Smart-Home-Sicherheit

Wer haftet, wenn mein Kühlschrank gehackt wird?

19.02.2018 von Mareike Gehrmann IDG ExpertenNetzwerk

Unser Haus wird smart und unsere Lebensqualität erhöht sich. Rechtlich stellt sich jedoch vor allem eine Frage: Wer haftet eigentlich für IT-Sicherheitslücken?

Während das Smart Home in manchen Situationen Probleme löst, wirft es anderswo ganz neue Fragen auf.
Foto: Iaremenko Sergii - shutterstock.com

Immer mehr Menschen nutzen Smart-Home-Produkte, um ihren Alltag zu Hause leichter und komfortabler zu gestalten: Sei es die Heizung via Smartphone zu steuern oder Musik per Sprachbefehl abzuspielen.

Zwingende Voraussetzung ist dafür der Zugang zum hauseigenen Netzwerk und somit zum World Wide Web. Anders als bei klassischen IT-Produkten war jedoch für die meisten Hersteller bisher die Funktionalität ihrer Smart-Home-Produkte wichtiger, als diese vor Hackerangriffen zu schützen.

Das kann weitreichende Folgen haben, wie das folgende Beispiel zeigt:

Ein Haus ist mit einem Sicherheitssystem mit Internetzugang ausgestattet. Darüber kann auch die Haustür geöffnet werden. Bei einem Hacker-Angriff dient den Kriminellen der Kühlschrank, der neben weiteren Smart-Home-Produkten in das hauseigene Netzwerk eingebunden ist, als Angriffspunkt. Den Hackern ist es nun möglich, die Haustür zu öffnen und Wertgegenstände zu entwenden.

Für viele Nutzer ist das Smart Home ein Segen. Im Ernstfall kann es sich jedoch zu einem echten Albtraum werden.
Foto: Scott Bedford - shutterstock.com

Es stellt sich die spannende Frage: Wer haftet für den Schaden, der durch IT-Sicherheitslücken von Smart-Home-Produkten entsteht?

"Mangel" durch IT-Sicherheitslücken?

Der Verbraucher könnte gegen den Hersteller einen Anspruch auf Schadensersatz aus dem Kaufvertrag haben. Dafür müsste der Kühlschrank jedoch einen "Mangel" vorweisen.

Ein "Mangel" ist eine Abweichung der Ist- von der vereinbarten "Soll-Beschaffenheit", welche zum Zeitpunkt der Übergabe der Kaufsache vorlag (§434 BGB). An dieser Stelle kommt bereits die erste Hürde. Denn welche IT-Sicherheitsmaßnahmen als Soll-Beschaffenheit vereinbart worden sind, ergibt sich meist nicht aus dem Kaufvertrag. Vielmehr schweigt dieser hierzu. Sind die zu erfüllenden IT-Sicherheitsmaßnahmen nicht explizit im Kaufvertrag vereinbart, kommt es auf die gewöhnliche Verwendung der Kaufsache an.

Der gekaufte Kühlschrank wäre also nur dann mangelhaft, wenn vergleichbare Kühlschränke mit demselben Qualitätsstandard diese IT-Sicherheitslücke nicht aufweisen und das Bestehen dieser Lücke nicht dem Stand der Technik entspricht.

Auch beim Kauf eines smarten Kühlschranks lohnt sich deshalb ein Blick ins Kleingedruckte. Je nach Kaufvertrag ist der Hersteller im Ernstfall nicht dazu gezwungen, für den Schaden aufzukommen.
Foto: Igor Kardasov - shutterstock.com

Stehen dem Käufer Sachmängelansprüche zu, kann er diese jedoch nur innerhalb der zweijährigen Verjährungsfrist geltend machen. Für den Käufer ist es aber besonders schwierig, da dieser ab dem siebten Monat nach dem Kauf die Darlegungs- und Beweislast dafür trägt, dass der gekaufte Kühlschrank mangelhaft war (§477 BGB). Ein solcher Beweis wird dem Käufer aber wohl kaum gelingen.

Nicht zu vergessen: Selbst wenn ein Schadensersatzanspruch grundsätzlich besteht, könnte die kritische Folgefrage gestellt werden, welche Mitschuld einem Verbraucher zuzurechnen ist, wenn dieser sein Netzwerk und somit seine Smart Produkte unzureichend schützt.

Alternative "Produzentenhaftung"?

Es stellt sich deshalb die Frage, ob alternativ ein Schadensersatzanspruch aus der deliktischen Produzentenhaftung (leichter) geltend gemacht werden kann (§823 Abs. 1 BGB).

Hierbei handelt es sich um eine seitens der Rechtsprechung entwickelte Haftung, wonach der Hersteller eines Produktes auf Schadensersatz haftet, wenn er sich "rechtlich vorwerfbar" verhält. Rechtlich vorwerfbar ist beispielsweise, wenn der Hersteller seine Produkte während der Produktion nicht auf Produktionsfehler überprüft oder ein zunächst fehlerfrei aussehendes Produkt ausliefert, dieses aber nach Auslieferung nicht ausreichend überwacht. Der Hersteller muss also stets den belieferten Markt im Auge behalten, um schnellstmöglich reagieren zu können, falls doch noch Fehler oder Gefahren am Produkt entdeckt werden. Dies dürfte insbesondere für im Nachhinein festgestellte IT-Sicherheitsmängel gelten.

Allerdings sind auch hier einige Schwierigkeiten zu beachten: Zwar haftet grundsätzlich ein Hersteller, der mit dem Inverkehrbringen eines fehlerhaften Produktes eine Gefahrenquelle schafft. Ein Anspruch besteht jedoch nur, wenn eines der durch die Produzentenhaftung geschützten Rechtsgüter verletzt ist. Dazu zählen:

Eigentum
Leben
Körper
Gesundheit
Freiheit
Besitz
Persönlichkeitsrecht
und der eingerichtete und ausgeübte Gewerbebetrieb

Bloße Vermögensschäden zählen explizit nicht dazu.

Seit 2015 haben der deutsche und der europäische Gesetzgeber durch diverse Gesetzesinitiativen die Anforderungen an die IT-Sicherheit stetig verschärft. Dies gilt in Zukunft vermutlich auch für die Verkehrssicherungspflichten für Hersteller von Smart-Home-Produkten. Jedenfalls die Implementierung eines Mindestniveaus an IT-Sicherheit dürfte - bereits heute - nach herrschender Verkehrsauffassung zwingend sein.

Smart Home auf der IFA 2017

Das Mega-Trendthema auf der IFA 2017 ist das Smart Home.

Selbst aus dem Auto (hier auf dem Siemens-Stand) soll in der Connected World künftig das Smart Home gesteuert werden.

Home Connect heißt die IoT-Lösung von Bosch.

Noch sieht die Unterstützung für die Home-Connect-Plattform eher bescheiden aus.

Kleine Roboter als persönliche Assistenten liegen voll im Trend.

Als eine der wenigen Aggregatoren verbindet Mozaiq unterschiedliche IoT-Plattformen und Player mit Service-Anbietern.

Dem Thema IoT widmet die IFA eine eigene Halle.

Die Sprachunterstützung mittels Amazon Alexa gehört im Smart Home zum guten Ton.

IP-Kameras zur Überwachung der Wohnung gibt es auf der IFA in Hülle und Fülle.

Auch das Thema Elektromobilität kommt auf der IFA nicht zu kurz.

Die Roboter spielen auf.

Wachstumsmarkt Smart Home. eco und Arthur D. Little erwarten ein durchschnittliches Plus von 26,7 Prozent.

Der Family Hub im Kühlschrank wird bei Samsung zum zentralen Steuerpunkt für das Smart Home.

Samsungs Security-Plattform Knox als 3D-Modell.

Mykie ist der kleine persönliche Assistent in der Home-Connect-Welt von Bosch.

Auch Saugroboter werden mittlerweile in das Smart Home eingebunden.

Und im Garten erledigt der Mähroboter die Arbeit.

Langsam setzt sich Z-Wave auch in Europa durch.

Langsam setzt sich Z-Wave auch in Europa durch.

Aktoren und Sensoren für das Smart Home gibt es mittlerweile reichlich.

Entspannen im Telekom-Garten auf der IFA.

WLAN gehört nun auch bei neuen Haushaltsgeräten zur Ausstattungsliste.

Smartphones sind auf der IFA zwar auch zu sehen, sie spielen aber nur eine untergeordnete Rolle.

Fanshop für Magenta-Freunde.

LG setzt ebenfalls auf kleine Assistenten.

Über den Kühlschrank wird bei LG die IoT-Welt gesteuert.

Zur LG IoT-Welt gehört auch der Rasenmäher.

Auch die Klimaanlage ist in das vernetzte Haus eingebunden.

Unter Bezeichnung Smart ThinQ vermarktet LG seine IoT-Lösung.

LGT bringt einen eigenen intelligenten Lautsprecher.

Dieser Roboter soll auf Flughäfen künftig Passagieren den richtigen Weg zeigen.

Flecken werden künftig per Handscanner vor der Wäsche analysiert, um den Waschvorgang optimal zu gestalten.

Wo gehört der Fisch im Kühlschrank gelagert? Der intelligente Kühlschrank hilft beim Einsortieren.

Die Belegung im Kühlschrank erkennt eine in der Tür integrierte Kamera.

Die Verantwortlichkeit des Herstellers endet jedoch grundsätzlich dort, wo ein Dritter vorsätzlich und rechtswidrig missbräulich eingreift und es dadurch zum Schaden kommt. Dies wird bei nochmaliger Betrachtung des Beispielsfalles besonders deutlich:

Der Schaden des Käufer entsteht nicht dadurch, dass der Kühlschrank eine IT-Sicherheitsschwachstelle aufweist, sondern dadurch, dass ein Hacker diese vorsätzlich ausnutzt. Dies kann dem Hersteller des Kühlschrankes grundsätzlich nicht vorgehalten werden. Mit einer Ausnahme:

Der Hersteller haftet dann, wenndie Absicherung gegen Eingriffe von Dritten ein wesentliches Feature des Smart-Home-Produktes darstellt. Gibt der Hersteller also an, dass der Kühlschrank durch spezielle Sicherheitsmaßnahmen, wie zum Beispiel eine Firewall oder Virenschutz, gegen Hackerangriffe abgesichert ist, hat er auch entsprechende Sicherheitsvorkehrungen zu treffen. Trifft er diese nicht, haftet er auch für das Ausnutzen dieser IT-Sicherheitsschwachstelle.

Dieser Punkt dürfte für den Verbraucher zwar nicht immer leicht nachweisbar sein, dennoch wäre im oben genannten Beispielsfall ein Schadensersatzanspruch grundsätzlich möglich.

Lösung "Produkthaftungsgesetz"?

Zu guter Letzt stellt sich die Frage, ob nicht auch das Produkthaftungsgesetz dem Verbraucher eine adäquate Lösung bietet. Generell begründet das Produkthaftungsgesetz nur einen Anspruch: Wenn durch den Fehler eines Produktes das Leben, der Körper, die Gesundheit verletzt oder eine andere "Sache" als das Produkt, die privat genutzt wird, "beschädigt" wird.

Ob eine Sachbeschädigung im Sinne des Produkthaftungsgesetzes gegeben ist, kommt ganz auf die Fallgestaltung an. Öffnet der Dieb durch den Kühlschrank die Haustür und entwendet lediglich einen Fernseher, ohne sonst etwas in der Wohnung zu zerstören oder zu beschädigen, entzieht der Dieb dem Hausbesitzer nur eine Nutzungsmöglichkeit und beschädigt keine Sache im klassischen Sinne. In diesem Fall ist unter Juristen äußerst streitig, ob ein solcher "Schaden" vom Produkthaftungsgesetz geschützt wird und das Gesetz überhaupt Anwendung findet. Die herrschende Meinung verneint dies.

Wird hingegen eine andere Sache "beschädigt", zerstört der Dieb beispielsweise Wohnzimmermöbel, dürfte das Produkthaftungsgesetz wieder einschlägig sein.

Außerdem müsste das Smart-Home-Produkt ein "Produkt" im Sinne des Produkthaftungsgesetzes sein. Weist dessen Software die IT-Sicherheitslücken auf, stellt sich die Frage, ob Software als ein solches "Produkt" anzusehen ist. Mittlerweile ist jedoch anerkannt, dass Software ein Produkt im Sinne des Produkthaftungsgesetzes darstellt, wenn sie in verkörperter Form vorliegt. Verkörpert ist eine Software, wenn sie auf einem Gegenstand gespeichert ist. Dieser Gegenstand kann ein USB-Stick, aber auch ein Smart-Home-Produkt wie der Kühlschrank sein. Diese gesetzliche Anforderung ist somit erfüllt.

Die Darlegungs- und Beweislast wird dem Verbraucher oft zur Last.
Foto: Gabor Tinz - shutterstock.com

Als weitere Anforderungen für einen Schadensersatzanspruch ist zu prüfen, ob das Smart-Home-Produkt fehlerhaft ist. Die Beantwortung dieser Frage orientiert sich an den gleichen objektiven Maßstäben wie bei der Frage, ob eine Verkehrssicherungspflicht verletzt wurde. Es gilt: Jedenfalls die Implementierung eines Mindestniveaus an IT-Sicherheit dürfte zwingend sein.

Gehaftet wird jedoch nur, wenn der Dieb gerade die IT-Sicherheitsschwachstelle ausgenutzt hat, gegen die der Kühlschrank nach Angaben des Herstellers gesichert sein sollte. Denn auch beim Produkthaftungsgesetz gilt: Für ein vorsätzlich und rechtswidrig missbräuchliches Verhalten eines Dritten haftet der Hersteller nicht.

Kann auch dies bejaht werden, hat der Hersteller des Smart-Home-Produktes, Ersatz für Personen- und Sachschäden zu leisten. Nur bei Sachschäden hat der Verbraucher eine Selbstbeteiligung in Höhe von bis zu 500 Euro zu tragen. Von Vorteil für den Verbraucher ist beim Produkthaftungsgesetz, dass die Schadensersetzung zum einen unabhängig vom Verschuldensgrad des Herstellers ist und zum anderen keine zeitliche Begrenzung für diese Ansprüche besteht. Ansprüche aus dem Produkthaftungsgesetz können also für die Erlangung von Schadensersatz erfolgsversprechender sein als bei der vertraglichen Haftung oder der Produzentenhaftung.

Fazit

Smart-Home-Produkte müssen zwar einen gewissen Grad an IT-Sicherheit aufweisen, eine genaue Ausgestaltung, wie groß das Maß an IT-Sicherheit sein muss, ist jedoch im Einzelfall zu bestimmen.

Der Ersatz von Schäden, die auf IT-Sicherheitslücken von Smart-Home-Produkten beruhen, ist zwar grundsätzlich möglich, allerdings kann es im Einzelfall äußerst schwierig sein, diese durchzusetzen. Verbraucher sollten daher zusätzlich eigene IT-Sicherheitsmaßnahmen, vor allem zum Schutz des Netzwerkes, ergreifen, um möglichen Schäden vorzubeugen.

Das Einmaleins der IT-Security

Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter

Dokumentation
Vollständige und regelmäßige Dokumentation der IT

Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.

Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.

E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.

Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.

Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.

Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.

Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.

Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.

Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.

Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.

Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.

Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien

Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten

Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates

Logfiles
Kontrolle der Logfiles

Datensicherung
Auslagerung der Datensicherung

Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen

Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe

WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste

Firewalls
Absicherung der Internetverbindung durch Firewalls

Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie

Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation

Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme

Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe

Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten

Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme

Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme

Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten