In diesem Bereich gebe es seit Jahren ein gewisses Laissez-faire, sagte das Mitglied im Ausschuss "Digitale Agenda" im Deutschlandfunk. Vor der Wahl habe man noch fünf Sitzungswochen um ein Gesetz anzustoßen. Dies sei zwar sportlich, aber man diskutiere das Thema bereits seit dem Angriff auf die Telekom-Router vor einem halben Jahr. Man müsse aber aufpassen, mittelständische Unternehmen durch mögliche Forderungen nicht kaputt zu machen.
Das Interview in voller Länge:
Sandra Schulz: Die CeBIT in Hannover ist Deutschlands größtes Treffen von Hard- und Software-Herstellern. Alles was vernetzt werden kann, das wird auch vernetzt werden. So kann man die Stimmung in der Branche wohl zusammenfassen. Ehrlicherweise müssen wir diesen Satz noch ergänzen: Alles was vernetzt werden kann, das ist auch für Hacker angreifbar. Darum spielen Sicherheitslösungen, Antivirenprogramme oder Virenscanner eine wichtige Rolle. Die sollen Angriffe verhindern. Ob sie genau das auch tatsächlich leisten, daran bestehen aber Zweifel, die von Recherchen des ZDF-Magazins "Frontal 21" und des Deutschlandfunks jetzt noch mal untermauert werden.
"50 Milliarden Geräte absichern"
Am Telefon begrüße ich jetzt Thorsten Jarzombek, netzpolitischer Sprecher der CDU/CSU-Bundestagsfraktion. Schönen guten Morgen!
Thomas Jarzombek: Guten Morgen. – Thomas ist aber der Vorname.
Schulz: Das halten wir an dieser Stelle fest. – Die Sicherheitslücken, von denen wir gerade gehört haben, die sind jetzt schon länger bekannt. Warum steuert die Politik nicht gegen?
Jarzombek: Ja wir sind gerade genau dabei, über das Thema Produkthaftung zu reden, und wenn es nach mir ginge, würden wir jetzt auch noch in dieser Legislaturperiode dazu ein Gesetz verabschieden, was hier die Hersteller deutlich stärker in die Pflicht nimmt.
Schulz: Da halten Sie aber schon den entscheidenden Punkt fest. Nach Ihnen geht es offenbar nicht?
Jarzombek: Ja, das ist ein schwieriger Prozess, weil da häufig auch sich die Frage gestellt wird, inwieweit da auch Verbraucherinteressen und Datenschutzinteressen mit im Weg stehen. Das muss man miteinander ausbalancieren und da gibt es auch Kollegen, auch beim Koalitionspartner, die da teilweise eine andere Meinung haben. Aber wir sind da jetzt in der finalen Phase und uns geht es insbesondere auch um die Frage, wie wir 50 Milliarden Geräte bis zum Ende dieses Jahrzehnts, die im Internet der Dinge unterwegs sind, so absichern können, dass die nicht das ganze Internet hinterher stören beziehungsweise auch die privaten Nutzer angreifen.
Stärkere Produkthaftung sei wichtig
Schulz: Und das machen Sie? Das halten Wir hier heute Morgen auch fest um 6:52 Uhr. Das machen Sie jetzt noch und schaffen Sie auch in dieser Legislaturperiode?
Jarzombek: Eigentlich fehlt da nicht mehr besonders viel, weil wir gerade die nationale Umsetzung der europäischen IT-Sicherheitsrichtlinie vornehmen, der NIF-Richtlinie, und genau an diesen Stellen ist das hier gefragt. Und ich glaube, dass eine stärkere Produkthaftung etwas ganz wichtiges ist, weil wir schon seit Jahren ein gewisses Laissez-faire bei bestimmten Herstellern sehen. Gleichzeitig muss man natürlich auch darauf aufpassen, dass es nicht um die Frage von einem Erstfehler geht, weil man sonst den einen oder anderen Mittelständler, wenn da einmal ein Software-Fehler drin ist, kaputt macht, sondern vielmehr um die Frage, wenn Lücken bekannt werden, wie dann damit umgegangen wird. Da muss schnell reagiert werden und Herr Schönbohm hat ja auch vorhin dargestellt, dass wir hier klare Defizite derzeit haben.
"Wer ist am Ende für so einen Schadensersatzanspruch heranzuziehen?"
Schulz: Dann lassen Sie uns noch mal gemeinsam sagen oder mich fragen, was genau Sie machen wollen. Wir hatten ja diesen Fall, diesen Hackerangriff bei der Telekom. Da waren hunderttausende von Nutzern in der Situation, dass sie nicht telefonieren können. Das sind künftig Situationen, in denen dann ein Anbieter, ein Unternehmen wie jetzt in dem Fall die Telekom auch wirklich mit Geld haftbar wäre?
Jarzombek: Die Frage ist, wer dann am Ende für so einen Schadensersatzanspruch heranzuziehen ist. Ich glaube, hier würde eine Schadensersatzregelung gegen den Hersteller nicht besonders viel helfen, weil was wollen Sie da geltend machen. Ein Tag Internetausfall bei einem privaten Anschluss, der 30 bis 50 Euro im Monat kostet, das ist wahrscheinlich kaum der Rede wert, um daraus ein Gerichtsverfahren zu machen. Deshalb bin ich jetzt auch nicht der Meinung, dass dort ein abstrakter Schadensersatzanspruch was hilft, sondern für diese Fälle, wo wir hier wissen, dass zum Beispiel diese Internetrouter gekapert werden und dann im Internet Schaden anrichten, oder Videokameras, das was wir schon gesehen haben, wo ein kritischer Journalist mundtot gemacht wurde, weil dann auf einmal mit allen Videokameras, die man übernommen hat, seine Seite abgeschossen wird, dass man für diese Fälle auch ein Anordnungsrecht für die Bundesnetzagentur einführt und sagt, in dem Moment, wo jemand mehrfach hingewiesen wurde auf ein Problem mit seiner IT und er das nicht lösen kann, wird dann am Ende auch der Anschluss abgeschaltet und er bekommt dann einen Anspruch, sein Gerät zu tauschen. Das heißt einen Schadensersatzanspruch, das Gerät umzutauschen, gegen den Händler.
"Den Mittelständler durch Schadensersatzansprüche nicht kaputt machen"
Schulz: Sie haben mir jetzt aber gerade noch nicht erklärt, das ist ja die Ausgangslage oder auch die Forderung, die im Raum steht, dass Unternehmen, die solche Sicherheitslücken billigend in Kauf nehmen – wir haben es ja gehört -, die einfach nicht nachbessern, weil sie sich sagen, das ist doch viel zu teuer, warum sollen wir das Geld in die Hand nehmen, den Schaden haben ja nicht wir, den haben die Verbraucher. Wie sollen die künftig haftbar gemacht werden?
Jarzombek: Genau darum geht es. Wir müssen Schadensersatzanspruch bauen für die Fälle, wo man sieht, da gibt es eine Sicherheitslücke und der Hersteller rüstet nicht nach. Im Fall von solchen Routern ist es so, dass man, glaube ich, wirklich aufpassen muss, wenn das erstmalig auftaucht und da eine Angriffswelle rollt, dass man hier jetzt nicht den Mittelständler durch Schadensersatzansprüche kaputt macht. Aber in dem Augenblick, wo so eine Lücke nicht gestopft wird innerhalb von wenigen Tagen, sondern bei manchen Geräten, was wir auch sehen, aus Fernost teilweise über Monate und Jahre und bis zum Sankt Nimmerleinstag besteht, dass man dann die Hersteller auch in Regress nimmt für die Fälle, wo wirklich was passiert, sprich wo die Webseite des Mittelständlers in die Knie gedrückt wird und der erpresst wird und für solche Szenarien.
Debatte laufe seit dem Angriff auf Telekom-Router
Schulz: Aber das sind ja noch ganz erhebliche offene Fragen, von denen ich mir auch nicht vorstellen kann, dass das in der Koalition jetzt im beginnenden Wahlkampf alles auch so gesehen wird und alles so durchgewunken wird. Deswegen noch mal die Frage: Ihre Ankündigung, dass Sie das noch schaffen in dieser Legislaturperiode, ist die nicht ein bisschen kühn?
Jarzombek: Wir haben jetzt noch fünf Sitzungswochen. Insofern ist die Zeit natürlich sportlich. Andererseits diskutieren wir genau über dieses Thema mindestens seit dem Angriff auf die Telekom-Router, und das ist jetzt schon ein gutes halbes Jahr her. Insofern haben wir da durchaus auch einen gewissen Stand in den Verhandlungen erreicht, und drücken Sie mal die Daumen, dass das jetzt noch klappt.
Schulz: Und der Staat wird dann künftig auch, anders als bisher ja geschehen, seinerseits keine Sicherheitslücken mehr sammeln? Das ist ja teilweise ein Anreiz der Ermittler, wenn sie wissen, diese und jene Software ist da und dort angreifbar, das merken wir uns mal, vielleicht wollen wir da noch mal drauf zurückgreifen. Das hört dann auch auf?
Jarzombek: Die Legende wird natürlich immer erzählt. Aber ganz ehrlich: Da müssen Sie mal mit Herrn Schönbohm reden. Er hat als BSI-Chef die Aufgabe, für IT-Sicherheit zu sorgen und gegen Lücken anzukämpfen, und das tut er, glaube ich, auch sehr energisch. Dass auf der anderen Seite der Bundesnachrichtendienst auch eine Möglichkeit haben muss, bei einem Gefährder auf das Smartphone zu kommen und zu sehen, ob da jemand wirklich konkret eine Terrorplanung macht, das ist, hoffe ich, auch unstrittig.
Interesse des BSI an Sicherheitslücken sei eine Legende
Schulz: Und warum ist es dann eine Legende?
Jarzombek: Weil das eine Legende ist, dass die Sicherheitsleute, das BSI sozusagen ein Interesse daran hätte, Lücken nicht zu schließen, und das ist definitiv nicht der Fall.
Schulz: Aber wenn der Staat mit einem Staatstrojaner in einen Rechner will, hat er auch Interessen an Sicherheitslücken. Können wir das auch festhalten?
Jarzombek: Wissen Sie, das Problem ist, dass es so unendlich viele Sicherheitslücken gibt und dass es sehr viele Sicherheitslücken gibt, die auch noch überhaupt nicht erkannt sind, dass wir wahrscheinlich dafür keine so einfachen Lösungen finden werden, dass es nie wieder eine Lücke gibt, sondern das, was wir machen müssen, ist dafür zu sorgen, dass diese Lücken, die auf dem Markt heute sind, die auch bekannt geworden sind, dass wir hier die Hersteller in Regress nehmen, sofort für eine Lösung zu sorgen, weil ansonsten jeder 16jährige anfängt, mit Script-Lösungen sich bei ihnen ins Netz einzuhacken, und genau das muss verhindert werden und das ist unser Problem im Augenblick.
Schulz: Thomas Jarzombek, netzpolitischer Sprecher der CDU/CSU-Bundestagsfraktion, heute Morgen hier bei uns im Deutschlandfunk im Interview. Ganz herzlichen Dank.
Jarzombek: Vielen Dank!
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
