23
Sep
2020

Risiken des „Internet of Things“: Produkthaftung bei Cyberangriffen

Einleitung: Cyberangriffe und „Internet of Things“-Produkte

Wir haben zuletzt über die Herausforderung für Unternehmen berichtet, IT-Sicherheit ihrer Unternehmen zu gewährleisten („Cyber-Angriffe: Haftungsrisiken vermeiden“ und „Ransomware: Meldepflichten für betroffene Unternehmen nach der DSGVO“).

In unserer zunehmend digitalisierten Welt des „Internet of Things“ („IoT„) sind aber nicht nur die Netzwerke von Unternehmen, sondern immer öfter auch die von ihnen vermarkteten Produkte das Ziel von Cyberangriffen. Der Trend zu „smarten“ Produkten, die mit dem Internet verbunden werden (oder sich sogar eigenständig mit diesem verbinden) und so zusätzliche Funktionen wahrnehmen können, hält unvermindert an und bietet Hackern eine Vielzahl von neuen Angriffsflächen. Dabei geht es zunehmend nicht nur um den unbefugten Zugriff auf und Abgriff von Daten, sondern immer öfter auch um die Beeinträchtigung oder Beeinflussung der Funktionsfähigkeit bis hin zur vollständige Zerstörung von Produkten.

Herstellerpflichten und Cybersicherheit

Jedes IoT-Produkt kann grundsätzlich eine Angriffsfläche für Cyberangriffe bieten. Gleichzeitig sind die Reaktionsmöglichkeiten des Herstellers begrenzt: Anders als bei Angriffen auf das Netzwerk hat der Hersteller die Produkte zum Zeitpunkt des Cyberangriffs regelmäßig schon in den Verkehr gebracht und die direkte Kontrolle über das Produkt an den (End-)Nutzer abgegeben. Dieser besitzt aber meist weder die notwendigen Fachkenntnisse noch die technischen Fähigkeiten, um Cyberangriffe auf die Produkte in seinem Besitz abzuwehren oder gar rechtzeitig erkennen zu können.

Zwar gibt es bisher kaum spezifische Regelungen zur Haftung bei Cyberangriffen, allerdings besteht für Hersteller ein gewisses Risiko, dass Kunden und Verwender im Schadensfall Ansprüche auf die zivilrechtliche Produkt- und Produzentenhaftung stützen. Der Hersteller kann danach im Schadensfall bei Nachweis der Voraussetzungen für die Verletzung von Verkehrssicherungspflichten haften.

Safety by Design als Herstellerpflicht

Den Hersteller trifft u. a. die Pflicht, Produkte nach dem Sicherheitsstandard zu gestalten, der zum Zeitpunkt des Inverkehrbringens dem neuesten Stand der Wissenschaft und Technik entspricht (Stichwort: „Safety by Design„). Der Hersteller sollte dabei grundsätzlich auch auf die Sicherheitserwartungen der Nutzer Rücksicht nehmen, deren voraussichtliche technische Kenntnisse sowie vorhersehbare Betriebsschwierigkeiten in die Sicherheitsgestaltung einbeziehen. Dies gilt im Grundsatz auch für IoT-Produkte und die darin eingebettete Software: IoT-Produkte sind in der Regel so zu gestalten, dass bekannte und vorhersehbare Risiken – so weit wie technisch und wirtschaftlich möglich – reduziert werden. Der Hersteller sollte grundsätzlich die Möglichkeit von Cyberangriffen bei der Entwicklung berücksichtigen und dahingehend relevante Risiken möglichst weit reduzieren. Für Fehler in der Konstruktion oder eventuelle Sicherheitslücken, die trotz Anwendung der erforderlichen Sorgfalt bei der Konzeption nicht erkennbar waren, muss der Hersteller aber regelmäßig nicht haften. Die Herstellerpflichten enden aber nicht bei der Konstruktion: Vor Risiken, die sich durch ein sorgfältiges Produkt- und Softwaredesign nicht ausschließen lassen, muss der Nutzer bereits bei Inverkehrbringen effektiv gewarnt werden.

Monitoring und Bereitstellung von Updates

Den Hersteller trifft im Grundsatz auch nach der Markteinführung eine Pflicht, seine Produkte zu beobachten (auch als „Monitoring“ bezeichnet). Das gilt für IoT-Produkte insbesondere dann, wenn neue IT-Sicherheitslücken bekannt werden, die zu Angriffsflächen für mögliche Cyberangriffe werden könnten. In solchen Fällen kann oftmals eine schnelle Reaktion des Herstellers gefragt sein, um die Kundenzufriedenheit zu erhalten und Haftungsrisiken zu reduzieren. Dazu kann es geboten sein, dass der Hersteller verhältnismäßig und effektiv reagiert, um Sicherheitsrisiken abzustellen. In Betracht kommen Warnungen an die Nutzer, die Bereitstellung von Updates oder die Einleitung eines Rückrufs.

Die Produktbeobachtung kann u.a. durch Auswertung und Analyse von Meldungen aus der Tagespresse und Fachzeitschriften, Mitteilungen von Behörden und der Sichtung von anderen öffentlichen Informationsquellen erfolgen. Auch Kundenbeschwerden oder Mitteilungen an Händler sollten ausgewertet werden. IoT-Produkte bieten Herstellern darüber hinaus eine erweiterte Palette an Produktbeobachtungs- und Reaktionsmöglichkeiten. So können in die Software des IoT-Produkts freiwillige Reportingsysteme integriert werden (sog. „integrierte Produktbeobachtung“), mit denen Nutzer aufgetretene Probleme nach Einwilligung in die Datenübertragung direkt an die Hersteller melden können. Außerdem können Warnungen direkt als Nachrichten auf dem Produkt angezeigt werden und Updates „over the air“ sofort auf Geräte aufgespielt werden.

Vorbereitung und Verhalten im Haftungsfall

Da sich die Gefahr von erfolgreichen Cyberangriffen und daraus resultierenden Schadensfällen nicht ausschließen lässt, sollten sich Hersteller auf einen möglichen Angriffsfall vorbereiten. Entstehen Schäden als Folge von Cyberangriffen auf IoT-Produkte, ist es erfahrungsgemäß für Geschädigte in der Praxis schwer, Ansprüche gegen die Angreifer geltend zu machen. Der Hersteller muss deshalb damit rechnen, dass Nutzer ihn in Anspruch nehmen. Hinzu kommt, dass bei IT-Sicherheitslücken meist Produktserien von den Schwachstellen betroffen sind, sodass eine Vielzahl von Schadensfällen droht. Um diese drohenden Risiken abzufedern, ist vor allem eine effektive Vorbereitung im Ernstfall Gold wert. Eine entsprechende Dokumentation der Erfüllung von Verkehrssicherungspflichten ist für eine erfolgreiche Verteidigung daher entscheidend.

Überdies können Hersteller intern Reaktionsprozesse schaffen und Verantwortungsbereiche sowie Ansprechpartner definieren und benennen. Insbesondere die Erstellung eines „Incident Response Plan“ ist für den Ernstfall hilfreich, da dieser die Vorgehensweise im Angriffsfall Schritt für Schritt festlegt. Wichtig ist zudem, diesen „Incident Response Plan“ regelmäßig zu aktualisieren und seine Anwendung im Unternehmen zu trainieren. Auch der Abschluss einer Produkthaftungs- und Cyberversicherung kann im Einzelfall sinnvoll sein.

Hogan Lovells – Cyber Breach App

Klicken Sie hier oder auf das Bild, um es zu vergrößern.

Laden Sie hier unsere Cyber Breach App herunter.