“Together for a better internet” – Safer Internet Day 2019

Wie jedes Jahr seit 2004 ist im Februar der weltweite Aktionstag „Safer Internet Day“ (SID) Anlass, sich für mehr Sicherheit im Internet einzusetzen. In Deutschland setzt Klicksafe den Aktionstag um und natürlich sind wir auch im Bundestag – nicht nur zum Aktionstag – gerade in der GRÜNEN Fraktion aus gutem Grund Vorreiter beim Thema und seit Jahren mit diversen Anträgen, kleinen Anfragen, Fachgesprächen etc.  immer hart am Thema dran. Die Bundesregierung dagegen zeigt hier leider kaum Initiative und Einsicht.

Dieses Jahr steht bei vielen Beiträgen zum SID der Kampf gegen Hetze, Hass und Diskriminierung in den Sozialen Netzwerken, Foren und Kommentarspalten im Fokus. Und der ja auch mich selbst und viele andere Politiker betreffende spektakuläre Doxing-Fall in den Weihnachtstagen hat hier viele nochmals sensibilisiert, für sich selbst, aber eben auch in Bezug auf die laschen Routinen und Regelungen bei den Dienstleistern (Social Media Plattformen etc.) zu schauen, was hier noch zu tun ist, um Datendiebstahl und digitales Anprangern etc. entgegenzuwirken.    

Es geht um mehr als nur Passwortschutz und Social Media

Natürlich ist es wichtig, über die immer neuen Datendiebstähle und Datenmissbrauchsfälle zu sprechen. Gerade auch in Zusammenhang mit den Geschäftsmodellen der großen Plattformen, denen Milliarden von Menschen ihre privatesten Dinge anvertrauen. Genauso wichtig ist es aber,  sich endlich stärker um die strukturellen Sicherheitsprobleme unseres digitalen Lebens zu kümmern. Denn hier gibt es akuten Handlungsbedarf und kaum Problembewusstsein. Insbesondere was die Sicherheitsrisiken angeht, die durch die exponentiell wachsende Anzahl an Geräten aller Art entsteht, die weitgehend automatisier untereinander kommunizieren und mit dem Internet verbunden sind. Hier erwartet man schon bis 2020 gut 20 Milliarden Geräte, deren Innenleben für Behörden, Dienstleister und Anwender in der Regel eine “Black Box” bleibt, die aber weltweit mit ein paar Klicks zu kaufen und anzuschließen sind. Und jedes dieser Geräte ist ein Einfallstor für Hacks, Sabotage, Industriespionage, Kriminalität und Manipulationen aller Art.

The Internet of unsecure Things

Hier müssen wir nicht „Bedenken second“ laufen lassen, sondern Verantwortung übernehmen und politisch gestalten. Das “Internet of Things“ (IoT), also diese automatisierte Gerät-zu-Gerät-Kommunikation (M2M) zwischen internetfähigen Geräten, von Kühlschränken über Kinderspielzeug, Home Devices aller Art, von Autoradios und Wearables bis zu den ständig mehr und neuen Datengebern in der Industrie oder im öffentlichen Raum (Verkehrssteuerung etc.), hat eine enorme Bedeutung für unsere Sicherheit und unsere digitale Souveränität. Besonders, weil zunehmend auch Bereiche mit Gefahr für Leib und Leben und enormen wirtschaftlichen und sonstigen gesellschaftlichen Risiken betroffen sind, etwa durch IoT-Geräte in Fahrzeugen, bei industriellen Produktionsabläufen oder im medizinischen Bereich.

Die Gerätehersteller haben aber bislang kaum ökonomische Anreize oder regulatorische Vorgaben, die IT-Sicherheit gleich bei der Produktentwicklung und über den ganzen Produktlebenszyklus hinweg maßgeblich zu berücksichtigen. Und so werden täglich mehr Alltagsgeräte oder industriell genutzte Datengeber in den Handel und zum Einsatz im Netz gebracht, die zunehmend einfach gehackt werden können, um gezielt Daten abzugreifen, Systeme zu manipulieren oder auch um in globalen Botnetzen gezielt Unternehmen oder gesellschaftlich relevante oder gar kritische Infrastrukturen anzugreifen. Eine BITKOM-Studie schätzt den wirtschaftlichen Schaden, der allein deutschen Unternehmen durch Datenspionage und digitale Sabotage entsteht, auf derzeit ca. 55 Milliarden Euro im Jahr.

Worum geht es?

Neben Künstlicher Intelligenz (KI) und Distributed Ledger Technologien (Blockchain/DLT) ist das „Internet of Things“ der dritte digital-technologische Großtrend, dessen Entwicklung und politische Gestaltung enorme Bedeutung für zukünftige Dienste und Produkte der Digitalwirtschaft und für digitalisierte Produktionsprozesse (Industrie 4.0) vorhergesagt wird. KI adressiert dabei aus wirtschaftlicher Sicht Themen wie Effizienz und Innovationen. DLT adressiert die für die Wirtschaft so relevante Frage “Trust”, für die wir in immer komplexeren Produktions- und Handelszusammenhängen neue, ebenfalls digitale Mechanismen finden und installieren müssen. Die dritte Gretchenfrage zukünftigen Wirtschaftens ist aber die nach Sicherheit, Zuverlässigkeit und Resilienz der vernetzten IT-Geräte. Und Antworten auf diese Frage werden angesichts der exponentiell wachsenden Anzahl an vernetzten Geräten und betroffenen Bereichen zunehmend dringlich.

In diesem Sinne sind beim Thema Internetsicherheit nicht nur die großen Plattformen in der Pflicht, um die es bei den öffentlichen Debatten meistens geht, sondern die Politk. Und weil das Internet ein grenzüberschreitende Struktur ist, insbesondere die europäische und internationale Politik. Wir brauchen hier hohe Standards und strikte Spielregeln, ein „Level Playing Field“, wie es uns in der EU mit der DSGVO schon wegweisend gelungen ist. Was auf EU-Ebene mit dem Update der Cybersecurity-Richtlinie (CSA) im Trilog gerade für den IoT-Bereich geplant ist, bringt viele aber nur zum Kopfschütteln. Wofür leider auch gerade die Deutsche Bundesregierung gesorgt hat, die hier auf Selbstverpflichtung und Eigenzertifizierung der Hersteller setzt, was völlig unzureichend ist.

Was ist zu tun?

Es sollten endlich ökonomische Anreize für eine „Security-by-Design-Strategie“ und lange garantierte Sicherheitsupdates auf Seiten der Hersteller gesetzt werden. Wir brauchen dazu sowohl negative Anreize wie weitreichende Hersteller- bzw. ersatzweise Importeur Haftung, als auch positive, wie das Schaffen eines entsprechenden Entwicklungs- und Marktumfelds. Und es bedarf einer EU-weiten effektiven Mindestregulierung von IoT-Geräten in Form einer Geräteklassifizierung nach Risikoklassen und einer Setzung und Kontrolle klassenspezifischer Mindestanforderungen samt zugehöriger Interventionsmechanismen (vergleichbar dem Ansatz bei Arzneimitteln und medizinischen Produkten beim BfArM auf Bundesebene bzw. durch die MDR auf EU-Ebene) und der verbindlichen Vorgabe einer Open-Source-Architektur bei allen Sicherheitsklassen, um das „Black-Box“-Problem zu vermeiden.

Hier werde ich mit meinem Team und zusammen mit verschiedenen hier forschenden Wissenschaftlern in nächster Zeit einiges anstoßen. Denn gerade das „Internet of Things“ hat für die Deutsche, vom Mittelstand geprägte Wirtschaft mit den vielen Maschinenbauern und Industriezulieferern im Bereich Entwicklung, Vertrieb, Einsatz, Produktionssteuerung etc. von und mit IoT-Geräten eine große Chance, auch in der digitalen Gesellschaft (siehe A. Weber, S. Reith, et al. „Souveränität und die IT-Wertschöpfungskette“ in: Datenschutz und Datensicherheit, 05/2018, S. 291–293) Wertschöpfung und Fortschritt zu erreichen.