fingolex

IT-Sicherheit im Internet der Dinge

von ,
Rechtsanwalt in Erlangen

TL;DR:

Sicherheit im Bereich IoT braucht neue Lösungen, sowohl kommerziell, als auch technisch. Es gibt erste spannende Ansätze, die auch längerfristige Lösungen kommerziell abbildbar machen. Auf rechtlicher Seite hingegen sind die Anforderungen eher die üblichen: es gilt, sowohl allgemeine, als auch branchenspezifische Bedürfnisse und Lösungen zu berücksichtigen.

Roboterauto zum Zweck der Ausbildung
Die Sicherheit von IoT-Geräten sieht leider häufig aus wie Basteleien von Amateuren. Dieser Roboter hingegen dient nur der Ausbildung. Vermutlich ist bei den Geräten für das Internet der Dinge der Kostendruck der Auslöser für dieses Problem. Bessere Lösungen sind gefragt.

Kein Unternehmen kommt heute ohne IT aus, alle müssen sich entsprechend mit der Absicherung von IT beschäftigen. Wer IT-Produkte herstellt, sieht sich zusätzlichen Aufgaben gegenüber. Welche konkreten Herausforderungen bestehen?

IT-Sicherheit, insbesondere im Umfeld des Internets der Dinge ist geschäftlich heute essentiell.

IT-Sicherheit wird durch die Vernetzung immer wichtiger. Kaum Geräte sind noch wirklich durch "Luftbarrieren" (also gänzlich fehlende Vernetzung) getrennt. Jedes vernetzte Gerät ist potentiell angreifbar. IoT-Geräte (Produkte aus dem Bereich des Internets der Dinge) sind besonders anfällig: sie sind angesichts ihrer geringen Kapazität häufig schwieriger abzusichern, dezentral verteilt und damit schwerer pflegbar. Noch deutlicher wird die enorme Wichtigkeit, wenn solche dezentralen Systeme im Produktionsumfeld und im Bereich der Medizin auf die Anforderungen treffen, Systeme stabil und vorhersehbar zu halten und Updates möglichst zu vermeiden.

Angriffe nehmen ständig zu, gleichzeitig steigen die rechtlichen Herausforderungen, etwa in im Kontext von Datenschutz oder durch branchenspezifische Vorgaben, daher gilt:

Kein Unternehmen kann sich mehr leisten, IT-Sicherheit zu ignorieren. Vor konkreten Umsetzungsschritten steht die Aufgabe, sich der konkreten Herausforderungen bewusst zu werden.

Wirtschaftliche Perspektive: IT-Sicherheit im Geschäftsmodell und der Finanzplanung unterzubringen ist eine Herausforderung.

IT-Sicherheit kostet Geld und stellt damit eine Aufgabe an die Planung von Geschäftsmodell und Finanzplanung. In den meisten Branchen ist die IT-Sicherheit eher eine nebenbei zu erledigende Pflichtaufgabe als ein eigenes positives Produktmerkmal – sie ist also schwer vermarktbar. Insofern besteht die Herausforderung, die Kosten für IT-Sicherheit in der Kalkulation abzubilden, im Geschäftsmodell abzudecken. Der Schwierigkeitsgrad ist hoch, da IT-Sicherheit keine statische Eigenschaft ist, sondern vielmehr ein fortlaufender Prozess. Die Kosten entstehen laufend – auch noch, nachdem Produkte in den Verkehr bzw. auf den Markt gebracht worden sind. Die im Markt genutzten Produkte brauchen schon rein faktisch weiterhin Pflege, und die Kunden erwarten in der Regel von Herstellern Lösungen für Sicherheitsfragen.

Einen spannenden Ansatz hat vor knappen eineinhalb Jahren Microsoft öffentlich vorgestellt: Microsoft Azure Sphere bietet eine Lizenz an einem Betriebssystem für kleine Geräte im Internet der Dinge. Diese Software wird in Kombination mit von Microsoft lizenzierten Chips eingesetzt und Microsoft gewährleistet für die Komponenten eine Pflege über einen signifikanten, fest zugesagten, Zeitraum. Der Preis ist dabei so, dass sich auch industrielle Anwendungen in höheren Stückzahlen wirtschaftlich abbilden lassen. Problematisch beim Einsatz in sensiblen Bereichen wie Digital Health: die Lösung ist zumindest aus sich heraus nicht "fail safe", das heißt, sie darf nicht in betriebskritischer Weise eingesetzt werden. Dieses Projekt folgt im Haus Microsoft einem Vorgänger, dem Project Sopris. Andere ähnliche Angebote sind mir derzeit nicht bekannt, ich freue mich jedoch jederzeit über entsprechende Hinweise.

Im eigenen Umfeld haben Geschäftsleute in zwei Bereichen Handlungsoptionen:

  1. Einerseits kann auf Vertriebsseite die Thematik kalkulatorisch abgebildet werden. Neben einer Mischkalkulation für die Kosten bietet sich insbesondere ein Abonnement-Modell an: neben dem Kauf des Produkts kann der Kunde einen Vertrag mit regelmäßigen Zahlungen vorsehen, die ihm Updates ermöglichen. Dies entspricht letztlich der gängigen Praxis der Softwarewartung, es handelt sich also um einen Standardansatz, auch, wenn die Umsetzung im Detail durchaus aufwendig sein kann.
  2. Anderseits kann auf der Kostenseite versucht werden, zumindest einen Teil der Kosten auf mehrere Schultern zu verteilen. Dies lässt sich umsetzen, indem konsortial mit anderen Unternehmen zusammen entwickelt werden. So lässt sich bei gleicher oder höherer Qualität eine Kostenreduktion erreichen – schließlich dürfte ein signifikanter Anteil der Entwicklung in mehreren Produkten einsetzbar sein – als Beispiel sei die Basisroutine, die die Geeignetheit und Integrität eines Updates prüft, genannt.
Elektronik auf grüner Matte

Rechtlich muss man sich fragen, wie lange der Hersteller eines Produkts für die IT-Sicherheit verantwortlich ist und in welcher Form. Reicht es etwa, dass das Produkt nach Stand der Technik gebaut war, als es in Verkehr gebracht wurde oder muss es auch später noch sicher sein, selbst, wenn dies ursprünglich nicht absehbare Anforderungen umfasst.

Anforderungen können sich aus dem Bereich der Organisationspflichten (die der Geschäftsführung/dem Vorstand obliegen), der Produktsicherheit, vertraglichen Verpflichtungen ebenso wie öffentlichen Vorgaben etwa aus dem Datenschutzrecht ergeben. Je nach Einsatzbereich sind die Anforderungen unterschiedlich strikt. Hersteller unterliegen in vielen Bereichen keinen harten Vorgaben. Doch treffen sie auf Markterwartungen: Kunden fordern sie auf, zu handeln. Dies nicht zuletzt, da die Anwender je nach Einsatzbereich konkrete Vorgaben – etwa zum Schutz personenbezogener Daten – beachten müssen. Für Sie liegt dies häufig auch im eigenen Geschäftsinteresse: schließlich gilt es, einen Ruf zu wahren und Geschäftsgeheimnisse zu schützen.

Bestimmte Branchen, in Deutschland unter dem Begriff KRITIS (Kritische Infrastruktur) zusammengefasst, unterliegen allgemein gewissen Vorgaben. Da die Branchenanforderungen ein Schutzniveau setzen, sind sie zunächst durch den Einsatz von Geräten im Internet der Dinge nicht abgewandelt, jedoch häufig praktisch schwieriger einzuhalten.

Kurzum: die Anforderungen sind die selben wie für klassische IT-Produkte, jedoch praktisch schwieriger umzusetzen – sowohl auf technischer Seite, als auch auf kommerzieller Seite: die meist geringeren Produktkosten reduzieren den finanziellen Spielraum sehr. Das sind also gute und schlechte Nachrichten zugleich. Es bleibt zu hoffen, dass weitere innovative Lösungen auf dem Markt kommen werden.

Unsere Angebote

Ich, Baltasar Cevc, biete rechtlich-strategische Beratung; allgemein gerne zu den Spezifika von Geschäftsmodellen, Kooperation mit Wettbewerbern, Regelungen zum Auf-den-Markt-Bringen, zu Verträgen sowie im Datenschutz- und IT-Recht – etwa zu den rechtlichen Fragen, die sich im Zusammenhang mit IT-Sicherheit stellen. Mein Kollege Hubert Andres ergänzt mich dabei bei Bedarf mit Branchenerfahrung aus den Life Sciences sowie im Vertrags- und Wirtschaftsrecht.


Hinweis: Dieser Artikel stellt keine Rechtsberatung dar. Er stellt die Situation aus einer deutsch-rechtlich geprägten Perspektive dar – die Situation in anderen Jurisdiktionen kann abweichen.
Foto-Urheber: Louis Reed (Elektronik auf grüner Matter) und Marília Castelli (Unterrichts-Roboter-Fahrzeug), beide von Unsplash abgerufen