist also detaillierter zu betrachten als in der analogen Welt. Hierfür existiert derzeit allerdings keine gesetzliche Regelung. Im B2B-Bereich wird man viel über vertragliche Regelungen erreichen können. Aus meiner Sicht ist dabei der Hersteller insoweit zu verpflichten, wie es die grundsätzliche Sicherheit des Produktes, die Abwehrfähigkeit generell und die Möglichkeit zu sicheren Updates betrifft. Die Verantwortung bezüglich der Updates umfasst dabei sowohl eine gesicherte Updatefähigkeit als auch sichere Updates als solche.

Die Robustheit solcher Cyber-Produkte und -Systeme muss also auf einem bestimmten Niveau gegeben sein und gehalten werden. Dies ist - in Analogie zur Grippewelle - mit Cyber-Resilienz gut umschrieben. Das Risiko für darüber hinausgehende Attacken, neue Angriffsmethoden und -Inhalte trägt dagegen der Betreiber und Nutzer der Produkte selbst. Denn wenn das Produkt trotz Sicherheit ab Werk gehackt wird, aber weder Betreiber noch Hersteller hier objektiv etwas verhindern konnten, verwirklicht sich in diesem Fall das Betriebsrisiko des Nutzers beziehungsweise Betreibers.

Rechtlich bislang ungelöst: Schäden bei Dritten

Das ist ärgerlich, solange es nur Vermögens- und Sachschäden beim gewerblichen Betreiber hervorruft. Kritisch und auch rechtlich noch nicht abschließend bewertet ist die Situation, in der Manipulationen - etwa durch einen Hackerangriff - an einem Produkt zu Schäden bei Dritten führen. Und zwar sowohl im Sachschadensbereich, aber auch und vor allem bei Personenschäden. Solange entweder der Betreiber oder der Hersteller seinen oben genannten Pflichten nicht nachgekommen ist, kann die Verantwortung und Haftung für entstandene Schäden Dritter im bestehenden Rechtsrahmen zugeordnet werden. Das Bild ändert sich jedoch diametral, wenn alle skizzierten Anforderungen erfüllt wurden, das Cyber-Produkt aber dennoch angegriffen wurde und hierdurch Schäden entstanden sind. Diese Situation ist mit aktuell verfügbaren rechtlichen Mitteln nur schwer beherrschbar. Auf deutscher und europäischer Ebene werden daher gesetzliche Neuerungen diskutiert, die von einem neuen Haftungsrecht über eine Gefährdungshaftung des Herstellers oder Betreibers oder gar von beiden bis zur Schaffung einer E-Person gehen. In letzterem Fall wäre das Cyber-Produkt selbst verantwortlich, müsste mit einer Pflichtversicherung ausgestattet werden und wäre gegenüber dem Geschädigten zur Regulierung des Schadens verpflichtet. Sicherlich die futuristischste Denkweise.