Security von technischen Produkten - Juristische Pflichten für Hersteller

Herstelleradressierte IT-Sicherheitsanforderungen an smarte Produkte

Anknüpfend an den Fachbeitrag "Security vs. Safety" vom 11.02.2021 behandelt der nachfolgende Artikel die Frage, welche rechtlichen, an Hersteller gerichteten IT-Sicherheitsanforderungen im Maschinen- und Niederspannungsrecht bzw. im Haftungsrecht existieren und welche Haftungsrisiken bei auftretenden IT-Sicherheitslücken entstehen können.

Der Beitrag zeichnet die Rechtslage primär aus deutschrechtlicher Sicht nach; die maßgeblichen Rechtsgrundlagen bilden dabei das Produktsicherheitsgesetz, (ProdSG), das Produkthaftungsgesetz (ProdHaftG) und das Deliktsrecht (§ 823 Abs. 1 BGB). Die im Folgenden dargestellten Maßgaben lassen sich jedoch grundsätzlich auch für die Bewertung nach schweizerischem und österreichischem Recht heranziehen. Denn die in Rede stehende Rechtsmaterie ist stark EU-rechtlich vorgeprägt und durch die Produkthaftungsrichtlinie und Produktsicherheitsrichtlinie in den drei Ländern im Wesentlichen harmonisiert. So regeln in der Schweiz vor allem das Produktehaftpflichtgesetz (PrHG) und das Produktesicherheitsgesetz (PrSG) das Produktrecht, während in Österreich aus dem Produkthaftungsgesetz (PHG) sowie aus dem Produktsicherheitsgesetz (PSG) die einschlägigen Regelungen folgen. Im Übrigen ähnelt sich das Deliktsrecht der drei Länder, aus dem sich produktrechtliche Vorgaben ergeben; in der Schweiz sind Art. 41 ff. Schweizerische Obligationenrecht und in Österreich das Allgemeine Bürgerliche Gesetzbuch sowie das Konsumentenschutzgesetz maßgeblich.
 

1. IT-Sicherheit im Rechtssinn

Nachdem bereits in dem genannten Fachbeitrag der Unterschied zwischen Safety und Security angesprochen wurde, soll der Gegenstand der IT-Sicherheit in rechtlicher Hinsicht geschärft werden. In Deutschland ist IT-Sicherheit in § 2 Abs. 2 BISG¹ definiert und bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen in informationstechnischen Systemen, Komponenten oder Prozessen oder bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen. Zu den Schutzgütern der IT-Sicherheit gehören die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität datenverarbeitender Systeme sowie der dort vorgehaltenen Daten. Es besteht folglich keine Identität zwischen IT-Sicherheit und Produktsicherheit, auch wenn die IT-Sicherheit die Produktsicherheit beeinflussen kann. Eine allgemeine produktbezogene Herstellerpflicht zur Gewährleistung von IT-Sicherheit besteht indes (noch) nicht.
 

2. Anwendung des Produktrechts auf smarte Produkte

In der Rechtswissenschaft ist mittlerweile anerkannt, dass embedded Software bzw. Firmware als integraler Bestandteil eines körperlichen Gegenstandes den Produktbegriff des ProdSG und der Produkthaftungsrichtlinie erfüllt und damit vom Anwendungsbereich des Produktrechts erfasst wird. In dem Bericht über die Auswirkungen künstlicher Intelligenz, des Internets der Dinge und der Robotik in Hinblick auf Sicherheit und Haftung² der EU-Kommission lässt sich darüberhinausgehend eine Andeutung feststellen, wonach auch unverkörperte, eigenständige Software als Produkt zu qualifizieren ist. Vor diesem Hintergrund hat jedenfalls Firmware produkt(haftungs)rechtliche Relevanz.
 

3. Maschinen- und niederspannungsrechtliche IT-Sicherheitsanforderungen

Ausdrückliche IT-Sicherheitsanforderungen finden sich im Maschinen- und Niederspannungsrecht nicht. Die Maschinen- bzw. Niederspannungsrichtlinie zielen nämlich in erster Linie auf den Schutz von Leben- und Gesundheit ab. Die IT-Sicherheit im oben genannten Sinn gehört mithin nicht zu den Schutzzielen des öffentlichen Produktsicherheitsrechts. Dementsprechend statuieren ebenso wenig die allgemeine Produktsicherheitsrichtlinie und die Funkanlagenrichtlinie als horizontale Rechtsakte IT-Sicherheitsanforderungen.

Nichtdestotrotz ergeben sich aus den originären produktsicherheitsrechtlichen Herstellerpflichten mittelbare IT-Sicherheitsanforderungen. Aus der herstellerseitigen Verpflichtung zur Sicherstellung der Produktsicherheit folgt auch die Herstellerpflicht, sicherzustellen, dass IT-Sicherheitslücken, die eine in einem Produkt integrierte Software aufweist, nicht zu Lebens- bzw. Gesundheitsgefährdungen führen. Dass Cyberattacken bzw. unbefugte Dritte IT-Sicherheitslücken ausnutzen, um sich Zugriff zum Produkt zu verschaffen und anschließend schadensstiftende Produktmanipulationen vorzunehmen, ist nicht schwer vorstellbar. Den Herstellern obliegt es folglich, ebenso mittelbare, IT-bedingte Gefährdungen für Leben und Gesundheit bei der Produktkonstruktion zu berücksichtigen. Dies gilt ungeachtet dessen, ob die unmittelbare Gefährdung durch einen Dritten ausgelöst wird, namentlich durch eine Cyberattacke. Denn abgesehen von der Pflicht zur Beachtung von vorsehbaren Fehlanwendungen, die primär aus Sicht der Nutzer zu bestimmen ist, verlangt die Maschinenrichtlinie im Anhang I Ziff. 1.2.1. die Berücksichtigung von Fremdeinflüssen und den Defekt der Steuerungssoftware als mögliche Gefahrenauslöser. Eine ähnliche Stoßrichtung besitzt die Niederspannungsrichtlinie im Anhang I Ziff. 3, die den Fokus auf den Schutz vor Gefahren, die durch äußere Einwirkungen auf elektrische Betriebsmittel entstehen können, wirft. Letztlich legt auch die EU-Kommission in dem oben erwähnten Bericht ein solches Verständnis an den Tag, indem sie davon ausgeht, dass das unionale Produktsicherheitskonzept jedenfalls mittelbar die IT-Sicherheit miterfasst.³ Im Übrigen erkennt auch die in Deutschland zentrale Bundesoberbehörde für Produktsicherheit, die Bundesanstalt für Arbeitsschutz und Arbeitsmedizin, mangelhafte Software als ernstliches Gefährdungsmerkmal bei Produkten an.⁴

Trotz fehlender ausdrücklicher IT-Sicherheitsanforderungen im öffentlichen Produktsicherheitsrecht müssen Hersteller die IT-Sicherheit als Teilaspekt der Produktsicherheit von smarten Produkten begreifen. Daher sollten sie bestehende technische Normen als Orientierungshilfe für die Einhaltung des Standes der Technik bei der Konstruktion und Herstellung beachten; zu nennen sind etwa:

• DIN SPEC 27072 „Informationstechnik - IoT-fähige Geräte - Mindestanforderungen zur Informationssicherheit“,
• der europäische Standard ETSI EN 303 645 für IoT-Verbraucherprodukte,
• die "Guidelines for Securing the Internet of Things" der Agentur der Europäischen Union für Cybersicherheit,
• die Leitlinien für Maschinenhersteller zur Berücksichtigung der damit verbundenen IT-Sicherheits-(Cybersicherheits-)Aspekte (ISO/TR 22100-4).

4. IT-Sicherheitsanforderungen im Haftungsrecht – Haftungsrisiken bei auftretenden IT-Sicherheitslücken

Obwohl noch keine expliziten Haftungsregelungen für vernetzte Produkte wegen Cyberrisiken bestehen, ergeben sich aus dem existierenden zivilrechtlichen Haftungsregime, insbesondere aus der Produkthaftungsrichtlinie und der Produzentenhaftung gem. § 823 Abs. 1 BGB, IT-Sicherheitsanforderungen an vernetzte Produkte. Eine vollständige Übertragung der haftungsrechtlichen Grundsätze auf die Herstellerhaftung für IT-Sicherheitslücken lässt sich dennoch nicht annehmen, da teilweise noch keine abschließende Rechtsklarheit über die Herstellerhaftung im Zusammenhang mit IT-Sicherheitslücken vorherrscht.
 

4.1 IT-Sicherheit als Zielgröße des Haftungsrechts

Eine Herstellerhaftung kommt nur in Betracht, wenn ein Schaden an einem geschützten Rechtsgut entsteht. Zu den geschützten Rechtsgütern zählen in erster Linie Leib, Leben und Gesundheit sowie Eigentum. Hingegen wird darüber, ob die IT-Sicherheit bzw. ihre Schutzgüter im oben unter 1. genannten Sinn zu den Rechtsgütern des Haftungsrechts gehören, in der Rechtswissenschaft gestritten. Die Rechtsprechung hat hierzu noch keine dezidierte Stellung bezogen.

Ungeachtet dessen können IT-Sicherheitslücken bzw. Cyberangriffe zu Schäden an einem der vom Haftungsrecht geschützten Rechtsgüter führen und damit das Haftungsrecht grundsätzlich zur Anwendung bringen. Denkbar sind Verletzungen von Maschinenführern bzw. der Produktverwender aufgrund von manipulierten smarten Maschinen oder vernetzten Produkten; Beschädigung von Eigentum durch die kompromittierte Maschine, namentlich Schäden an anderen vernetzten Maschinen oder der von der Maschine hergestellten Produkte. Eine bloße auf einem Hackerangriff beruhende Nutzungsbeschränkung oder Beschädigung der gekaperten Maschine stellt demgegenüber nur unter engen Voraussetzungen eine Eigentumsverletzung dar. Aus Sicht der Produkthaftungsrichtlinie bzw. des ProdHaftG ergeben sich weitere Einschränkungen für die Annahme einer Eigentumsverletzung hinsichtlich gewerblich genutzter beschädigter Sachen.
 

4.2 Herstellerverantwortung für Cyberangriffe

Von der Rechtsprechung bisher ungeklärt ist auch die Frage, inwieweit Hersteller für Cyberangriffe eines Dritten und die dadurch verursachten Schäden haften. Eine Herstellerverantwortung lässt sich in diesem Fall nicht per se verneinen, obwohl dieses Szenario auf einem vorsätzlichen Missbrauch eines Produkts im Wege der Ausnutzung von IT-Sicherheitslücken durch Dritte basiert. Schließlich verlangt das Deliktsrecht unter bestimmten Bedingungen ebenso die Vornahme von Sicherheitsvorkehrungen gegen vorsätzliches Missbrauchsverhalten Dritter. Im Produzenten- bzw. Produkthaftungsrecht ergibt sich dieses Erfordernis einerseits aufgrund der Pflichten zur Berücksichtigung von vorhersehbaren Fehlanwendungen des Produkts und zum Treffen entsprechender Sicherheitsmaßnahmen, auch wenn dies in erster Linie aus Sicht des befugten Produktverwenders stattzufinden hat. Andererseits erstrecken sich bei digitalen Produkten die "berechtigten Sicherheitserwartungen" als dem vom Hersteller zu erfüllenden Maßstab regelmäßig auch auf die IT-Sicherheit. Vorkehrungen zur Abwehr vor Cyberangriffen, welche Schäden an geschützten Rechtsgütern auslösen können, werden von einem Durchschnittsnutzer erwartet, da digitalen Produkten ebensolche Gefährdungssituationen inhärent sind. Vor diesem Hintergrund sollten Hersteller unbedingt (Mindest-)Schutzvorkehrungen zur Abwehr von Cyberangriffen treffen. Andernfalls drohen Haftungsrisiken, wenn der Hersteller aufgrund der Abwesenheit von Schutzmaßnahmen zu Cyberangriffen und zur Schadenverursachung gleichsam "einladen" würde.

Auch Betreiber der vernetzten Maschinen müssen unter arbeitsschutzrechtlichen Gesichtspunkten einen Beitrag zur IT-Sicherheit der Maschinen und zur cybersicheren Nutzung leisten. Infolge dessen gilt es, neben den kaufvertraglichen Regelungen auch Abreden hinsichtlich Risiko- und Verantwortungssphären zwischen Hersteller und Betreiber zu treffen. Zudem könnte der Hersteller IT-Pflegeleistungen auf Grundlage eines Software-Pflegevertrages gegenüber dem Betreiber anbieten bzw. erbringen.
 

4.3 Haftungsrechtliche Herstellerpflichten in Bezug auf die IT-Sicherheit

Aus dem Haftungsrecht ergeben sich konkrete Herstellerpflichten in Bezug auf die IT-Sicherheit. Hersteller sind gut beraten, diese Pflichten trotz der angedeuteten Rechtsunsicherheiten einzuhalten, um drohende Haftungsrisiken zu vermeiden.

Im Rahmen der Konstruktion und Fabrikation müssen die Hersteller den Maßstab des Standes von Wissenschaft und Technik auch bezüglich smarter Produkte bzw. Firmware einhalten. Digitale Produkte resp. Firmware sind unter Beachtung dieses Maßstabs zu designen und (Schutz-)Maßnahmen zu ergreifen; unberechtigter Zugriff durch Dritte und dadurch entstehende Gefährdungen für Leib, Leben und Eigentum sollen dadurch verhindert werden. Vor allem sollte ein digitales Produkt updatefähig sein, damit IT-Sicherheitslücken mittels nachträglicher Firmware-Updates behoben werden können. Eine Orientierung bei der Bestimmung des geltenden Sicherheitsmaßstabs bieten die bestehenden Vorgaben des IT-Sicherheitsrechts sowie die einschlägigen technischen Regelwerke (siehe oben unter 3.).

Weite und Umfang der Herstellerpflichten im Zusammenhang mit der Gewährleitung der IT-Sicherheit ist im Einzelfall anhand lenkender Kriterien festzustellen; etwa:

• IT-sicherheitsbedingtes Gefahrenpotenzial des smarten Produkts;
• technische Realisierbarkeit und Zumutbarkeit, um IT-Sicherheit zu gewährleisten;
• Benutzerkreis und die Möglichkeit der Inpflichtnahme der Nutzer zum Eigenschutz (von Fachleuten darf ein höheres Maß an IT-Eigenschutz abverlangt werden);
• Einsatzumgebung des smarten Produkts (hohes Sicherheitsniveau bei Maschinen, die in sog. Kritischen Infrastrukturen verwendet werden).

Die Gewährleistung einer absoluten IT-Sicherheit ist jedoch weder technisch möglich noch rechtlich geboten.

Wird die Firmware für das Endprodukt "Maschine" oder das smarte Produkt von einem Zulieferer als Teilproduktehersteller hinzugekauft, sollten Endhersteller und Zulieferer hinsichtlich der Firmware klare Verantwortungssphären und technische Spezifikationen unter Beachtung des geltenden Sicherheitsmaßstabs mit Blick auf die IT-Sicherheit vereinbaren.

Neben der Konstruktion und Fabrikation besitzt auch die (nachrangige) Instruktion eine hohe Bedeutung zwecks Gewährleistung der IT-Sicherheit und der Abwehr von Cyberangriffen. Bestehenden Restrisiken kann mit entsprechenden Verwenderinformationen begegnet werden:

• Gebrauchsanleitungen zur cybergerechten Nutzung;
• Warnhinweise hinsichtlich IT-Sicherheitsgefahren;
• Informationen zum Aufspielen etwaiger sicherheitsrelevanter Software-Updates;
• Erläuterungen möglicher updatebedingter Nutzungsänderungen.

Aus der deliktischen Haftung gem. § 823 Abs. 1 BGB trifft den Hersteller eine zusätzliche Produktbeobachtungs- und Gefahrabwendungspflicht. Eingedenk des dargestellten Gefahrenpotenzials von IT-Sicherheitslücken bzw. Hackerangriffen erstreckt sich diese Pflicht auch auf Cybergefahren, wobei einige Besonderheiten bestehen. So lässt sich etwa die Durchführung einer integrierten remote-Produktbeobachtung erwägen: Daten des vernetzten Produkts werden zur Auswertung automatisch an den Hersteller übertragen. Diese Art der Produktbeobachtung setzt ein entsprechendes Einverständnis des Produktnutzers voraus, da ansonsten datenschutzrechtliche Gründe einer automatischen Datenerhebung und -auswertung entgegenstehen. Die Produktbeobachtungspflicht betrifft im Übrigen auch Hersteller von analogen Maschinen bzw. Produkten hinsichtlich fremdhergestellter IT-Elemente als Zubehörteile für das eigene Produkt. Dies gilt, sofern mit diesem Zubehörteil das Endprodukt nachgerüstet werden kann und damit zu einem smarten Produkt wird.

Stellt der Hersteller fest, dass von im Feld befindlichen Produkten Gefahren ausgehen, muss er Gefahrabwendungsmaßnahmen ergreifen. Ob der Hersteller in diesem Rahmen auch die Pflicht hat, Firmware-Updates auf seine Kosten zu programmieren, sie zur Verfügung zu stellen und ggfs. automatischen aufzuspielen, wird in der Rechtswissenschaft kontrovers diskutiert.⁵ Weil diese Frage von der Rechtsprechung jedoch bislang nicht beantwortet wurde, tun Hersteller zwecks Reduzierung von Haftungsrisiken gut daran, sicherheitsrelevante Firmware-Updates bereitzustellen. Dies gilt jedenfalls, soweit ein Update technisch möglich und wirtschaftlich zumutbar ist und andere Abhilfemaßnahmen geringeren Erfolg versprechen. Die Frage nach der Zumutbarkeit orientiert sich an dem Gefahrenpotenzial der IT-Sicherheitslücke und dem Update-Aufwand, der wegen der Durchführbarkeit via Internet gering sein dürfte. Der Hersteller kommt seiner Update-Pflicht regelmäßig dann nach, wenn er dem Nutzer das Update anbietet und über mögliche Konsequenzen eines unterlassenen Updates aufklärt. Denn die Letztentscheidung über die tatsächliche Durchführung besitzt nämlich der Produktnutzer. Lediglich in krassen Ausnahmen (extrem hohes Schadenspotenzial) darf bzw. muss der Hersteller ohne Wissen oder sogar gegen den Willen des Nutzers das Update durchführen.

Eine weitere Abhilfemaßnahme stellt die Sicherheitswarnung dar. Sie kann entweder zusätzlich zu einem Firmware-Update oder anstelle eines Updates, wenn dieses unverhältnismäßig erscheint, ergriffen werden. Mit der Warnung lässt sich erforderlichenfalls die Empfehlung zur Stilllegung des Produkts oder Deaktivierung der IT-Schnittstelle verbinden. Warnungen bezüglich bestehender IT-Sicherheitslücken sollten, sofern möglich, direkt an die Nutzer gehen, um Cyberattacken nicht aufgrund öffentlichkeitswirksamer Mitteilungen heraufzubeschwören.
 

5. Ausblick und Empfehlungen

Schon bald werden gesetzliche IT-Sicherheitsanforderungen an smarte Produkte und Maschinen etabliert. Es bestehen eine Reihe von entsprechenden unionalen und nationalen Gesetzesvorhaben. Zu nennen sind etwa:

• der sog. EU Cybersecurity Act, der einen Rahmen für freiwillige Zertifizierungen vorsieht;
• die EU-Warenverkaufsrichtlinie, die eine Sicherheitsaktualisierungspflicht für Verbraucherprodukte mit digitalen Elementen fundiert,
• das in Deutschland geplante IT-Sicherheitsgesetz 2.0, das einen Schwerpunkt auf den Verbraucherschutz legt und produktbezogene Herstellerpflichten zur IT-Sicherheit artikuliert.

Unabhängig davon treffen den Hersteller, wie oben dargestellt, bereits jetzt IT-sicherheitsbezogene Pflichten in Bezug auf smarte Produkte bzw. Maschinen. Deshalb ist den Herstellern dringend anzuraten, ein Mindestmaß an IT-Sicherheit sicherzustellen, um Haftungsrisiken zu vermeiden. Angezeigt ist insbesondere folgendes:

• Anwendung bestehender technischer Normen in Bezug auf die IT-Sicherheit im Rahmen der Konstruktion und Fabrikation (insb. Vorsehen von Maßnahmen zur Resilienz);
• Einbeziehung des Aspektes der IT-Sicherheit, eventueller IT-Sicherheitslücken und der Anfälligkeit für Cyberangriffe in die Risikobeurteilung (nebst entsprechender Dokumentation in den technischen Unterlagen);
• Bereitstellung von Informationen hinsichtlich möglicher Cybergefahren und IT-Sicherheitslücken;
• bei Maschinen: vertragliche Ausgestaltung der Verantwortlichkeiten zwischen Hersteller und Betreiber (ggf. nebst Abschluss eines Software-Pflegevertrags);
• vertragliche Abrede mit Nutzer bezüglich eines herstellerseitigen Rechts zur automatisierten Datenerhebung im Rahmen der Produktbeobachtung und zur Durchführung von sicherheitsrelevanten Firmware-Updates;
• Formulierung konkreter Anforderungen an die IT-Sicherheit im Rahmen vertraglicher Vereinbarungen mit Zulieferern von Firmware;
• Beobachtung der im Feld befindlichen digitalen Produkte unter dem Aspekt der IT-Sicherheit, auch im Zusammenwirken mit fremdhergestellten nachrüstbaren IT-Elementen;
• im Falle festgestellter Cybergefahren: sicherheitsrelevante Firmware-Updates bereitstellen und/oder Sicherheitswarnungen aussprechen;
• Klärung mit der Produkthaftpflichtversicherung, ob eine Gefahrenrealisierung aufgrund von IT-Sicherheitslücken gedeckt ist.

Fußnoten:
¹Gesetz über das Bundesamt für Sicherheit in der Informationstechnik.
²COM (2020) 64 final, 17.
³COM (2020) 64 final, 8.
⁴Bundesanstalt für Arbeitsschutz und Arbeitsmedizin, Gefährliche Produkte 2018, S. 26.
⁵Aus Sicht des Produktsicherheitsrechts siehe Wiebe, NJW 2019, 625 ff.; vgl. auch Wiesemann/Mattheis/Wende, MMR 2020, 139, 140.

Verfasst am: 15.04.2021