Innovation und Digitalisierung

Sicherheit von IKT- und IoT-Produkten

Die zunehmende Vernetzung sowie die Verbreitung von Produkten mit Anbindung an das Internet (der Dinge) führen zu Abgrenzungsfragen zwischen Produktsicherheit und IT-Sicherheit. Wenngleich das Regelwerk in diesem Bereich sich teilweise noch in einer Findungsphase befindet, existieren in den vorhandenen Vorschriften für Produkte und zur IT-Sicherheit bereits zahlreiche Anknüpfungspunkte. Mit dem europäischen Cybersecurity Act wurde Mitte 2019 zudem ein Zertifizierungsrahmen definiert, der die weitere Entwicklung erheblich beeinflussen dürfte. Dieser Artikel fasst (Stand Juli 2024) ausgewählte Teilbereiche der aktuellen Entwicklung und Diskussion zusammen und soll insbesondere Herstellern – ohne Anspruch auf Vollständigkeit – eine erste Orientierung bei der Identifikation relevanter Vorschriften und Handlungsfelder bieten.

Einleitung

Vernetzte Produkte sind aus Kundensicht mittlerweile eher Selbstverständlichkeit als eine Innovation. Die Anwendungsfelder reichen vom Smart TV über Connected Cars bis hin zu intelligenten Behältern in Produktionslinien oder umfangreich vernetzten Produktionsanlagen. Während sich hinsichtlich der klassischen Produktsicherheit (”Safety") über Jahrzehnte hinweg Rechtsrahmen, Rechtsprechung und Hilfsmittel etabliert haben und in Ausbildung sowie Studiengänge einfließen, befinden sich einige grundsätzliche Fragen in Zusammenhang mit der IT-Sicherheit von Produkten (”Security”) noch in einer Diskussions- und Findungsphase.
Nach großen Cyber-Angriffen beispielsweise in Zusammenhang mit dem Internet der Dinge ist der politische Ruf nach Haftungsregeln für IKT-Produkte daher regelmäßig schnell formuliert. Jedoch ist bereits seit einigen Jahren eine umfangreiche und langfristige Weiterentwicklung entsprechender Rechtsgrundlagen und Normungsaktivitäten zu beobachten.
Von großer Bedeutung für das Verständnis des im Folgenden erläuterten Zusammenwirkens der verschiedenen Vorschriften und Standards ist zunächst die Differenzierung zwischen folgenden Bereichen:
  • Aspekte der Produktsicherheit und Produkthaftung (Schutz insbesondere von Personen und Gütern sowie Regelungen für die Haftung beispielsweise bei Personen- oder Sachschäden) sowie
  • Fragen der Mängelhaftung oder Einräumung von Garantien (beispielsweise Nachbesserung oder Ersatz bei Mängeln oder Nichterfüllung zugesicherter Eigenschaften)
In den folgenden Kapiteln erhalten Sie zunächst einen kurzen Überblick über diese Teilbereiche. Diese werden am Ende dieses Artikels – soweit angesichts der laufenden Findungsphase möglich – in einen Zusammenhang gebracht.

Produktsicherheit

Am Anfang nahezu jeder Produktentwicklung steht eine Risikoanalyse und -bewertung, in deren Rahmen ein Experten-Team des Herstellers alle von einem Produkt ausgehenden Risiken analysiert, die zu Personen- oder Sachschäden führen könnten. Anschließend werden Maßnahmen zur Verringerung dieser Risiken umgesetzt, welche in der Praxis meist in der Anwendung geeigneter technischer Normen bestehen. Dies kann am Beispiel eines HiFi-Verstärkers veranschaulicht werden: Zunächst sind offensichtliche Risiken durch Elektrizität naheliegend. Gleichzeitig werden aber auch erst auf den zweiten Blick erkennbare Risiken analysiert, beispielsweise in Zusammenhang mit heißen Oberflächen, scharfen Kanten des Gehäuses oder elektromagnetischen Störungen.
Ist nun geplant, den Verstärker mit einer Anbindung an das Internet zu versehen, entsteht je nach Ausprägung (zum Beispiel durch Möglichkeit zur Fernsteuerung) ein "IoT-Verstärker". In Zusammenhang mit der Risikoanalyse wären dann unter anderem folgende Ergebnisse denkbar:
  • Variante 1: Hardware und Software sind derart implementiert, dass ein Cyber-Angriff unter keinen Umständen zu Gefahren für Personen oder Sachen führt. Im schlimmsten Fall steht beispielsweise die Möglichkeit zur Fernsteuerung nicht mehr zur Verfügung.
  • Variante 2: Durch einen Cyber-Angriff könnte der Verstärker derart manipuliert werden, dass Nutzer beispielsweise einen Hörschaden erleiden oder dass das Gerät durch Überhitzung in Brand gerät.
Auf den ersten Blick entsteht der Eindruck, dass ein Produkt nach Variante 2 unter keinen Umständen produziert werden darf. Bei genauerer Betrachtung ist jedoch zu beachten, dass das Produktsicherheitsgesetz und die CE-Richtlinien vom Hersteller Sicherheitsmaßnahmen hinsichtlich der bestimmungsgemäßen Verwendung sowie vorhersehbarer (Fehl-)Verwendungen fordern. Eine missbräuchliche Verwendung (im Rahmen eines Cyber-Angriffs) wäre dementsprechend nur dann zwingender Gegenstand der Betrachtung, wenn es sich hierbei um eine vorhersehbare Verwendung handelt.
In der Literatur wird daher unter anderem diskutiert, die Auslegung des Begriffs der vorhersehbaren Verwendung in Richtung einer Widerstandsfähigkeit gegen (einfache) Cyber-Angriffe zu erweitern. Im zweiten Fall des obigen Beispiels wären somit aufgrund der Schutzziele des Produktsicherheitsgesetzes beziehungsweise anwendbarer CE-Richtlinien geeignete Schutzmaßnahmen erforderlich. Bei entsprechender Auslegung durch Gerichte oder Aufsichtsbehörden könnten somit im Fall einer Nichtberücksichtigung entsprechender Maßnahmen Bußgelder verhängt oder der Rückruf gefährlicher Produkte angeordnet werden. Ebenso wäre eine Haftung für entstandene Personen- oder Sachschäden ableitbar (welche sich unter bestimmten Voraussetzungen im Übrigen auch aus der bereits bestehenden Produzentenhaftung ableiten lässt).
Die Abgrenzung der bislang betrachteten Regelungen von Fragen der Mängelhaftung (Gewährleistung) beziehungsweise Garantie wird anhand des folgenden Beispiels deutlich:
  • Ein “Rückruf” eines gefährlichen IKT- oder IoT-Produkts müsste nicht zwangsläufig physisch erfolgen, sondern könnte beispielsweise mittels einer Art Fernabschaltung durchgeführt werden. Gleichzeitig führt ein Rückruf nicht zwangsläufig dazu, dass ein Hersteller oder ein anderer Anbieter ein Produkt ersetzen oder den Kaufpreis erstatten muss, insbesondere nach Ablauf von Gewährleistungs- beziehungsweise Garantiefristen.
  • Da das Thema IT-Sicherheit insbesondere im Consumer-Bereich teilweise noch gar kein Entscheidungskriterium beim Kauf von Produkten darstellt, könnten beispielsweise außereuropäische Hersteller diesen Umstand als Wettbewerbsvorteil nutzen, indem sie ohne Rücksichtnahme auf die eigene Reputation auf längerfristige IT-Sicherheitsmaßnahmen verzichten und bei Eintreten erwarteter Risiken kurzerhand eine “digitale Rückrufaktion” durchführen – oder gar nicht reagieren.
Eng verbunden mit dem Thema Produktsicherheit ist das Thema Normung, welches im folgenden Kapitel skizziert wird.

Normen und Standards

Rund um die IT-Sicherheit existieren bereits zahlreiche Standards und Normen, zahlreiche weitere sind absehbar. IT-Sicherheitsstandards (Normen) kommen unter anderem aus folgenden Gründen zum Einsatz:
  • Es bestehen konkrete Vorgaben in Gesetzen/Verordnungen, die entsprechende Schutzmaßnahmen erforderlich machen. Hierbei könnte es sich zum Beispiel um ein Schutzziel in einer CE-Richtlinie handeln, welches durch Anwendung einer harmonisierten Norm erfüllt werden könnte. Andererseits könnten derartige Anforderungen auch im Kontext des IT-Sicherheitsgesetzes bestehen, beispielsweise im Zuge eines branchenspezifischen Sicherheitskatalogs.
  • Mit einem IKT- oder IoT-Produkt ist das Risiko von Schäden aufgrund von Cyber-Angriffen verbunden, welches durch entsprechende Maßnahmen verringert oder ausgeschlossen werden soll. Derartige Maßnahmen kommen schon heute vielfach zur Anwendung.
  • Der Hersteller strebt von sich aus ein hohes Sicherheitsniveau an oder sein Kunde hat entsprechende Anforderungen vertraglich vereinbart.
Gerade die Möglichkeit der vertraglichen Vereinbarung sollte in der praktischen Wirkung nicht unterschätzt werden. Vereinbart ein Kunde mit seinem Lieferanten für ein IKT-Produkt „IT-Sicherheitsmaßnahmen nach Stand der Technik“, stellen unter anderem die zu diesem Zeitpunkt veröffentlichten (und auf das Produkt anwendbaren) Standards einen entsprechenden Stand der Technik dar, der einzuhalten ist. Idealerweise könnten die anzuwendenden Standards auch explizit aufgeführt werden.

Bisherige Regelungen zur IT-Sicherheit

Unabhängig von Produktvorschriften existieren bereits zahlreiche Vorschriften, die explizit oder auch indirekt Anforderungen an die IT-Sicherheit vorsehen. Die folgenden Beispiele stellen nur eine exemplarische Auswahl dar.
§ 19 Abs. 4 TTDSG sieht beispielsweise vor, dass Anbieter von Telemediendiensten diese gegen "Störungen, auch soweit sie durch äußere Angriffe bedingt sind" sichern müssen. Hierbei ist der Stand der Technik zu berücksichtigen, der derzeit unter anderem durch die BSI-Empfehlungen zur Absicherung von Telemediendiensten definiert wird.
Betreibt (am Beispiel des im Abschnitt Produktsicherheit behandelten Verstärkers) ein Hersteller also einen Server oder ein zugehöriges Online-Portal, um bestimmte Dienste in Zusammenhang mit dem Gerät anzubieten, sind hierfür mindestens die vom BSI aufgeführten Sicherheitsanforderungen zu berücksichtigen. Die Maßnahmen reichen von gehärteter Konfiguration und Sicherheits-Updates über Verschlüsselung und Monitoring bis zu Penetrationstests. Insofern wird die "Teilkomponente Online-Dienst" durch TMG und BSI-Empfehlungen bereits umfangreich adressiert. Weitergehende Anforderungen bestehen für den Fall, dass in diesem Rahmen auch personenbezogene Daten verarbeitet werden.
Ein weiterer Faktor käme bei Einsatz des Gerätes in einem Betrieb ins Spiel. Aufgrund der Betriebssicherheitsverordnung muss der Arbeitgeber Betriebsmittel bereitstellen, die (im Sinne von Personen- und Gesundheitsschutz) sicher verwendet werden können. Entsteht im Laufe der Zeit ein neues Risiko für die Beschäftigten (zum Beispiel Hörschaden als indirekte Folge eines Cyber-Angriffs zur Manipulation der Lautstärkeregelung) aufgrund zuvor unbekannter Angriffsmethoden, sind geeignete Maßnahmen zu treffen. Ist beispielsweise ein Sicherheits-Update nicht möglich, besteht ein einfaches Beispiel einer „organisatorischen Maßnahme“ in der Trennung des Verstärkers vom Internet.
Dieselbe Maßnahme könnte aber ebenso aus ganz anderen Gründen vollkommen unabhängig von möglichen Personenschäden ergriffen werden, etwa als Folge bestimmter IT-Sicherheitsanforderungen an das Unternehmen aufgrund einer entsprechenden vertraglichen Vereinbarung mit Kunden. Ein ähnliches Szenario wäre ein besonders hohes Niveau der betrieblichen IT-Sicherheit aufgrund individueller Bedrohung durch Cyber-Spionage.
Weitere Anforderungen für bestimmte Produktkategorien ergeben sich auch aus weiteren Rechtsvorschriften. Demnach sind zum Beispiel Sendeanlagen oder sonstige Telekommunikationsanlagen verboten, die nicht als solche erkennbar sind und dadurch für Spionagezwecke missbraucht werden können. Anfang 2017 hatte die Bundesnetzagentur vor diesem Hintergrund beispielsweise eine interaktive Kinderpuppe vom Markt genommen und hierbei auch explizit auf das Risiko einer nicht hinreichenden Absicherung der Funkverbindung und daraus entstehende Abhörrisiken verwiesen.
Nicht zuletzt nehmen beispielsweise die Maschinenrichtlinie oder die Funkanlagenrichtlinie Bezug auf Software und damit verbundene Aspekte der Produktsicherheit beziehungsweise der Konformität.

Produktbeobachtung

Hersteller von Produkten müssen nicht nur im Rahmen der Entwicklung und Produktion zahlreiche Vorschriften rund um die Produktsicherheit beachten. Auch nach dem Inverkehrbringen eines Produkts besteht die Pflicht zur Produktbeobachtung.
Mit Blick auf vernetzte beziehungsweise intelligente Produkte stellt sich somit die Frage, inwieweit im Rahmen der aktiven Produktbeobachtung geeignete Daten gesammelt und ausgewertet werden müssen. So könnten beispielsweise anhand von Sensoren oder Fehlerspeichern bestimmte Risiken erkannt oder auch Hinweise auf Cyber-Angriffe mit weitergehendem Schadenspotenzial abgeleitet werden.
In der Literatur findet sich hierzu häufig die Auffassung, dass derartige Daten angesichts des technologischen Fortschritts heranzuziehen sind. In diesem Zusammenhang wird aber auch auf Überschneidungen mit datenschutzrechtlichen Anforderungen hingewiesen, etwa in Hinblick auf die Verarbeitung von Gerätekennungen oder IP-Adressen.
Hersteller sollten daher im Zuge der Entwicklung von IoT-Produkten prüfen, inwieweit eine Erfassung und Auswertung von Daten im Kontext der Produktbeobachtung möglich und sinnvoll ist und auf welche Weise gegebenenfalls datenschutzrechtliche sowie weitere Anforderungen berücksichtigt werden können.

Produkthaftung und Produzentenhaftung

Bereits die obigen Beispiele machen deutlich, dass die zeitweise in der Öffentlichkeit geforderte pauschale Haftungsregelung de facto nicht formuliert werden kann und teilweise auch gar nicht zwischen Produkthaftung und Mängelhaftung (“Gewährleistung”) beziehungsweise Garantien differenziert wird. Je nach vorhandenen Haftungsnormen sowie Verantwortlichkeiten (für das Produkt, für die Beschäftigten, für Güter oder Daten eines Kunden und so weiter) kommen ganz unterschiedliche – teils schon heute bestehende – Regelungen zur Anwendung.
Die Problematik kann anhand bereits auf dem Markt befindlicher Produkte weiter verdeutlicht werden: Kaum jemand wird eine Nachbesserung älterer Autos verlangen, nur weil die heutigen Assistenzsysteme zu höherer Sicherheit im Umfeld mit schwereren Unfallgegnern beitragen.
Analog dazu haben sich im Laufe der Jahre die Angriffsmöglichkeiten auf IoT-Produkte weiterentwickelt. Wäre ein Hersteller viele Jahre nach Verkauf eines Gerätes aufgrund neu entwickelter Angriffsmethoden zu Nachbesserung oder Austausch verpflichtet, würde „durch die Hintertür“ eine unbegrenzte Einstandspflicht entstehen. Stattdessen bestehen die üblichen Korrekturmaßnahmen in Zusammenhang mit dem Produktsicherheitsgesetz in Warnungen beziehungsweise Rücknahme oder Rückruf. Eine Warnung kann beispielsweise in Informationen zur sicheren Verwendung bestehen, eine Rücknahme kann durchaus auch ersatzlos (wenngleich mit entsprechendem Reputationsverlust) erfolgen.

Bezug zum Cybersecurity Act

Mit dem Mitte 2019 veröffentlichten europäischen Rechtsakt zur Cybersicherheit wurde die Rolle der Agentur der Europäischen Union für Cybersicherheit (ENISA) konkretisiert, gleichzeitig wurde ein Rahmen für die Ausarbeitung europäischer Schemata für die Cybersicherheitszertifizierung definiert. Während teilweise Kritik an diesem auf Zertifizierung und Freiwilligkeit basierenden Konzept geäußert wurde, könnten sich verschiedene Elemente des Cybersecurity Act (EU-Verordnung 2019/881) konsistent in das oben beschriebene Regelwerk einfügen.
Stark vereinfacht zusammengefasst sieht die Verordnung vor, dass unter Koordination der ENISA Zertifizierungsregelungen erarbeitet werden, welche Hersteller von IKT-Produkten entweder freiwillig oder – je nach Vorgabe in anderen Rechtsvorschriften – verpflichtend anwenden. Je nach einer von drei möglichen Stufen der Vertrauenswürdigkeit kommt hierbei entweder eine Selbstbewertung der Konformität in Frage (niedrige Vertrauenswürdigkeit) oder eine Bewertung unter Einbeziehung externer Stellen. Je nach Regelung kann oder muss eine Konformitätserklärung ausgestellt werden.
Von großer praktischer Bedeutung könnte in Zukunft eine Regelung in Artikel 55 des Cybersecurity Acts sein. Demnach muss für betroffene Produkte öffentlich gemacht werden, in welchem Zeitraum “den Endnutzern eine Sicherheitsunterstützung angeboten wird, insbesondere in Bezug auf die Verfügbarkeit von cybersicherheitsbezogenen Aktualisierungen”. Je nach Auslegung oder späterer Rechtsprechung könnte es sich hierbei um eine zugesicherte Eigenschaft mit dem Charakter einer Garantie handeln. Da neue Bedrohungen naturgemäß nicht vorhersehbar sind, würde es sich nicht um eine uneingeschränkte Funktions- und Verfügbarkeitsgarantie handeln. Die (Selbst-)Verpflichtung zur langfristigen Bereitstellung von Sicherheits-Updates könnte jedoch dazu führen, dass dieser Aspekt systematisch in Produktentwicklung, Vertrieb und Marketing und letztlich auch die kundenseitige Kaufentscheidung einfließt.
Dieser Ausrichtung entspricht auch das Ziel des Cybersecurity Acts, das Vertrauen der Nutzer in IKT-Produkte zu steigern. Indem europaweit einheitliche Zertifizierungsschemata bestehen, könnten Anreize entstehen, den “Zeitraum der Sicherheitsunterstützung” zu einem zentralen Verkaufsargument zu machen.
Vereinfacht betrachtet wäre somit denkbar, dass die Verknüpfung von IT- und Produktsicherheit je nach betrachteter Zielsetzung Einzug in spezifische Rechtsbereiche findet:
  • Regelungen, die insbesondere dem Schutz von Personen und Gütern dienen, könnten insbesondere im Rahmen von Produktvorschriften wie den CE-Richtlinien Einzug finden. Erste Ansätze finden sich beispielsweise in der Maschinen- sowie der Funkanlagenrichtlinie. Hiermit verbunden wären auch Anpassungen zur Konkretisierung von Haftungsregelungen, wobei die in Deutschland mögliche Produzentenhaftung diesbezüglich bereits Ansätze bietet.
  • Regelungen, die eher auf die Zusicherung der Funktionalität und Verfügbarkeit von Produkten und Diensten durch Verringerung von IT-Sicherheitsrisiken abzielen, könnten durch Vorschriften und Zertifizierungsschemata im Kontext des Cybersecurity Acts Einzug finden.
  • Zudem ist davon auszugehen, dass die Thematik in zahlreiche weitere Regelungen einfließt.

Was kann ein Hersteller tun?

Derzeit findet ein umfangreicher Diskussions- und Findungsprozess zu IoT-Haftungsfragen sowie der Verknüpfung von Produkt- und IT-Sicherheit in Gesetzgebung und Normung statt. Ein Beispiel hierfür war etwa eine EU-Konsultation zur Sicherheit von Apps und nicht eingebetteter Software. Auch die Rechtsprechung in Zusammenhang mit der Sicherheit von IoT-Produkten dürfte sich in den kommenden Jahren weiterentwickeln. Zudem werden in Zusammenhang mit dem IT-Sicherheitsgesetz verschiedene branchenspezifische Standards definiert, deren Anwendung dementsprechend auf gesetzlicher Grundlage erfolgt. Die konkrete Umsetzung des Cybersecurity Acts in den kommenden Jahren dürfte zudem zu Änderungen bei der Produktzertifizierung, Verkaufsargumenten sowie Kaufkriterien führen.
Aktuelle Überlegungen verschiedenster Akteure betrachten zudem weiterführende Fragen wie etwa die Verantwortung für durch Software-Agenten autonom getroffene Entscheidungen oder die Möglichkeiten von Big Data, auch aus vermeintlich unkritischen Daten personenbezogene Profile zu erstellen.
Herstellern ist daher anzuraten, Rechtsvorschriften, Normen und technische Regeln aufmerksam zu beobachten. So finden sich zum Beispiel bereits seit 2014 in Zusammenhang mit der Niederspannungsrichtlinie im CENELEC Guide 32 Hinweise zur Integration von Sicherheitsaspekten in Normen durch Technische Komitees. Viel Potenzial könnte auch die Mitwirkung in Normungsinitiativen oder Initiativen zur Ausarbeitung europäischer Zertifizierungsschemata bieten.
Käufer haben unabhängig davon schon heute jederzeit die Möglichkeit, das für den jeweiligen Einsatzzweck erforderliche Sicherheitsniveau vertraglich mit Lieferanten beziehungsweise Herstellern zu vereinbaren. Nicht zuletzt dürfte auch die vielfache Medienberichterstattung über Cyber-Angriffe zu höheren Kundenerwartungen in diesem Bereich führen.
Gerade hinsichtlich der öffentlichen sowie kundenseitigen Wahrnehmung bietet die Positionierung als Anbieter sicherer IoT-Produkte viel Potenzial. So hat etwa das BSI eine Reihe von Empfehlungen für Hersteller herausgegeben, beispielsweise hinsichtlich Basis-Schutzmaßnahmen für IoT-Produkte oder ein umfangreiches ICS-Security-Kompendium.
Darüber hinaus kann im Rahmen der Produktgestaltung mit vertretbarem Aufwand eine parallele oder sogar integrierte Betrachtung „Safety + Security“ erfolgen - also sowohl der Produktsicherheit als auch der IT-Sicherheit eines IoT-Produkts. Die zahlreichen bereits existierenden Normen bieten hierbei gute Hilfestellung. Im Idealfall kann es gelingen, aktiv Branchenstandards zu setzen.

Unterstützung Ihrer IHK

Falls mit der Entwicklung eines IoT-Produkts ein gewisser Innovationsgrad verbunden ist, kommt möglicherweise auch eines der zahlreichen Förderprogramme von EU, Bund oder Land für Sie in Frage. Auf der gemeinsamen Website der IHKs in Baden-Württemberg erhalten Sie einen Überblick zu den aktuellen Förderprogrammen: https://produktentwicklung.ihk.de/produktmarken/foerdermittel
Gerne stehen wir auch persönlich zur Verfügung.