18
Jan
2018
shutterstock_134417726

Cybersicherheit im IoT – “Meltdown” und “Spectre” zeigen Bedeutung der Updatepflicht

Das Thema Cybersicherheit ist aus den tagesaktuellen Medien nicht mehr wegzudenken. Nahezu jeden Tag kommt es zu neuen sicherheitsrelevanten Enthüllungen. Die jüngsten Veröffentlichungen in Bezug auf die Sicherheitslücken “Meltdown” oder “Spectre” zeigen, dass Sicherheitslücken nicht nur in der eingesetzten Software, sondern auch in verbauter Hardware bestehen können. Beide jetzt beschriebenen Schwachstellen setzten erstmalig auf CPU-Ebene, also prozessorseitig, an. Die Chip-Hersteller arbeiten bereits an Patches und Updates die zwar diese Sicherheitslücken schließen würden, ein vollständiger Schutz ließe sich jedoch nur mit einem vollständigen Austausch der Chips bewerkstelligen.

Für die Chip-Hersteller aber auch die IoT-Dienstleister, Anlagenbauer und Projektentwickler, dürfte ein derartiger Austausch schwerwiegende Folgen haben. Denn Ausgangspunkt für das Internet of Things (IoT) bildet die Vernetzung von Gegenständen durch cyber-physische Systeme (CPS). Diese CPS-Chips können in und an nahezu allen Objekten verbaut werden. Sie sammeln und kommunizieren anschließend beispielsweise Umweltinformationen des sie umgebenden Objekts, wie Temperatur, Feuchtigkeit, Vibrationen etc. Je nach Wunsch können die Objekte anschließend gesteuert werden. Im Anlagenbau werden die CPS-Chips insbesondere an schwer zugänglichen Stellen verbaut. Der großflächige Einsatz dieser CPS-Chips und die internetbasierte Datenkommunikation bieten damit zumindest potentiell eine immer größer werdende Zielscheibe für Cyberangriffe.

Wesentliche Risiken

Besonderes Angriffspotential bietet die Schnittstelle zwischen der Erfassung von Daten über die CPS-Chips und deren Übertragung über Kommunikationseinheiten per Internetverbindung. Es sind vielfältige Angriffspunkte innerhalb einer IT-Infrastruktur denkbar, beispielsweise Angriffe auf die Hardware oder die Datenübertragung und -verarbeitung.

Im Bereich des IoT sind dabei grundsätzlich zwei Angriffsszenarien denkbar: Den Grundfall stellt der Angriff auf die IT-Infrastruktur des IoT-Betreibers dar, wobei die IoT-Devices – die mit CPS-Chips ausgestatteten Objekte – zum Einfallstor des Angriffs werden können. Der externe Angriff betrifft also die Hardware oder die Übermittlung innerhalb der geschädigten Unternehmenseinheit.

Alternativ kann ein Angriff durch die eigenen IoT-Devices auf einen Dritten erfolgen. Dabei werden die eigenen IoT-Devices vom Angreifer übernommen – ohne dass dies vom IoT-Betreiber wahrgenommen wird – und dann für einen Angriff auf die IT-Infrastruktur eines Dritten verwendet.

In jüngster Zeit sind insbesondere Ransome-Attacken in den medialen Vordergrund gerückt (beispielsweise WannaCry, NotPety und jüngst Bad Rabbit). Ransome-Attacken verschlüsseln die Daten des infizierten Systems und drohen zugleich mit deren Löschung, wenn nicht ein entsprechendes “Lösegeld” – meist in BitCoin – gezahlt wird. Eine andere “beliebte” Angriffsart besteht im sogenannten Distributed-Denial-of-Services (DDoS). Dabei werden die Server des Angegriffenen gezielt durch eine Vielzahl zeitgleicher Anfragen überlastet, um die dort gehosteten Websites lahm zu legen.

Maßstab für Cybersecurity

Die Unternehmen stehen daher vor der Frage, welchen IT-Sicherheitsmaßstab sie anwenden sollten oder ggf. sogar mit Blick auf die Regulierung anzuwenden haben. Dabei besteht die wesentliche Hürde bereits darin, den für das jeweilige Unternehmen geltenden Maßstab herauszufinden. Die Anzahl der relevanten Normen ist beträchtlich und reicht von – offensichtlich IT-relevanten – Bezügen wie beispielsweise § 8a BSIG und § 32 DSGVO bis hin zu Normen, die nicht auf den ersten Blick mit Cybersecurity in Verbindung gebracht werden, wie beispielsweise § 91 AktG oder § 49 GmbHG. Die hinzutretende Schwierigkeit der Definition eines einheitlichen Maßstabs ergibt sich dabei aus einem komplexen (nationalen wie europäischen) Regelungsgeflecht.

Dabei lässt sich jedoch erkennen, dass der Gesetzgeber nur in den seltensten Fällen konkrete IT-Sicherheitsvorgaben gemacht hat, sondern vielmehr auf unbestimmte Rechtsbegriffe und insbesondere den “Stand der Technik” verweist. So bedarf die Auslegung eines Gesetzestextes, der beispielsweise “Stand der Technik” verwendet, der Hilfestellung von Verordnungsgebern, Verbänden oder Gerichten. Der Maßstab des Stands der Technik ist jedoch flexibel und passt sich – vereinfacht – an das technisch machbare an. Er unterliegt damit dem Fluss der Zeit und kann erhebliche Updatepflichten nach sich ziehen. Die Updatepflichten stellen die Unternehmen wiederum vor erhebliche Implementierungs- und Abstimmungsfragen, die in vertragliche Regelungen gegossen werden müssen.

Updatepflicht und Haftung

Je nach IoT-Geschäftsmodell kann sich eine Updatepflicht des Herstellers, IoT-Dienstleisters oder Anlagenbauers bereits aus der vertraglichen Ausgestaltung ergeben. Neben kaufrechtlicher und werkvertraglicher Nacherfüllungspflicht kommt dazu auch die mietvertragliche Erhaltungspflicht in Betracht. In jedem Fall stellen diese Updates den IoT-Dienstleister oder Anlagenbauer vor erheblichen Umsetzungsaufwand.

Die Updatepflicht und die Frage des Stands der Technik erhalten aber auch vor dem Hintergrund der Haftung zusätzliche Bedeutung. Das deutsche Recht bedient sich grundsätzlich des Schuldprinzips – demnach ist nur derjenige haftbar, der aus Vorsatz oder Fahrlässigkeit handelt. Dies kann gerade im Bereich der Cybersecurity für Probleme sorgen. Da für Cyberangriffe die Unvorhersehbarkeit ein Charakteristikum darstellt, ist es von maßgeblicher Bedeutung, wann die Unvorhersehbarkeit aus Sicht des IT-Dienstleisters als fahrlässig zu bewerten ist (sog. Black Swan Events).

Grundsätzlich stellt sich also die Frage, wie der erforderliche Sorgfaltsmaßstab im Hinblick auf präventive Maßnahmen der IoT-Serviceanbieter zu definieren ist. Eine Möglichkeit, Cyberangriffen und damit einem Haftungsfall vorzubeugen, stellen regelmäßige Softwareupdates der Systeme dar. Es kann aber auch, wie die Fälle “Meltdown” und “Spectre” zeigen, ein vollständiger Ausbau der CPS-Chips notwendig werden.

Die Implementierung derartiger Updates in IoT-Anwendungen kann jedoch problematisch sein. Neben den teilweise hohen (Austausch-)Kosten können sich Fragen hinsichtlich des Zeitpunkts des Updates, einer ausreichenden Downloadkapazität oder der Zugriffsrechte des Nutzers ergeben. Daher sind besondere Anforderungen an eine lückenlose Protokollierung von Updates zur Klärung von Kapazitäts- und Beweisfragen zu stellen.

Im Fall von “Meltdown” und “Spectre” sehen sich die IoT-Dienstleister noch einem weiteren Risiko ausgesetzt: Sie könnten ggf. vertraglich zugesicherte Verfügbarkeiten und Reaktionszeiten nach einem Update nicht mehr einhalten. Drohen tatsächlich Leistungsabfälle um bis zu 30 Prozent – wie in manchen Berichten angenommen – kann dies gravierende Auswirkungen auf den bereitgestellten IoT-Service haben.

Die zusätzliche Relevanz erhält die Frage des Sorgfaltsmaßstabs aus den weitreichenden Konsequenzen, die im Schadensfall auftreten können: Von hohen Bußgeldern (vgl. DSGVO oder BSIG) über eine persönliche Haftung des Geschäftsführers (§ 43 GmbHG) bis hin zu Freiheitsstrafe (§ 203 StGB) ist die Rede.

Fazit

Die Cyberrisiken sollten von den Unternehmen nicht unterschätzt werden, da sowohl haftungsrechtliche als auch persönliche Konsequenzen neben Reputationsschäden und Kundenverlusten drohen können. Hier sollte daher besonderes Augenmerk auf aktuelle Entwicklungen der IT-Sicherheitstechnik gemacht werden. Müssen Updates implementiert werden, stellt dies die Betriebsabläufe vor besondere Herausforderungen. Diese Fragen sollten vertraglich abgesichert werden.