Die CDU fordert eine höhere Verantwortung der Hersteller für die Sicherheit vernetzter Geräte. „Mir ist ein Gütesiegel oder Ähnliches zu wenig“, sagte der netzpolitische Sprecher der Unionsfraktion, Thomas Jarzombek, am Dienstag in Berlin. Über einen verbindlichen Mindeststandard hinaus „brauchen wir eine klare Angabe, für die die Hersteller gezwungen werden müssen, wie lange sie Sicherheitsupdates zur Verfügung stellen“, forderte der CDU-Politiker in einer netzpolitischen Diskussionsrunde des IT-Verbandes Eco. Der Kunde müsse entscheiden können: „Wenn er den Toaster kauft, ist der Betrieb für drei Jahre garantiert oder nur für ein Jahr oder vielleicht für zehn Jahre“.

Die große Koalition hatte Ende April ein Gesetz beschlossen, das den Providern die Abschaltung des Internetzugangs ermöglicht, wenn der Kunde Teil eines Botnetzes ist. Für solche Fälle muss es nach Ansicht Jarzombeks innerhalb der zeitlichen Update-Garantie ein Umtauschrecht geben. „Wenn diese Internet-of-Things-Geräte tatsächlich Teil des Botnetzes werden und der Nutzer es nicht mit für ihm leistbaren Aufwand ändern kann, dann muss er das Gerät auch umtauschen können, um damit auch seinen Anschluss wieder freizukriegen“, sagte der Netzpolitiker.

„Die Leute scheint auch nicht so zu berühren, wenn ihr Toaster andere angreift, solange er selber zu Hause vernünftig funktioniert.“

Jarzombek kritisierte in diesem Zusammenhang das Verhalten zahlreicher Nutzer: „Die Leute scheint auch nicht so zu berühren, wenn ihr Toaster andere angreift, solange er selber zu Hause vernünftig funktioniert.“ Das sei im Internet of Things „die Hauptgefahr“.

Der Innenausschuss des Bundestags hatte bei der Umsetzung der EU-Richtlinie zur IT-Sicherheit jedoch eingeräumt, dass Deutschland keine eigenen Gesetze erlassen könne, um zusätzliche Anforderungen an internetfähige Produkte zu stellen. Daher wurde die Bundesregierung lediglich aufgefordert, „das in der ,Cyber-Sicherheitsstrategie für Deutschland 2016‘ angekündigte Gütesiegel für IT-Sicherheit unter Einbeziehung von Verbraucherschützern, Wirtschaftsvertretern, IT-Sicherheitsexperten und Gewerkschaften auszuarbeiten“.

Die übrigen Teilnehmer der Diskussion – die SPD-Abgeordnete Saskia Esken, die Abgeordnete der Linken Petra Sitte und der Netzpolitiker der Grünen Konstantin von Notz – sprachen sich einhellig dafür aus, auf europäischer Ebene Standards für Produktsicherheit zu entwickeln. Notz forderte zudem, eine staatliche Gewährleistung für die Integrität von Infrastruktur festzuschreiben.

Im vergangenen Jahr waren mehrere Fälle bekannt geworden, in denen schlecht abgesicherte vernetzte Geräte für umfangreiche DDoS-Angriffe missbraucht wurden, beispielsweise über das Mirai-Botnetz. Auch waren Ende November 2016 fast 900.000 Router der Deutschen Telekom durch einen Angriff über das Fernwartungsprotokoll TR-069 lahmgelegt worden.

Ebenfalls spannend: „Amazon traue ich nicht“: Mozilla-Chef Mark Surman über die Schattenseiten des IoT