Mehr IT-Sicherheit durch Haftbarkeit
Der Sicherheitsexperte Bruce Schneier plädiert dafür, die Haftung der Hersteller und Dienstleister für Sicherheit im IT-Bereich auszuweiten.
Der Sicherheitsexperte Bruce Schneier plädiert dafür, die Haftung für Sicherheit im IT-Bereich auszuweiten. In seinem monatlichen Newsletter Cryptogram macht Schneier eine einfache Rechnung auf: Sicherheit ist immer mit zusätzlichen Kosten verbunden -- sowohl für den Hersteller, der seine Produkte entsprechend konzipieren und testen muss, als auch für Anwender und Betreiber von Netzwerken und (Internet-)Dienstleistungen, die zusätzliche Soft- und Hardware anschaffen und diese auch einrichten und warten müssen. Solange diesen Ausgaben keine entsprechenden Einsparungen gegenüberstehen -- die reine Kostenbilanz also negativ ausfällt -- bleibt Sicherheit auf der Strecke.
Um diese Bilanz zu ändern, müsse man nur die für andere Bereiche geltenden Haftungsgesetze auf den Bereich Computer und Internet anwenden. Da sich Firmen dann vor einem möglichen Bankrott durch plötzlich anfallende Schadensersatzforderungen absichern müssen, entstünde ein völlig neuer Geschäftszweig: die Cyber-Versicherungen.
Die Versicherungsgesellschaften würden ihre Tarife an das tatsächliche Risiko und die dagegen getroffenen Vorkehrungen anpassen: Genau wie die Installation einer Alarmanlage die Prämie der Diebstahlsversicherung senkt, führt dann bei Herstellern von Software ein zusätzlicher Qualitätssicherungszyklus zu direkten Einsparungen bei den Prämien der Cyber-Haftungsversicherung: Sicherheit lohnt sich plötzlich. Ein positiver Nebeneffekt wäre, dass sich die Versicherung kaum vom Marketinggetöse der Firmen beeindrucken ließen, sondern sehr genau die tatsächliche Effizienz der getroffenen Vorkehrungen evaluieren würden -- schließlich hängt letztlich ihre Existenz von dieser Einschätzung ab.
Gegen Ende seines Plädoyers wird Schneier konkret: Wenn ein Autoreifen einen konzeptionellen Fehler habe, hafte dessen Hersteller für daraus resultierende Schäden. Microsoft hingegen könne eine Betriebssystem verkaufen, in dem im Wochentakt grundlegende Fehler entdeckt werden, ohne haftbar zu sein. Er kommt zu dem Ergebnis: "Es gibt keinen Grund, Software anders zu behandeln als andere Produkte". (ju)
