18-5-2017 Gedruckt am 25-05-2017 aus www.monitor.co.at/index.cfm/storyid/17284

Forderung des Europaabgeordneten Paul Rübig

Softwarefirmen sollen für Lücken haften

Im Windschatten von Malware-Wellen wie WannaCry oder Adylkuzz forderte diese Woche der ÖVP-Europaabgeordnete Paul Rübig, dass Softwarefirmen haften müssen, wenn durch Sicherheitslücken in ihren Programmen Computersysteme ausfallen und Daten verloren gehen. Dieser Vorschlag wird von der IT-Branche kritisiert, hat aber auch Unterstützer.

Rudolf Felser

(Bild: CC0 Public Domain - pixabay.com)

"In erster Linie müssen die Softwarefirmen haften, vor allem wenn wissentlich Sicherheitslücken nicht geschlossen oder Updates nicht umgehend in Umlauf gebracht wurden. Erst in zweiter Instanz müssen auch die Nutzer in die Pflicht genommen werden, falls kritische Sicherheits-Updates lange Zeit nicht installiert werden", wird Rübig, industriepolitischer Sprecher der ÖVP im EU-Parlament, in einer Presseaussendung zitiert.
 
Schützenhilfe erhält Rübig vom IT-Security-Experten Markus Robin, General Manager von SEC Consult. Robin kann Rübigs Vorschlag durchaus etwas abgewinnen, wie er gegenüber monitor.at erklärt: "Seit mehr als zehn Jahren zeigen die Sicherheitstests des SEC Consult Vulnerability Labs, dass die Mehrheit der Software-Hersteller unzureichende Qualitätssicherungsmaßnahmen zur Sicherheit ihrer Produkte vornehmen. Der Stand der Technik z.B. für die Sicherheit von Webanwendungen, definiert in der ÖNORM A 7700, ist seit Jahren verfügbar und trotzdem ein Minderheitenprogramm. Wir begrüßen im Sinne der kritischen Infrastruktur-Unternehmen diese Produkthaftung für Software-Hersteller. Damit würden sich Hersteller mit hoher Qualität in Bezug auf Applikationssicherheit leichter am Markt etablieren und sich die gesamtstaatliche Sicherheit kontinuierlich steigen. Bis dahin ist es leider Aufgabe der beschaffenden Organisation durch Sicherheits-Crash-Tests herauszufinden, ob die angebotene Software in sich zusammenbricht oder nur wenige Schwachstellen besitzt.
 

IT und Software verbieten?

Peter Lieber, Präsident des Verbandes Österreichischer Software Industrie (VÖSI), ist mit dieser Sichtweise nicht einverstanden. Auf Anfrage von monitor.at verfasste er eine Stellungnahme zu dem Thema, die hier komplett zu finden ist. Darin schreibt Lieber etwa: "Software-Systeme sind komplex und vielfältig. Die Frage nach der Verantwortung für kritische Fehler ist daher nicht einfach zuzuweisen. Jeder der mit Software zu tun hat – egal, ob als Anwender, Hersteller, Betreiber, Verkäufer etc. – hat Verantwortung. Jeder Hersteller von Hardware, die mit Software betrieben wird, hat Verantwortung. Der Staat hat Verantwortung, der es jahrelang verabsäumt hat, sich auf diese Thematik einzustellen. Eltern haben Verantwortung, die ihren Kindern uneingeschränkten Zugang zu Software gibt." Lieber weiter: "Es geht hier meiner Ansicht nach um den völlig ungeeigneten Versuch der Politik, etwas durch Strafen zu regulieren, was letztlich nur durch eine Rückkehr in die Zeit vor IT und Software gelingen könnte. Es scheint so, als wollte man IT und Software einfach verbieten, weil diese potentiell gefährlich sein können. Aber im Zeitalter der umfassenden Digitalisierung ist letztlich überall Software anzutreffen, da moderne Produkte und Services ohne Software nicht die Leistungen erbringen können, die die Gesellschaft von ihnen erwartet. Dann könnten wir gleich auch Strom, Gas oder vielleicht sogar Essen und Trinken verbieten, denn auch dort lauern Gefahren."
 
Außer der Haftung der Softwarefirmen fordert Rübig eine Meldepflicht. "Wir brauchen endlich eine EU-weite, umfassende, gesetzliche Meldepflicht von Cyberattacken. Die europäischen Regelungen dazu sind in Österreich noch nicht umgesetzt. Öffentliche Verwaltungen und Betreiber wichtiger Infrastruktur wie Energieversorger, Banken, Verkehrsbetriebe und Krankenhäuser sollen sich auf Cyber-Angriffe vorbereiten und sicherheitsrelevante Vorfälle anzeigen", so der ÖVP-Politiker.