Produkthaftung ändert alles

Computersicherheit ist kein Problem, das sich mit technischen Mitteln lösen lässt. Sicherheitslösungen haben zwar auch eine technische Komponente, aber grundsätzlich sind Menschen das Problem bei Sicherheitsfragen. Ein Unternehmen behandelt Sicherheitsmaßnahmen wie jede andere wirtschaftliche Ungewissheit: durch Risikomanagement. Eine Organisation optimiert ihre Aktivitäten, um ihr Kosten-Risiko-Produkt zu minimieren. Nur wenn man diese Motivation versteht, versteht man die Probleme der Computersicherheit, die uns heute zu schaffen machen.

Es ist unsinnig, mehr für ein Sicherheitsproblem auszugeben, als es an Kosten verursacht, ebenso wie es unsinnig ist, die Haftungskosten für Schäden zu bezahlen, wenn es preiswerter ist, in die Sicherheit zu investieren. Unternehmen suchen das günstigste Preis-Leistungsverhältnis - zum Beispiel angemessene Sicherheit zu vernünftigen Preisen - und wenn eine Sicherheitslösung wirtschaftlich betrachtet unsinnig ist, wird ein Unternehmen sie nicht umsetzen.

Diese Betrachtung des Sicherheitsproblems erklärt einige möglicherweise verwunderliche Verhaltensweisen im Zusammenhang mit Sicherheitsfragen. So haben die meisten Organisationen in der Vergangenheit nicht sehr viel Geld für die Netzwerksicherheit ausgegeben. Warum nicht? Weil die Kosten erheblich waren: Zeit, Ausgaben, eingeschränkter Funktionsumfang, frustrierte Endbenutzer. (Eine Steigerung der Sicherheit führt regelmäßig zu einer Verärgerung der Endbenutzer.) Demgegenüber waren die Kosten, die entstanden sind, wenn man ein Sicherheitsproblem ignoriert hat und somit Hackangriffen ausgeliefert war, relativ betrachtet recht niedrig.

Wir aus dem Bereich der Computersicherheit finden die Kosten enorm, aber sie haben nicht wirklich den Gewinn des Unternehmens beeinträchtigt. Aus der Sicht eines Geschäftsführers zählen auch die Gefahr negativer Berichterstattung in den Medien, verärgerte Kunden und Netzausfallzeiten zu den Risiken -- von denen jedoch keines von Dauer ist. Das Ergebnis: ein geschäftstüchtiges Unternehmen tut genau das, was alle anderen tun, und keinen Handschlag mehr. Die Dinge ändern sich; langsam aber sicher. Die Risiken nehmen zu und demzufolge wachsen auch die Ausgaben.

Mit der gleichen wirtschaftlichen Argumentation lässt sich erklären, warum Softwarehersteller so wenig Aufwand für die Sicherheit ihrer eigenen Produkte betreiben. Wir Computersicherheitsspezialisten halten die Hersteller für einen Haufen Idioten, aber aus ihrer eigenen Sicht verhalten sie sich vollkommen vernünftig. Die Kosten, die entstehen, wenn man Softwareprodukte mit guten Sicherheitsmaßnahmen ausstattet, sind im wesentlichen vergleichbar mit den Kosten zur Erhöhung der Sicherheit in Netzen - hohe Ausgaben, eingeschränkte Nutzung, Verzögerungen bei der Freigabe von Produkten, verärgerte Benutzer - während die Kosten, die auf ein Unternehmen zukommen, wenn es Sicherheitsprobleme ignoriert, eher gering sind: gelegentlich negative Berichterstattung und möglicherweise Verlust einiger Kunden, die zu Konkurrenzprodukten abwandern. Jeder tüchtige Softwarehersteller wird sich das Thema Sicherheit auf die Fahnen schreiben, aber in Wirklichkeit so wenig wie möglich dafür tun, da dies in wirtschaftlicher Hinsicht am sinnvollsten ist.

Als Wissenschaftler werden wir von Sicherheitstechnologien überschwemmt. Wir wissen, wie man viel sicherere Betriebssysteme entwickeln kann. Wir wissen, wie man viel sicherere Zugangskontrollsysteme entwickeln kann. Wir wissen, wie man viel sicherere Netze entwickeln kann. Natürlich sind noch längst nicht alle technischen Probleme gelöst und die Forschung geht weiter. Aber in der realen Welt ist Netzwerksicherheit ein wirtschaftliches Problem. Die einzige Möglichkeit, dieses Problem in den Griff zu bekommen, besteht darin, sich auf die wirtschaftlichen Motive zu konzentrieren. Wir müssen die ökonomischen Kosten und Vorteile der Sicherheit ändern. Wir müssen die Organisationen, die sich in der besten Position befinden, um das Problem zu lösen, dazu bringen, das Problem lösen zu wollen.

Das Verschärfen der Haftung ist unerlässlich. Wie schon oben erwähnt werden die Kosten, die durch Sicherheitslücken entstehen, nicht von den Softwareherstellern getragen, die für die Sicherheitslücken verantwortlich sind. In der Wirtschaft spricht man von externen Auswirkungen: Kosten einer Entscheidung, die von Anderen getragen werden, als denen, die diese Entscheidung getroffen haben.

Heute haben schlechte Sicherheitsvorkehrungen oder qualitativ minderwertige Software welcher Art auch immer keine echten Konsequenzen. Im Gegenteil, für schlechte Qualität wird man in der Marktwirtschaft häufig belohnt. Genauer gesagt werden zusätzliche Funktionen und eine rechtzeitige Freigabe belohnt, selbst wenn diese auf Kosten der Qualität gehen.

Wenn wir von den Softwareherstellern erwarten, dass sie die Anzahl der Funktionen verringern, die Entwicklungszyklen verlängern und in sichere Softwareentwicklungsprozesse investieren, müssen sie für die Sicherheitsmängel in ihren Produkten haftbar gemacht werden können. Wenn wir erwarten, dass Geschäftsführer große Summen für ihre eigene Netzwerksicherheit ausgeben - insbesondere für die Sicherheit ihrer Kunden - müssen sie für Schäden haften, die den Kunden durch Sicherheitslücken entstehen. Im Grunde müssen wir das Ergebnis der Risikoanalysen so ändern, dass ein Geschäftsführer daran interessiert ist, das Problem wirklich zu lösen. Und am besten geht das durch Druck auf seine Bilanz.

Dafür gibt es mehrere Möglichkeiten. Durch Gesetze könnte man die Computerindustrie haftbar machen, indem man Softwarehersteller den gleichen Produkthaftungsgesetzen unterwirft wie andere Branchen. Stellten Softwarefirmen also ein defektes Produkt her, würde man sie für daraus resultierende Schäden haftbar machen. Selbst ohne solche Maßnahmen könnten die Gerichte beginnen, haftungsähnliche Strafen für Softwarehersteller und -benutzer auszusprechen.

Das fängt schon langsam an. Ein US-Richter zwang das Innenministerium, sein Netz vom Internet zu nehmen, weil es die Sicherheit der ihm anvertrauten Daten Amerikanischer Indianer nicht garantieren konnte. Mehrere Fälle haben zu Strafen für Unternehmen geführt, die vertrauliche Kundendaten ohne Zustimmung nutzten oder solche Daten durch falsche Darstellung oder Betrug erfasst hatten. Und Richter haben einstweilige Verfügungen gegen Unternehmen mit unsicheren Netzen erlassen, die als Kanäle für Angriffe gegen andere genutzt werden. Alternativ dazu könnte die Computerbranche zusammenkommen und ihre eigenen Haftungsstandards definieren.

Natürlich gilt aber nicht "Ganz oder gar nicht". An einem typischen Angriff auf Software sind viele Parteien beteiligt. Zunächst wäre da das Unternehmen, das die Software mit der Sicherheitslücke verkauft hat. Außerdem hätten wir die Person, die das Tool für den Angriff geschrieben hat. Dann wäre da der Angreifer selber, der das Tool verwendet hat, um in ein Netz einzubrechen, zu nennen. Und schließlich wäre der Betreiber des Netzes zu nennen, der mit dessen Schutz beauftragt war. Es sollten nicht hundert Prozent der Haftung auf den Schultern des Softwareherstellers lasten -- ebenso wie nicht hundert Prozent auf den Angreifer oder den Netzbetreibers entfallen sollten. Aber zurzeit trägt der Betreiber des Netzwerks hundert Prozent der Kosten, und genau damit muss Schluss sein.

Egal, wie es kommt, Haftbarkeit ändert alles. Gegenwärtig spricht für ein Softwareunternehmen nichts dagegen, mehr Funktionen, mehr Komplexität und mehr Versionen anzubieten. Haftbarkeit zwingt ein Softwareunternehmen, genauer über eine Änderung in der Software nachzudenken. Haftbarkeit zwingt ein Unternehmen, die ihm anvertrauten Daten zu schützen.

Bruce Schneier

Bruce Schneier ist Gründer und technischer Leiter von Counterpane Internet Security, Inc. Sein neuestes Buch heißt "Beyond Fear: Thinking Sensibly About Security in an Uncertain World". Kontakt: http://www.schneier.com/

amerikanische Originalversion des Kommentars (ju)