Das Internet der Dinge (Internet of Things, IoT) mit seinen unzähligen vernetzten Geräten soll in Zukunft vielen Menschen das Leben erleichtern. Doch vorher gilt es noch elementare Fragen wie Sicherheit und Haftung zu klären, um die Nutzung halbwegs vertrauenswürdig zu machen.

Mit der stärkeren Vernetzung von Geräten für Haushalt und Freizeit stellen sich nicht nur Fragen zu Sicherheit und Datenschutz. Auch die Haftungsfrage ist ungeklärt: Wer etwa ist verantwortlich, wenn ein „smartes“ Gesundheitsgerät bei lebensgefährlichem Bluthochdruck nicht den Arzt ruft? In der EU beschäftigt sich seit Kurzem eine eigene Einheit mit solchen Fragen zum Internet der Dinge, mit dem Ziel, Vertrauen in die neue Technologie zu schaffen. Und dazu sollen auch die Nutzer selbst beitragen.

Der große Angriff im Oktober 2016 hat deutlich die aktuellen Grenzen des IoT gezeigt: Gehackte Webcams, Camcorder und Babyfone wurden genutzt, um einen großen Internetanbieter in den USA lahmzulegen. Die Auswirkungen waren weltweit spürbar. Zwar wurde niemand physisch verletzt, in den USA warnen aber Experten wie der Sicherheitsforscher Bruce Schneier vor „katastrophalen Risiken“ durch unsichere Technik – der Gesetzgeber solle in diesem Bereich stärker eingreifen.

Die EU ist bereits aktiv in die Ausgestaltung des IoT in Europa involviert, 2016 wurde dazu eine eigene Einheit gegründet. Dabei gehe es nicht nur um die finanzielle Unterstützung von Forschung und Innovationen, es müssten auch viele regulatorische Fragen geklärt werden, sagt Nikolaos Isaris, stellvertretender Leiter der Abteilung Future Networks – Internet of Things.

Wer übernimmt Verantwortung bei Schaden?

Die aktuell wichtigste Frage ist laut Isaris die Haftung: Derzeit sei nicht klar, wer genau belangt werden könnte, wenn ein Gesundheitsgerät bei alarmierenden Werten den Arzt nicht ruft und der betroffene Mensch einen Schaden erleidet. „Wer trägt die Haftung? Der Hersteller des Geräts? Der Mobilfunker? Der App-Entwickler?“ Das müsse geklärt werden, so Isaris, sei aber gar nicht so einfach, denn manchmal sei es schon schwierig zu unterscheiden, was genau ein Service und was ein Produkt sei, gerade bei der Datenerfassung und -verarbeitung.

Derzeit werden für die Haftungsfrage verschiedene Optionen geprüft, darunter die direkte Verantwortung für den Hersteller eines Geräts. Es gibt aber auch risikobasierte Ansätze, bei denen etwa derjenige, der das größte Risiko darstellt, oder derjenige, der das Risiko am stärksten minimiert, die Haftung trägt. In einem vernetzten Auto könnte der Fahrer laut Isaris das größte Risiko sein, aber auch der Hersteller. „Das ist sehr tricky.“ Geprüft wird weiter, ob bestehende EU-Gesetze die Haftungsfrage für IoT abdecken können, oder ob diese angepasst werden müssen.

Zwang zum Passwortwechsel

Das Thema Sicherheit ist ebenfalls sehr komplex, egal, ob es um sichere Passwörter geht oder um regelmäßige Updates. Hier verfolgt die EU derzeit die Überlegung, dass zum Beispiel Passwörter bei der Erstaktivierung eines Geräts zwingend geändert werden müssen. Ebenso könnten bestimmte Updates verpflichtend sein, wobei diese im Hintergrund laufen können, damit die laufende Nutzung nicht eingeschränkt wird. Updates von Anbietern, denen man explizit das Vertrauen ausgesprochen hat, könnten auch automatisch ablaufen.

„Die Grundlage für IoT ist Vertrauen, solange wir bestimmte Punkte nicht geklärt haben, kann man nicht erwarten, dass Nutzer die Geräte verwenden“ so Isaris. Daher gibt es auch die Überlegung, ein eigenes Label für zertifizierte Geräte in der EU anzubieten, vor allem für den Privatkundenmarkt. Das wären zwar auch nur immer Momentaufnahmen zum Zeitpunkt des Kaufs, doch eine gewisse Verantwortung für die weitere Pflege eines Geräts könne man dem Nutzer nicht abnehmen.

Einschränkungen für unsichere Geräte

Doch wie umgehen mit einem Hersteller, der außerhalb der EU sitzt und sich nicht um regelmäßige Updates oder Passwortvorschriften kümmert? Dessen Geräte könnten dann womöglich nur eingeschränkt funktionieren, skizziert Isaris eine Option: „Man könnte die Kommunikation zwischen dem unsicheren Gerät und allen anderen sicheren Geräten in ihrem Heimnetzwerk einschränken.“ Die Kunden könnten jederzeit weiter das unsichere Gerät kaufen, es gehe aber darum, beim Käufer die Aufmerksamkeit für Sicherheit zu erhöhen.

„Wir müssen ein Mindestmaß an Sicherheit erreichen“, so Isaris, alle Geräte, die in der EU hergestellt werden, müssten daher ein bestimmtes Set an Mindeststandards erfüllen. „Wir wissen natürlich, dass das Internet global ist, und Hersteller weltweit produzieren, aber zuerst muss man den eigenen Geräten vertrauen.“

Nutzer müssen Verhalten ändern

Weil nicht jeder Nutzer, gerade ältere Generationen, aber auch Kinder, mit Passwortwechsel oder Update-Pflicht etwas anfangen kann, will die EU entsprechende Informationskampagnen starten, so Isaris weiter. Klar sei aber auch, dass man diesen Menschen helfen müsse. Man könne nicht davon ausgehen, dass ein Nutzer sich auskennt, daher müsse man manches gleich ins Produkt einbauen – neben Sicherheit gehöre dazu auch der Datenschutz inklusive Verschlüsselung der Daten und Löschen persönlicher Daten.

Grundsätzlich und auf lange Sicht müssten die Menschen ihr Verhalten ändern, sagt Isaris. Wichtig sei dafür, dass alle nötigen Grundlagen einfach und verständlich sind, darunter auch die Geschäftsbestimmungen eines Herstellers, damit sie nicht wie jetzt meistens ungelesen weggeklickt werden – und sich die Nutzer dann nachher womöglich wundern. Leicht zugängliche Informationen seien eine Grundvoraussetzung für Vertrauen, sagt Isaris.

Daneben gilt es noch eine Reihe weiterer Probleme im Hintergrund zu lösen, etwa die Frage des Spektrums, also welche Frequenzen genutzt werden können, aber auch die Vergabe eindeutiger Internetadressen, die als Erkennungsmerkmale elementar sind. Thema ist auch der Datenschutz – wem gehören die Daten, die im IoT anfallen, wer hat Zugriff, sind die Daten portabel von einem Hersteller zum anderen? Hierbei stellt sich erneut die Frage der Haftung.

Millionen neuer Arbeitsplätze erwartet

Zu all diesen Themen gibt es derzeit Arbeitsgruppen unter anderem mit dem Industrieverband Alliance for Internet of Things Innovation (AIOTI), auch eine Konsultation zur Europäischen Datenwirtschaft soll helfen, die notwendigen Grundlagen aufzubauen bzw. Hindernisse zu erkennen. Daneben soll es bis Herbst auch Treffen mit Vertretern der Mitgliedsstaaten geben sowie mit den Nutzern und der Industrie, danach soll es erste Empfehlungen geben.

Die EU wolle bei dem Internet der Dinge ganz vorne mit dabei sein, skizziert Isaris das Ziel. Einerseits sollen davon die Menschen durch Hilfe im Alltag profitieren, andererseits hofft man auf Impulse für die Wirtschaft: Allein in der EU soll die Datenwirtschaft 2020 7,4 Mio. Menschen Beschäftigung bieten, IoT mit allen Services und Geräten soll dann 1,18 Billionen Umsatz erwirtschaften, schätzt der US-Marktforscher IDC. Wichtig sei, dass man die Wirtschaft nicht behindere, aber auch den Menschen nicht außer Acht lasse. „Diese Balance müssen wir finden.“

von

Günter Schwarz – 17.04.2017