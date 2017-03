Eigentlich müsste es ja der Markt regeln: Software mit gravierenden Sicherheitslücken, Software, die mehr verspricht als sie halten kann, Software, die Fehler produziert, die dann zu Schäden führen – all das dürfte es gar nicht geben, glaubt man an sehr theoretische Modelle der Selbstregulierung in Märkten.

Denn niemand will so etwas, kein Hersteller und auch kein Nutzer. Niemand will, dass es schon bald nach Erwerben eines Produktes keine Updates mehr gibt. Und niemand will, dass ihm falsche Versprechungen gemacht werden.

Und doch ist die Realität so: Software wird mit erstaunlichen Sicherheitslücken ausgeliefert, Updates durch Hersteller kommen oft erst spät und oft genug bleiben sie einfach aus. Wenn der Präsident des Bundesamtes für Sicherheit in der Informationstechnik berichtet, dass seine Behörde Hersteller über gravierende Lücken unterrichtet habe und diese dann untätig geblieben sind, dann hat das nach heutiger Rechtslage keinerlei Folgen. Und das kann, das darf und das sollte nicht sein.

EU-Netzwerk-Sicherheitsrichtlinie ein möglicher Ansatz

Es ist jetzt bereits absehbar, dass eine echte Produkthaftung für Software in dieser Legislaturperiode nichts mehr werden wird. Die deutsche Umsetzung der europäischen Netzwerksicherheitsrichtlinie, die derzeit im Bundestag beraten wird, könnte hier einen Ansatz bieten – doch eine generelle Haftung kommerzieller Anbieter für von ihnen in Verkehr gebrachte Software wird darin nicht möglich sein, höchstens eine freiwillige Selbstverpflichtung kombiniert mit Zertifizierungen beim BSI.

Was es für die IT-Sicherheit einer zunehmend vernetzten Gesellschaft eigentlich bräuchte, wäre aber ein rechtlicher Befreiungsschlag: Erstens müssten Hersteller mit ihren Produktversprechen für Software haften. Zweitens müssten Unternehmen für eine Mindestzeit zum Ausliefern von Sicherheitsupdates verpflichtet werden. Und drittens müsste die zivile Erforschung von Sicherheitslücken rechtlich massiv gestärkt werden.

Denn wer heute nach Lücken sucht, der steht mit einem halben Bein bereits vor Gericht: viele Hersteller sind keineswegs daran interessiert, dass möglichst viele unabhängige Augen ihre Software auf Herz und Nieren prüfen. Stattdessen untersagen sie häufig die Analyse ihrer Produkte per Endnutzervereinbarung – und belangen Sicherheitsforscher dann wegen Urheberrechtsverletzungen.

Und selbst wer als Journalist mit Softwareherstellern über Sicherheitslücken spricht, bekommt schnell den Eindruck, dass ihnen die Beschäftigung damit alles andere als Recht ist – ein Eindruck, den auch die aktuellen Recherchen von ZDF und Deutschlandfunk im Bereich von Virenscannern vermitteln. Kaum ein Hersteller freut sich über die Hinweise, sondern die meisten streiten erst einmal ab, dass ihr Produkt vielleicht doch nicht die vollmundigen Versprechungen gehalten habe. Vertrauen schafft das nicht – aber jede Menge Misstrauen, dass sie wirklich das Beste für die Nutzer wollen.

Falk Steiner (Deutschlandradio / Bettina Straub)Falk Steiner arbeitet seit 2013 im Hauptstadtstudio von Deutschlandradio. Als Korrespondent bearbeitet er dort vor allem Themen der Digital- und der Sicherheitspolitik im weiteren Sinne. Zuvor arbeitete er als Freier Journalist unter anderem für Zeitungen, Magazine, Radiosender und digitale Medien sowie zwei Jahre beim Bundesverband der Verbraucherzentralen zum digitalen Wandel aus Verbrauchersicht. Zuvor war er bei einer Berliner Agentur und bei Zeit Online in Hamburg tätig. Studiert hat er Politikwissenschaft in Bonn und Berlin.