Der amerikanische Bundesstaat Kalifornien verabschiedete im Jahr 2018 ein Gesetz für Internet of Things (IoT), welches dieses Jahr am 01.01.2020 in kraft trat. In diesem Gesetz geht es um die Informationssicherheit der Internet of Things (IoT) Geräte und es verpflichtet die Hersteller gewisse Grundregeln einzuhalten.
Das Internet of Things (IoT) oder auf Deutsch „Internet der Dinge“. Bezeichnet Geräte, welche über ein Netzwerk verbunden sind und Informationen zur Verfügung stellen oder untereinander austauschen. Ein solches Gerät kann zum Beispiel eine Türklingel, Web-Cam, Kühlschrank, ein Netzwerk-Speicher (NAS) oder irgendein anderes Gerät sein. Das Internet of Things (IoT) kann der Wirtschaft Chancen bieten, wenn die Hersteller mehr in die Sicherheit dieser Geräte investieren würden. Die IT-Sicherheit ist aktuell für die Internet of Things (IoT) Geräte Hersteller keine Priorität. Weil die Kunden sich mehr um die Gerätefunktionalitäten und den Kaufpreis interessieren, als für die betriebliche Sicherheit dieser Internet of Things (IoT) Geräte.
Die Internet of Things (IoT) Geräte weisen zum Teil erhebliche Sicherheitslücken auf, welches für ein Unternehmen ein Geschäftsrisiko ergeben könnte. Internet of Things (IoT) Geräte werden zum Teil unzureichend geschützt mit dem Internet verbunden und dies bietet Hackern die Möglichkeit über die verwundbaren Geräte ins Firmennetz zu gelangen. Dies wiederum kann zu Produktivitätsausfällen führen mit verbundenen Erpressungszahlungen. Meistens werden die verwundbaren Internet of Things (IoT) Geräte zu DDoS Attacken zweckentfremdet, um andere Firmen zu beeinträchtigen.
“If you think that the internet has changed your life, think again. The Internet of Things is about to change it all over again!” — Brendan O’Brien
Ein Umdenken der Hersteller mehr in die Sicherheit der Internet of Things (IoT) Geräte zu investieren. Kann nur stattfinden, wenn die Kunden ein solches Produkt zu einem erhöhten Preis kaufen würden oder wenn es von Gesetzeswegen vorgeschrieben wird und dies dadurch einen rechtlichen Druck auf die Hersteller aufbaut. Genau das hat der amerikanische Bundesstaat Kalifornien mit dem Gesetz SB-327 getan. In diesem Gesetz, welches die Überschrift „Information privacy: connected devices“ trägt.
Es verpflichtet Hersteller solcher Internet of Things (IoT) Geräte mit einer angemessenen Sicherheitsfunktion oder Funktionen auszustatten, um die vorhandenen Informationen vor unbefugtem Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung zu schützen.
Besonders möchte ich folgende Artikel aus SB-327 hervorheben, welches die technischen und rechtlichen Aspekte regelt:
Artikel: 1798.91.04
- Das vorprogrammierte Passwort ist für jedes hergestellte Gerät einmalig.
- Das Gerät enthält eine Sicherheitsfunktion, nach der ein Benutzer eine neue Authentifizierungsmöglichkeit generieren muss, bevor dem Gerät zum ersten Mal der Zugriff gewährt wird.
Artikel: 1798.91.06
- Dieser Rechtstitel darf nicht so ausgelegt werden, dass er dem Hersteller eines verbundenen Geräts im Zusammenhang mit nicht verbundenen Software oder Anwendungen von Drittanbietern, die ein Benutzer einem verbundenen Gerät hinzufügt, eine Verpflichtung auferlegt.
- Dieser Rechtstitel darf nicht so ausgelegt werden, dass er dem Hersteller eines angeschlossenen Geräts die Pflicht auferlegt, einen Benutzer daran zu hindern, die volle Kontrolle über ein angeschlossenes Gerät zu haben, einschließlich der Möglichkeit, die auf dem Gerät ausgeführte Software oder Firmware zu ändern.
- Dieser Rechtstitel ist nicht als Grundlage für ein privates Klagerecht auszulegen. Der Generalstaatsanwalt, ein Stadtanwalt, ein Bezirksanwalt oder ein Bezirksstaatsanwalt haben die ausschließliche Befugnis, diesen Rechtstitel durchzusetzen.
In den Artikeln wird vorgebeugt, dass die Hersteller dieses Gesetz für sich passend machen, beziehungsweise gewinnbringend interpretieren und dadurch anderweitig die Kunden einen Verlust erleiden. Ebenso können nur Staatsanwälte eine Klage erheben. Was wiederum verhindert, dass Privatkläger Firmen verklagen mit dem Versuch Schadensersatz zu erhalten und dadurch unnötig die dortigen Gerichte überlasten.