VOICE – Bundesverband der IT-Anwender begrüßt die Weiterentwicklung der Cybersicherheitsstrategie (CSS) der Bundesregierung, insbesondere im Hinblick auf eine kontinuierliche Anpassung der Fachgesetze an die sich ändernden Bedrohungsszenarien. VOICE fordert aber die Konkretisierung der strategischen Ziele in Bezug auf die Verpflichtung der Software- und IT-Infrastrukturanbieter zu höherer Qualität, insbesondere bei sicherheitskritischen Produkten. Ferner braucht der Datenverkehr im Internet ein Regelwerk, das „Security-by-Design“ auch für das Gesamtsystem ermöglicht.
Produkthaftung für Software
Dr. Hans-Joachim Popp, stellvertretender Vorsitzender des VOICE-Präsidiums und dort verantwortlich für das Thema Sicherheit, kritisiert die unverhältnismäßige Fokussierung der CSS auf Anwenderunternehmen und private Nutzer: „Während die Sensibilisierung der Endanwender und der KMUs in der Strategie überproportionalen Raum einnimmt, spielt die Haftung der Software- und Infrastrukturanbieter für das mitunter haarsträubende Fehlverhalten ihrer Produkte keine substanzielle Rolle.“ Deshalb spricht sich VOICE für eine Produkthaftung für Software und insbesondere für Sicherheitsprodukte aus.
Verbesserung der Update-Prozeduren
Schließlich sei der Aufbau sicherer und fehlerarmer Software kein Forschungsgegenstand mehr, sondern in kritischen Anwendungsbereichen wie der Medizintechnik oder der Luft- und Raumfahrt längst etabliert. „Die eigentlich überschaubaren Investitionen ersparen sich die Hersteller, um ihre exzellenten Gewinnmargen aufrecht zu erhalten, und schieben die Risiken auf die Anwenderunternehmen – weil man sie lässt!“ Popp sieht insbesondere auch bei den Update-Prozeduren dringenden Verbesserungsbedarf. „Spezialwissen über eine Unternehmenssoftware darf nicht Voraussetzung für den sicheren Betrieb sein. Bei den Apps auf dem Mobilgerät geht es ja auch ohne!“
Seriositätsprüfung ist Pflicht
VOICE fordert außerdem die aktive Umgestaltung des Regelwerks für den Datenverkehr im Internet. „Es kann nicht sein, dass lange bekannte Sicherheitsmechanismen von den Netzbetreibern vernachlässigt werden.“ Bislang müssten die Anwenderunternehmen beispielsweise teure Zusatzdienste in Anspruch nehmen, um sich vor betrügerischen Websites zu schützen und Cybervorfälle aufzuklären. „Wie im Bankenwesen oder der Gesundheitsversorgung hat die Seriositätsprüfung der Akteure Teil der staatlichen Daseinsvorsorge zu sein. Die Cybersicherheitsstrategie muss dies zu einem Schwerpunkt machen!“, sagte Popp.
Er vergleicht die Situation im Internet mit anderen gesellschaftlichen Bereichen. „Nehmen Sie zum Beispiel den Straßenverkehr: Das heute erreichte Sicherheitsniveau hätten wir durch bloße Ausbildung der Fahrer und den Einsatz auch noch so vieler Polizeifahrzeuge niemals erreicht! Stattdessen haben wir die Verkehrsführung sicherer gemacht, schlüssige Verkehrsschilder erfunden, Fahrzeugzulassungen, Airbags und Autokennzeichen verpflichtend eingeführt. All das fehlt im Internet auch nach mehr als 30 Jahren immer noch!“
VOICE hat die Forderungen der Anwenderunternehmen in einer detaillierten Erklärung veröffentlicht: (Link)