IT-Sicherheit: BSI stellt Bericht zum digitalen Verbraucherschutz vor
Pressefoto: Bundesamt für Sicherheit in der Informationstechnik
Das BSI hat seinen ersten Bericht zur Lage des digitalen Verbraucherschutzes in Deutschland vorgestellt. Die Behörde kritisiert darin eine allgemeine Sorglosigkeit von Anbietern und Nutzern im Umgang mit Cybersicherheitsrisiken. Ein Schwerpunkt des diesjährigen Berichts liegt auf der Sicherheit von Gesundheits-Apps.
Mit dem am 28. Mai in Kraft getretenen IT-Sicherheitsgesetz 2.0 wurde die Verantwortung für den digitalen Verbraucherschutz an das Bundesamt für Sicherheit in der Informationstechnik (BSI) überwiesen. Nun hat das BSI seinen ersten Bericht zum digitalen Verbraucherschutz für das Jahr 2020 veröffentlicht. „In diesem Bericht bündelt die Behörde ab sofort jährlich die Expertise des ganzen BSI, analysiert entlang der integrierten Wertschöpfungskette von der Cyber-Abwehr bis hin zum Verbraucherschutz systematisch die Lage und verknüpft dies mit einem aktuellen Schwerpunktthema“, teilt das Bundesamt mit. Im diesjährigen Bericht liegt der Schwerpunkt auf der Cybersicherheit im Gesundheitswesen, insbesondere auf Gesundheits-Apps. BSI-Präsident Arne Schönbohm bezeichnete den Bericht bei der Vorstellung am Mittwoch als wichtigen Meilenstein, der sich in erster Linie an Multiplikatoren wie Verbraucherzentralen und Verbände sowie an die Politik richte.
Gleich zu Beginn des Berichts wird eine Reihe von strategischen Zielen genannt, mit denen das BSI den digitalen Verbraucherschutz stärken will. So sollen in Zukunft „so viele Consumer-Produkte wie möglich“ über ein IT-Sicherheitskennzeichen verfügen, mit dem die Sicherheitseigenschaften eines IT-Geräts für Verbraucher:innen transparent dargestellt werden sollen. Darüber hinaus seien weitere Kernziele darauf gerichtet, „das Risikobewusstsein im digitalen Raum zu schärfen, die Beurteilungsfähigkeit zu stärken und die Lösungskompetenz zu steigern“. Das BSI selbst will der neu hinzugewonnenen Aufgabe durch die Gründung eines eigenen Fachbereichs innerhalb der Abteilung „Cyber-Sicherheit für Wirtschaft und Gesellschaft“ sowie des Beirats Digitaler Verbraucherschutz gerecht werden.
Risiken im IOT und Smart Home
Anhand einiger Beispiele von Sicherheitsvorfällen im vergangenen Jahr werden im Bericht drei für den digitalen Verbraucherschutz besonders kritische Handlungsfelder identifiziert. So stellten zum einen Smart-Home-Anwendungen und andere Produkte aus dem Internet of Things (IoT) ein potenzielles Risiko für Verbraucher:innen dar, „da in diesem Bereich einheitliche Sicherheitsstandards noch keine flächendeckende Anwendung finden, wodurch das Risiko von Sicherheitslücken besonders groß ist“, konstatiert das BSI. Es seien nicht nur zahlreiche Sicherheitsmängel in konkreten Produkten wie Smart-TVs oder vernetzten Spielzeugen entdeckt worden, sondern in der „zentralen Sicherheitsarchitektur von IoT-Geräten und Hardware im Allgemeinen“. Als äußerst problematisch sieht das BSI auch die „unzureichende Bedeutung von ‚Security by Design'“ an, die sich nicht nur im IoT, sondern auch in anderen Gebieten der Informationstechnik offenbare. „Die schiere Masse an gefundenen Sicherheitslücken zeigt, dass die IT-Sicherheit im Entwicklungsprozess keinesfalls die Berücksichtigung gefunden hat, die für ein ganzheitlich sicheres Produkt notwendig wäre“, heißt es im Bericht. Die Gründe dafür auf der Anbieterseite seien mitunter „intransparent oder schlichtweg nicht nachvollziehbar“. Das BSI spricht vor diesem Hintergrund von einer „digitalen Sorglosigkeit“, die sowohl die Anbieter als auch die Verbraucher:innen betreffe.
In vielerlei Hinsicht nachlässig sei auch der Umgang mit Kundendatenbanken. 2020 seien persönliche und personenbezogene Daten millionenfach veröffentlicht und verbreitet worden und so ein „kaum kalkulierbares Schadensfeld“ entstanden. Als Beispiel wird im Bericht ein Vorfall von Januar 2020 genannt, als etwa drei Millionen Daten von Kund:innen einer Autovermietungsfirma durch einen falsch konfigurierten Server an die Öffentlichkeit gelangten. Kundendatenbanken seien häufig per se mangelhaft oder aufgrund einfacher Konfigurationsfehler angreifbar, kritisiert die Behörde im Bericht. Die Absicherung der Datenbanken sei darum ein „integraler Bestandteil des Erfolgs von digitalem Verbraucherschutz“.
Gesundheits-Apps schneiden schlecht ab
Vor dem Hintergrund der COVID-19-Pandemie liegt ein thematischer Fokus im diesjährigen Bericht auf den Risiken, die von digitalen Gesundheitsanwendungen ausgehen. So wird konstatiert, dass die „mit der Pandemie einhergehenden Unsicherheiten und Veränderungen“ ebenso wie der allgemeine Digitalisierungsschub in vielen Lebensbereichen ein Einfallstor für Cyberkriminalität geboten hätten. Zu einer unerwartet großen Häufung von Angriffen sei es jedoch nicht gekommen. In einer separaten Studie untersuchte das BSI die potenziellen IT-Sicherheitsrisiken von Gesundheits-Apps, die keiner speziellen Regulierung unterliegen, also nicht als Medizinprodukte gelten. Das BSI kritisiert einerseits eine hohe Intransparenz des Marktes bezüglich Datenschutz und IT-Sicherheit sowie auch hier eine mangelhafte Umsetzung des Security by Design-Prinzips.
Von den sieben ausgewählten Gesundheits-Apps, bei denen das BSI eine tiefergehende sicherheitstechnische Untersuchung durchführte, seien im Schnitt nur elf von 28 Sicherheitsanforderungen des BSI erfüllt worden, sagte Nicolas Stöcker, Leiter der BSI-Projektgruppe Digitaler Verbraucherschutz, bei der Vorstellung der Studie. Sechs von sieben Apps wiesen teils erhebliche Sicherheitsdefizite auf, indem sie Passwörter im Klartext an Authentifizierungsdienste übermittelten. Zu den größten Problemen zählte Stöcker grundsätzlich das Fehlen von Security by Design sowie eines Protokolls der Anbieter, wie mit Sicherheitslücken umzugehen sei. Angesichts der Kritikalität der Gesundheitsdaten ruft das BSI im Verbraucherschutzbericht Politik, Wirtschaft und Gesellschaft dazu auf, die analysierten Missstände zu beheben. Aktuell arbeite man mit den Anbietern daran, die Lücken zu schließen, erklärte Schönbohm.
„Wenn wir sehen, dass das nicht behoben wird, dann behalten wir uns vor, eine entsprechende Produktwarnung auszusprechen.“
Die Behörde selbst will einerseits durch den Austausch mit Verbraucherzentralen und Herstellern zu mehr digitaler Sicherheit für Verbraucher:innen beitragen und regt weitere Kooperationen innerhalb von Staat, Wirtschaft und Gesellschaft an. Das BSI appelliert insbesondere an die Hersteller, Sicherheitsaspekte stärker in der Entwicklung von Produkten zu berücksichtigen, und verweist auf eigene technische Richtlinien und Basisstandards, die Anbietern als Richtschnur dienen könnten. So gelte etwa der vom BSI veröffentlichte IoT-Basisstandard als „international anerkannte Messlatte zur Beurteilung, ob IoT-Geräte für den Verbrauchermarkt über ein Mindestmaß an Cybersicherheit verfügen“.
Empfehlungen des BSI
Darüber hinaus empfiehlt das BSI allen relevanten Akteuren aus Politik, Wirtschaft und Gesellschaft, Bemühungen zu sicherheitsorientiertem und selbstbestimmtem Handeln in der digitalen Welt zu fördern. „Die Bereitstellung von Selbsthilfe-Anleitungen und Orientierungsmöglichkeiten, wie einem IT-Sicherheitskennzeichen, durch wirtschaftliche und staatliche Akteure bietet die Chance, Verbraucherinnen und Verbrauchern bei der Umsetzung von IT-Basisschutz für den privaten Gebrauch zu unterstützen“, steht im Bericht. Empfehlungen müssten außerdem so formuliert werden, dass sie niedrigschwellig kommuniziert und unmittelbar umgesetzt werden können. Um Sicherheitslücken schnellstmöglich zu schließen, sollten Hersteller „flächendeckende Maßnahmen zur Problembehebung und Updates für betroffene Produkte“ bereitstellen, fordert das BSI. Wichtig sei aber auch eine Intensivierung der Aufklärungsarbeit gegenüber den Verbraucher:innen.
Tagesspiegel Politikmonitoring
Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf der Website des BASECAMP.
Empfehlung der Redaktion
Artikel teilen
Autor:in
