Industrieanlagen sind immer häufiger Angriffen von Hackern ausgesetzt. Darauf hat die Leiterin des Fraunhofer-Instituts für angewandte und integrierte Sicherheit, Claudia Eckert hingewiesen. Viele Kraftwerke und Chemieanlangen könnten über das Internet inzwischen aus der Ferne gesteuert und gewartet werden. "Damit sind sie aber offen und keine abgeschotteten Systeme mehr", sagte Eckert am Dienstag auf der IT-Sicherheitsmesse it-sa in Nürnberg.
- Industrie 4.0 - auch eine Frage des Rechts
Wenn Maschinen die Fäden in die Hand nehmen und Entscheidungen für Menschen treffen, stellt sich automatisch die Frage nach dem juristischen Hintergrund. Hier ist noch vieles offen. Folgende Aspekte sollten Sie im Blick behalten. - 1. Wer handelt im Internet der Dinge?
In unserer Rechtsordnung, ob im Zivilrecht, öffentlichen Recht oder Strafrecht, sind Handelnde und Zuordnungsträger von Rechten und Pflichten immer Menschen oder juristische Personen. Daran ändern auch M2M und IoT grundsätzlich nichts. - 2. Vertragsabschluss durch Softwareagenten?
Was ist, wenn die Initiative zum Abschluss einer Online-Transaktion vollautomatisiert abläuft, also eine Maschine selbst den Bestellvorgang als Nutzer auslöst? Hier stellt sich die Frage, wie sich die Verantwortung für den konkreten Rechtsakt (die automatisierte Willenserklärung und der beidseitig rein elektronische, voll automatisierte Vertragsabschluss) zuordnen lässt. Er beruht ja ausschließlich auf einem zeitlich weit vorausgelagerten, abstrakten Programmiervorgang, einem Rechtssubjekt. - 3. Unternehmensübergreifende M2M-Systeme brauchen Regeln
Werden komplexe M2M-Systeme unternehmensübergreifend aufgesetzt, kommt es nicht nur auf die technische Standardisierung, sondern auch auf die vereinbarten Nutzungsregeln an. Wie dürfen die Teilnehmer mit den Nutzungsergebnissen umgehen, und wie verhält es sich mit regulatorischer Compliance und Rechten Dritter, die der M2M-Nutzung entgegenstehen könnten (etwa Datenschutz, branchenspezifische Regulierung, Verletzung von Softwarepatenten oder sonstiger Rechte Dritter)? - 4. Offene Fragen zu Logistik, Mobilität und Smart Home
Weitgehend ungeklärte Fragen lassen sich an M2M- und IoT-Beispielen zeigen:<br>Doch wem gehören die Daten?<br>Wie steht es um die Produkthaftung - wer ist Hersteller, und welche Regressketten bauen sich auf? <br>Wer haftet für Konnektivitätsausfälle? - 5. Wer haftet in vernetzten Wertschöpfungsketten?
Wenn M2M der Schlüssel für vernetzte Wertschöpfungsprozesse ist, rückt automatisch auch die Frage der Haftung für mögliche Fehler und Ausfälle in den Vordergrund. Man wird zwischen der Haftung für fehlerhafte Datenquellen und Datenerzeugung einerseits und Fehlern in der Datenübermittlung andererseits unterscheiden müssen. - 6. Unternehmen müssen Datenschutz im Blick behalten
Der Datenschutz ist über den weiten Begriff personenbezogener Daten, zu denen auch dynamische IP-Adressen gehören können, und die Möglichkeiten komplexer Datenauslese (Big Data) etwa in den Bereichen Mobilität, Energie und Smart Homes grundsätzlich immer im Blick zu halten. Es gilt sorgfältig zu prüfen und gegebenenfalls mit den Behörden abzustimmen, ob und wie er sich mit "informierter Einwilligung", Inter-essenabwägung und Auftragsdatenverarbeitung wahren lässt.
Hacker-Angriffe auf Industrieanlagen seien fatal, sagte Eckert. Anders als bei normalen Computern ließen sich die Steuerungen der meist rund um die Uhr laufenden Anlagen nicht mal schnell runterfahren, überprüfen und dann wieder hochfahren. Die Angriffe auf digitale Anlagensteuerungen nähmen in letzter Zeit zu. Die Gefahr sei, dass Hacker die Anlagen sabotierten.
Auch Behörden und Ministerien sind nach Angaben des Vizepräsidenten des Bundesamtes für die Sicherheit in der Informationstechnik, Andreas Könen, nicht sicher vor Hacker-Angriffen. "Die Zahl der Angriff ist weiterhin hoch. Aber wir wehren praktisch alle ab, die wir sehen", betonte Könen.
Die wenigsten Angriffe stammten inzwischen von Gelegenheitshackern. Immer häufiger stünden hinter Cyberattacken Organisationen mit kriminellem Hintergrund. "Die meisten Angriffe auf die Computer der Bundesverwaltung gehen aber von organisierten Gruppen oder staatlichen Einrichtungen aus. Es geht also meist um Spionage", sagte Könen. Oft hätten diese Angriffe auf Bundes-Server zum Ziel, vor internationalen Konferenzen bestimmte Papiere auszuspähen.
Der Branchenverband Bitkom verlangte von der künftigen Bundesregierung Konsequenzen aus der NSA-Spähaffäre. Um das Vertrauen der Bürger in die Datensicherheit wieder herzustellen, forderte Bitkom-Präsidiumsmitglied Winfried Holz mehr Transparenz. So sollten IT-Firmen die Öffentlichkeit regelmäßig über die Zahl der Zugriffe staatlicher Stellen auf Kundendaten informieren dürfen. US-Unternehmen sei dies untersagt. Nach einer Bitkom-Umfrage vom Juli 2013 hätten zwei Drittel der Bundesbürger Sorge um ihre Daten im Internet.
Auf der IT-Sicherheitsmesse it-sa stellen 357 Aussteller Sicherheitslösungen für die IT-Technik vor. (dpa/rw)