IoT-Sicherheit führt zu Kopfschmerzen im Rechtsbereich

20 Aug 2018

Einem berühmten Zitat von Benjamin Franklin zufolge, sind uns nur zwei Dinge auf dieser Welt sicher: Der Tod und die Steuer. Dasselbe kann man im Rahmen der Black Hat auch von Charlie Miller und Chris Valasek, mit ihrem Vortrag über den Jeep-Hack, und von uns, mit unseren Beiträgen über eben diesen Vortrag auf Kaspersky Daily (hier, hier, hier und hier) behaupten.

Auch dieses Jahr hielten die beiden einen Vortrag auf der jährlichen Konferenz in Las Vegas, doch anstatt sich auf den Jeep-Hack zu konzentrieren, diskutierten die beiden das dringliche Problem, autonome Fahrzeuge sicherer zu machen. Trotzdem war Millers und Valaseks‘ Forschung aus dem Jahr 2015 ein wesentlicher Bestandteil eines weiteren Vortrags, der von Ijay Palansky, Partner von Armstrong Teasdale und leitender Anwalt in einer Sammelklage gegen Fiat Chrysler, gehalten wurde. Sein Vortrag trug den Namen „Legal Liability for IoT Cybersecurity Vulnerabilities„.

Palansky kündigte an, dass Anwälte landesweit den Prozess besonders aufmerksam mitverfolgen würden und dass dies der Beginn weiterer Gerichtsverfahren bezüglich der Sicherheitsprobleme des IoT sein könnte.

In der Vergangenheit haben wir bereits zahlreiche Fälle bestimmter Artikel und Geräte beschrieben, die mit Sicherheitslücken an die Kunden geliefert werden. Angefangen bei einer Vielzahl von Babyfon-Kameras, auf die nach Lust und Laune zugegriffen werden kann, über Spielzeuge, die Kinder ausspionieren, bis hin zum berüchtigten Jeep-Hacking.

Angesichts der fehlenden Sicherheit zahlreicher Geräte und der Anzahl der betroffenen Kunden könnte man sich fragen, warum es bis jetzt noch nicht deutlich mehr Klagen gegeben hat. Laut Palansky liegt das daran, dass der Jeep-Hack der erste Präzedenzfall in der Geschichte des IoTs ist.

Und ohne einen eben solchen Präzedenzfall betreten Anwälte im Rechtsstreit unerforschtes Neuland. Das bedeutet, dass das bevorstehende Gerichtsverfahren der nötige Auslöser sein könnte, um den Stein auch für die Zukunft endgültig ins Rollen zu bringen. Für die Verbraucher könnte dieser Stein zweifelslos etwas Positives bedeuten. Aber wie sieht es mit den Unternehmen aus?

Zwar wird es bis zu einem endgültigen Urteil im Jeep-Fall noch einige Zeit dauern, dennoch sollten Unternehmen nicht auf die daraus resultierende Entscheidung warten. Sie müssen bereits jetzt anfangen zu handeln, um zu vermeiden, sich wie im Falle Fiat Chrysler in die Reihe der Angeklagten einzureihen. Was sollten Unternehmen in Bezug auf Sicherheit also tun?

Diesbezüglich wies Palansky darauf hin, dass die Entwickler das Thema Sicherheit ihrer Produkte um einiges ernster nehmen und klarer bezüglich der Nutzungsbedingungen und Offenlegung von Fehler-Patches sein sollten. Angesichts der Tatsache, dass mit genug Geschick und Ausdauer so gut wie alles gehackt werden kann, gab Palansky Unternehmen den Rat, einen guten Anwalt einzustellen, der darüber hinaus auch im Bereich Technologie bewandert sein sollte.