 Auf der Bühne haben wir Anja Hürschel und Patrick Breier, zwei Politiker, die uns erzählen wollen, wie eine Ampel das Internet sichermacht. Das interessiert mich, euch Götter Stage. Jetzt heute nicht, wir möchten euch etwas vorstellen, und zwar die Entwicklung eines IT-Sicherheitsbewertungssystems für intelligente Produkte. Es geht uns um das Thema auf dem Weg zum sicheren Internet der Dinge für Verbraucher. Keine Angst, wir haben keine Ernährungsampel entworfen, es ist schon ein bisschen komplexeres. Das Thema ist dieses Jahr Patch gehabt bei den Datenspuren. Gerade Gesetze brauchen dringend mal wieder ein Patch, die Politik allgemein sowieso. Deshalb ist heute der Patrick da, unser Europaabgeordnete Piraten. Das ist aber so, dass wir oft die Gesetze gar nicht ganz direkt beeinflussen können. Hier ist Fachpublikum da, er sagt, an der Stelle habt ihr heute Mist gebaut, liebe EU. Interessiert bloß kein. Wie können wir jetzt etwas ändern? Wenn wir eine Möglichkeit haben, nutzen wir die natürlich. Und die Gelegenheit haben wir jetzt bekommen. Was habe ich persönlich mit Patchen zu tun? Ich arbeite im internationalen IT-Support. Ich bin auch zuständig für die Versionierung unserer Systeme. Und wenn einem unserer Sprins, ja wir machen Scrum, leider gewisse Wünsche mal wieder nicht drin sind, nicht umgesetzt werden können, dann gibt es von mir immer die netten Patch-Updates-Infos, ich nenne sie auch liebevoll immer Monday of Broken Dreams. In diesem Fall geht es aber nicht um was rein technisches, sondern tatsächlich um etwas politisches, was wir tun möchten. Und zwar, wir machen mit. Ach, es funktioniert der Präsidenter, super. Neue Europa-Abgeordnete, also diejenigen, die ganz frisch gewählt werden, können der EU-Kommission nämlich Vorschläge für Neuforschungsprojekte einreichen, was sonst nicht möglich wäre. In der Vergangenheit gab es schon verschiedene, zum Beispiel die Entwicklung von Privacy-Icons. Ihr wartet euch erinnern, ich glaube, Wetterforsch hat es damals beschrieben. Dann die Belohnung fürs Meld von Sicherheitslücken in freier Form der Software Fossa, das läuft ja noch das Projekt. Dann die E-Partizipations-Plattform für europäische Gesetzgebung und das Thema Sicherheitsaudit für Medizinprodukte. Das war das, von dem wir ausgegangen sind, wir haben gesagt, okay, IT-Themen sind platzierbar, wir wollen das auch tun. Also, warum geht es? Ja? Ich sage nochmal, was ergänzen kann. Nach meiner Wahl herrschte er erst mal Zustand allgemeiner Verwirrung und der vollen Mailbox. Eine der Nachrichten darin, da ging es um diese Pilotprojekte, die wir einreichen und vorschlagen dürfen. Eigentlich können solche Vorschläge jedes Jahr gemacht werden von allen Abgeordneten. Aber damit die Neugewelten mitmachen durften, haben wir eine Fristverlängerung bekommen, hatten dann irgendwie so eine Art von zwei Wochen Zeit, um was einzureichen und dementsprechend habe ich erst mal einen Rundruf gestartet und ein Call for Papers sozusagen und um Vorschläge gebeten. Das ist ganz viel und tolle Projekte reingekommen. Die werden auch für die nächsten Jahre noch interessant sein. Aber besonders gefallen, hat mir Anja aus Vorschlag. Dankeschön. Der war gemeinsamer Arbeit mit der Arbeitsgruppe Digitalisierung und Datenschutz. Und worum geht es uns? In diesem Jahr war es auch notwendig, dass die Einreichung Bezug zur Zuständigkeit des Rechtsausschusses des Europäischen Parlaments hat, also Juri. Und die europäische Gesetzgebung hat sich zum Ziel gesetzt, um die Verbraucher zu verhaken. Insbesondere geht es in den Bereich intelligente Produkte. Also auch die Direktive zu Contracts for the Supply of Digital Content and Digital Services mit der Direktive on the sale of smart goods, die sind beide 2019 angenommen worden. Die wollen wir uns direkt anschließen. Was uns aufgefallen ist, ist für ihn komplett die praktischen Umsetzung zur Thematik. Es ist gar nicht möglich, die IT-Sicherheit einzuschätzen oder auch die vertraglichen Rechte, die der Verbraucher auch hat weil die einfach nur blanke Worte auf Papier sind ohne jegliche Substanz. Und gesagt, das wollen wir definitiv ändern. Also was ist das Grundproblem, das wir angehen wollen mit dem Projekt? Sicherheitsaspekt wird im digitalen Wandel absolut zu wenig berücksichtigt. Der Verbraucher zunehmend hilflos im Erkennen und bewerten des Sicherheitsniveaus eines Produkts. Der Verbraucher wird faktisch allein gelassen. Er steht hilflos da und sagt, super, welches Produkt ist sicher, auf was muss ich achten. Er hat Informationen, regiert mehr die Wärmung oder die Emotionen, die dahinter steckt. Die Kaufentscheidung wird manipuliert. Und da wollen wir einfach eine Verbesserung hinkriegen. Das Ganze ist ein Spagat. Denn, wie können wir den Problem überhaupt abhelfen schaffen? Wir müssen einerseits betrachten, dass bestimmte technische Informationen sauber, möglichst deklariert, irgendwo sein müssen. Ich will das auch wissen. Ich sage, okay, welchen Betriebssystem läuft da scheiß? Wird es irgendwo eine Cloud gestreamt oder nicht? Wir müssen uns immer weiter und so weiter. Klar, gleichzeitig müssen wir immer daran denken, eine allgemeinverständliche Art der Vermittlung hinzukriegen. Nicht jeder kann die Details so bewerten, wie derjenige, der es einfach auch gelernt hat. Und das ist die große Herausforderung, die wir einfach angehen müssen. Beide Aspekte zusammen sind wichtig. Die sind untrennbar miteinander verbunden. Wenn man das nicht hinkriegt, kann man es gerade sein lassen. Dann haben wir einen spezialisten Thema geschaffen, das im Verbrauchern der breiten Masse einfach nicht hilft. Wir müssen uns immer wieder vor Augen halten. Wir haben so einen Unterschied, wie jeder Mensch hat Informatik studiert. Hört sich jetzt einfach an, ist aber tatsächlich so. Ich war erst vor zwei Wochen mit vielen Personen zusammen, die verschiedenste Dinge studiert haben, von Biologie bis über Jura, sonstiges. Und wir haben festgestellt, wir haben so einen unterschiedlichen Blickwinkel auf dieselben Dinge. Es ist fast schon erschreckend. Es gibt einfach viele Menschen, die sich einfach auch mit der grundlegenden Technologie nicht auskennen können, aber auch nicht auskennen wollen. Die sagen, ich habe gar nicht die Zeit, wollen sie das Relevante verstehen können. Wir sehen von unserem eigenen Standpunkt aus immer ein anderes Bild und konzentrieren uns auf andere Details als andere Menschen mit anderen Wissenshintergrund. Die Frage ist natürlich, worauf achtet es überhaupt ein Verbraucher in Erklärung zu einem IT-Lad, das tagtäglich macht. Auf welchem Wissen können wir denn überhaupt allgemein aufbauen? Das ist gar nicht so einfach. Darum habe ich einen kleinen Einschub gebaut, bevor wir weiter das eingereichte Forschungsprojekt uns ansehen. Wir haben ein paar Erlebnisse mitgebracht. Ich nenne es erst mal Storytime. Die sind aus den letzten zwei Wochen, die haben mir klar aufgezeigt, dass ich obwohl ich immer dran denke, ja, erklär das den Kunden. Ich mache tagtäglich tatsächlich auch erklär bei der First Level, nicht nur Second Level. Ich bin es gewohnt, Sachen so zu erklären, dass es auch ein wirklicher Handwerker versteht, der nur den Einschaltknopf kennt. Und trotzdem fällt es mir auch wieder auf, ich vergesse einfach, was manche Menschen nicht wissen. Was ist allgemein Wissen in Bezug auf IT? Da wird überall eine andere Antwort kommen. Was ist selbstverständlich allgemein bekannt und was nicht? Also die Episode mit dem asymmetrischen verschlüsselten Gürteltasche, die lasse ich weg, von der ich bin und nachhaltig verstört. Die war schlimm. Die erste Geschichte, die ich habe, die ist auch sehr kurz, war das Thema Webcamp für eine Haustür. Eine sehr gute Freundin hat den nächtliche Belästiger vor der Tür. Nach dem dritten Polizeieinsatz soll die eine Kamera her. Einfach nur eine Kamera. Also der liebe Support hat sich hingesetzt, hat lang und breit recherchiert, was sie braucht. Welche Bedürfnisse sind denn überhaupt da? Brauchen wir Nachtsicht? Muss es ins lokale Netz hängen? Brauchen wir besonders Stromanschluss? Eine Verschlüsselung und so weiter. Alles wurde geklärt. Wir haben sie erklärt und gesagt, die Produkte stehen zur Auswahl, sucht ihr aus denen was raus, dann hast du was Ordentliches. Später hat sie uns stolz präsentiert, was sie gekauft hat, natürlich was ganz anderes. Und es leuchtet übrigens blausig schick aus. Super, echt klasse. Wir haben es uns dann angeguckt, technisch. Das Ergebnis war, das Ding streamt in der Cloud vom Anbieter, der irgendwo im Ausland sitzt, ist nur mit der einzigen speziellen App bedienbar, wundervoll und spoiler. Die App läuft auf dem Handy der Kollegin übrigens nicht, da das ein zu altes Betriebssystem hat. Also unterschätzt niemals die Macht der spontanen Sympathie zu einem Scheißprodukt. Da hilft wirklich gar nichts, einfach nur zu sagen, das ist technisch besser. Wir haben auch die Info an den Mann, an die Frau bringen. Die müssen es verstehen, um was es geht. Etwas was eher phototechnisch schön ist, ich habe euch das Bild mitgebracht. Panische Anruf bei mir, der WLAN-Repiter spinnt um Gottes Willen, der leuchtet so rot und abwechseln grün und das WLAN funktioniert auch nicht. Ich habe mir dann dieses Ding mal angeguckt, habe mir auch geschaut, wo die ganzen Fritzboxen, die ganzen Kabel hängen und habe dann zu meiner Freude festgestellt, dieser WLAN-Repiter ist eigentlich ein Mückenvertreibegerät. So viel dazu. Wie gesagt, es kommt immer wieder vor, dass man Dinge einfach nicht einschätzen kann. 5 studierte Leute, die mir alle erzählen, dieses Ding macht das WLAN. War nicht so. Letzte Geschichte. Ja, ich arbeite in den japanischen Firmen. In den japanischen Konzernen ist es so, dass Sicherheitsdatenblätter ausgefüllt werden müssen zu bestimmten Softwareprodukten. Da wird zum Beispiel beschrieben, dass sich ihre Verschlüsselung da, werden die Passwörter auch in der Registry sauber abgelegt und so weiter und so weiter, ist das ganze cloudfähig. Jedenfalls kam die Dokumentationsabteilung panisch zu mir gerannt, weil bei den ausgedruckten Sicherheitsdatenblättern dieses Blatt dazwischen lag und sie meinte, sie kann nicht einschätzen, ob das Sicherheitsrelevant ist oder nicht. Nach einer kleinen Recherche, wo dieses Blatt eigentlich jetzt ursprünglich herkommt, das war nämlich nicht von ihrem Rechner ausgedruckt worden, haben wir festgestellt, es ist nicht sicherheitsrelevant. Aber ich konnte Sie da beruhigen. Das war einfach nur ein fehlender Druckauftrag und diese ganze Text bezieht sich nur auf japanischen Kartoffelsalat mit Mayo. Es ist ein Rezept. So. Was ich euch damit sagen will, sei es, wenn wir über genügend Fachwissen verfügen, finden wir natürlich oft viele Informationen nicht. Und es gibt Menschen, die die Informationen finden, nicht so mit anfangen können. Aber wenn wir auch was suchen, das wird schlichtweg nicht deklariert. Ich habe es bemerkt, dass es in den Webcams, bei den WLAN-Cams ist es einfach ein Drama, die ordentlich zu vergleichen, weil entweder wird es gar nicht dokumentiert, unterschiedlich dokumentiert, dann steckt wahnsinnig viel Zeit rein. Dabei ist es elementar wichtig zu wissen, welche Funktion in so einem Smart-Device an ich drin steckt. Was beeinflusste meine IT-Sicherheit? Und zwar hardware- und softwaresseitig und auch vertragsseitig mit dem Anbieter. Was will ich überhaupt ein? Komm mir zur Frage, gib mir Infos. Was steckt dahinter? Wenn irgendwo im Kleingedruckten steht, die Daten werden auf der Streaming-Plattform übertragen sind öffentlich zugänglich, dann sollte ich das schnell und einfach sehen können. Wenn das steht, es wird unverschlüsselt, übertragen ist es vielleicht auch relevant. Also haben wir gesagt, wie muss man es angehen? Wir stellen uns Fragen. Fragen sind immer gut, um sowas zu lösen. Denn, ups, jetzt ist meine Folie mit dem Fragen weg. Das ist die nächste. Wir reden hier nicht nur von kleinen Kameras, von irgendwelchen netten Lautsprechern, wir reden hier von Smart-Devices in allen Lebensbereichen. Die Autos werden kommen, das Automatische fahren, wir haben Drohnen, wir haben alles Mögliche. Und in dem Moment, wo es physisch mit mir in Interaktion tritt, spätestens dann muss ich ein gewisses Sicherheitslevel einfach haben. Ich möchte nicht dadurch gefährdet sein, dass ein Patch schlecht aufgespielt worden ist. Hubsi, der Abstandsberechnung, hilft mir gar nichts, wenn schon jemand über mich drüber gefahren ist. Das heißt, wir brauchen möglichst viel Sicherheit. Absoluter Sicherheit gibt es natürlich nicht. Und es muss auch wirklich verlässlich konzipiert sein von Anfang an. Und wenn da irgendein altes Expeder hinterhängt, kriege ich so ein Hals und sag, Leute, das kann es nicht sein. Aber ich will es einfach wissen. Die Fragen, die daraus resultieren, wie ist in das Stand der IT-Sicherheit bei den Verbraucherprodukten? Das muss man erstmal untersuchen. Wie könnten europaweit verbindliche Vorgaben zur IT-Sicherheit gemacht worden? Dass sie durchgängegleich sind, egal wo der Anbieter auch sitzt. Und wie lässt sich dann diese IT-Sicherheit eines Produktes dann wirklich auch transparent machen? Und zwar verständlich für alle. Aus diesen Fragen haben wir dann den Plan entwickelt, den wir dann auch eingereicht haben. Da geht es so, genau, Patrick geht es nur auf die Fragen ein. Ja, zur ersten Frage, wie ist der Stand der IT-Sicherheit? Muss man erstmal festhalten, dass wir eigentlich den Zustand der Unsicherheit haben? Das heißt, unsere IT ist im Moment sehr anfällig für alle möglichen Bedrohungen der Integrität und Verfügbarkeit. Ein Beispiel, was ich zu Annias Beispielen hinzufügen kann, ist als Anfang des Jahres herauskam, dass WLAN Kameras eines chinesischen Herstellers munter und verschlüsselt übertragen in der chinesische Cloud und es dadurch möglich ist. Ich glaube, in 6-stelliger Anzahl WLAN-Kameras auch aus Deutschland sich einfach reinzuschalten und die mitzuhören. Und das ist natürlich ein riesiges Sicherheitsrisiko, je nachdem, wo die Kamera steht, in Arztpraxen, Behandlungszimmern, Apotheken oder vielleicht auch im privaten Bereich. Das ist aber natürlich nicht der einzige Fall. Wir lesen täglich von solchen Pleiten und Pannen der IT-Sicherheit und das liegt einfach daran, dass die Politik eigentlich zur Wirtschaftsförderung sozusagen von einer richtigen Regulierung absieht. Das heißt, es gibt da keine richtigen Vorgaben und das ist auch bewusst so. Das führt immer wieder zu Sicherheitskatastrophen und in der heutigen Zeit Krankenhauseitöie, Fahrzeug-IT bedeutet das natürlich auch Gefahr für unser Leben und unser Eigentum und deswegen ist dieser Zustand der IT-Unsicherheit nicht mehr hinnehmbar. Was wir Piraten deswegen wollen ist mehr Sicherheit und zwar im Bereich der Informationstechnik und ich habe hier einige Forderungen von uns mal zusammengestellt, die ich euch gerne vorstellen möchte. Zum einen geht es darum, wir möchten in jedem das Recht geben, seine Geräte selbst zu modifizieren und zu reparieren. Das heißt, man kauft ein Gerät und trotzdem ist die Software darauf so geschützt, dass man sie nicht verwenden, bearbeiten, dekompilieren darf und das ist nicht mehr zeitgemäß. Das hat auch mit mündigem Verbraucher nichts zu tun. Ich finde, wenn man ein Gerät kauft, muss das möglich sein zu reparieren und zu modifizieren und zwar besonders, wenn das passiert, was hier der vierte Punkt ist, das heißt, wenn der Hersteller es einfach nicht mehr pflegt, wenn es keine Updates mehr dafür gibt, dann sollte es wirklich so sein, dass der Quail Code und auch die Entwicklungswerkzeuge Public Domain werden vom Hersteller auch freigestellt werden müssen. Entweder er pflegt das Produkt weiter oder er lässt es die Community pflegen. Das wäre eine sinnvolle Lösung. Zweiter Punkt ist, wir brauchen wirklich ein Recht auf regelmäßige Sicherheitsupdates. Was bisher geltendes Recht ist, ist nur der Verbraucher hat einen Recht darauf, dass für angemessene Zeitupdates zur Verfügung gestellt werden, was auch immer das bedeutet. Also das muss man natürlich konkretisieren und da eine ordentliche Dauer, die der Lebensdauer des Geräts entspricht, auch festsetzen, zumindest für kommerzielle Hersteller von Informationstechnik, finde ich, kann man das verlangen. Für nicht kommerzielle sicherlich nicht. Der dritte Punkt, den es bräuchte, ist dann auch eine Haftung. Das heißt, wenn Sicherheitslücken die gemeldet wurden, trotzdem nicht geschlossen werden in angemessener Zeit. Dann muss der Hersteller auch wirklich dafür haften. Weil im Moment ist es so, es lohnt sich einfach, Billigprodukte auf den Markt zu werfen und sich dann nicht mehr drum zu kümmern. Und dieses Anreizsystem müssen wir ändern. Es ist glaube ich auch wichtig für die europäische Wirtschaft, denn die machen etwas teurere Qualitätsprodukte und da muss es wirklich entfernen, wenn es keinen Wettbewerb geben, auf dem man sowas auch erkennen und durchsetzen kann. Fünfte Punkt ist, Behörden müssen wirklich verpflichtet werden, Schwachstellen zu melden und schließen zu lassen, statt sie selbst auszunutzen. Stichwort Staatstrojaner. Das ist einfach unverantwortlich in der heutigen Zeit, wo es wirklich um unser Leben geht, bei der IT-Sicherheit, dass Sicherheitslücken bewusst offengehalten sind. Leider ist das aber in den Köpfen der Politiker auch auf EU noch längst nicht angekommen. Im Moment ist es zum Beispiel so, dass mit der Einführung des 5G Mobilfunknetzes ernsthaft die EU fordert dahinter Türen einzubauen, statt eine wirksame Ende-zu-Ende-Verschlüsselung einzuführen. Und dass dadurch die IT-Sicherheit insgesamt geschwächt wird, das verstehen die noch gar nicht, da müssen wir noch sehr viel Aufklärungsarbeit leisten. Dann habe ich euch noch reingepackt das Recht auf Interkonektivität von Messenger- und sozialen Netzwerken. Es ist ja so, dass bestimmte Anbieter sehr schlechter sind, die Sicherheit ihrer Dienste und unserer Daten zu schützen. Dass man aber trotzdem seine Freundinnen und Freunde kaum dazu bekommt, zu wechseln, weil sie eben da vernetzt sind und nicht ihre ganzen Kontakte verlieren wollen. Und deswegen ist unsere Forderung, dass man Messenger- und soziale Netzwerke interkonektiv macht. Das heißt, dass es möglich ist, auch Netzwerk überschreitend zu kommunizieren. So wie das bei einigen dezentralen Netzwerken wieder schon Standards existieren, soll das verbindlich werden, auch für kommerzielle Anbieter von Messenger-Diensten, von sozialen Netzwerken, dass sie diese Schnittstellen implementieren müssen und dass man dadurch auch erstmals eine echte Wahlmöglichkeit hat und dadurch auch zu sicherer Anbietern viel leichter wechseln kann. Ich glaube, das würde echten Wettbewerb in Gang kriegen. Und da wird im Moment drüber diskutiert auf EU-Ebene, ob so eine Interkonektivität kommt. Schauen wir mal, ob sich da was machen und durchsetzen lässt. Ja, zur dritten Frage, die wir uns gestellt haben, das ist die, was kann man machen, um die IT-Sicherheit ganz praktisch und konkret zu stärken. Genau, also was ist unser Plan? Das eingereichte Pilotprojekt ist das Ziel, Bewertungssystem zur IT-Sicherheit für intelligente Produkte zu entwickeln. Dieses soll dem Verbraucher die relevanten Informationen verständlich zur Verfügung stellen. Das heißt, wir möchten die gesamte Frage nicht einfach copieslubilösen und einfach, was der EU-Kommission von Latzknallen sagt, macht es so, führt es ein, sondern wir sagen, das muss wissenschaftlich angegangen werden und zwar interdisziplinär. Wir brauchen mehrere Forschungsfelder, die das Thema angehen. Die müssen wir verbinden. Genau das ist auch der Punkt. IT-ler mit dem technischen Fachwissen müssen mit Experten aus der Wahrnehmungsforschung und Verhaltenspsychologie auch zusammenarbeiten. Dazu brauchen wir auch noch ökonomisches Wissen und so kann kompetentes Team das Ganze aus mehreren Blickwinkeln bearbeiten, entwickeln, dass wir später auch mal ein Industriestandard hinbekommen. Wir möchten dadurch den Spagat zwischen den technischen Details und der verständlichen Vermittlung gemeinsam angehen, wie wir uns am Anfang gesagt haben, der Spagat. Wir wollen noch keine Metaanalyse anderer Studien, was kam gut an, was hat funktioniert oder es prüfen bereits vorhandener Ideen so eine IT-Sicherheitsampel wie der Nährungsampel. Wir wollen tatsächlich was Neues entwickeln lassen. Ein objektives Bewertungssystem für Produkte und Services. Das soll unter anderem klar erkennbar sein, ob kritische Sicherheits-Updates automatisch erfolgen und so weiter und so weiter, wo ich die Informationen kriege und zwar bevor ich das Produkt kaufe und nicht, wenn ich die Packung aufreiß und irgendwo mal der Versuch, was durchzulesen in einem seltsamen Baypack-Zettel. Die Frage ist natürlich, okay, ich bin gespannt, ein paar Leute machen da was, wird was untersucht, aber was bringt es mir persönlich, wenn das jetzt wirklich gemacht wird, wenn die U-Kommission uns bezahlt? Ich habe euch hier mal ein paar Ideen aufgeschrieben, wie so eine Kennzeichnung aussehen könnte oder was zum Beispiel gekennzeichnet werden könnte. Wir wollten das nicht vorwegnehmen, aber ein paar Ideen, einfach damit ihr eine Idee habt. Zum Beispiel wäre es für Verbraucher schon mal interessant, hat ein Gerät überhaupt Internet-Konnektivität. Ich will nämlich vielleicht bei bestimmten Situationen oder bei Smart Home will ich gar nicht, dass ein Gerät uns Internet angebunden ist, weil das ja selbst ein Sicherheitsfaktor, Sicherheitslücke sein kann, wenn da bestimmte Sachen abfließen. Es könnte gekennzeichnet werden, werden Updates bereitgestellt und wie lange vom Hersteller. Das wäre, glaube ich, mal ganz interessant für Käufer zu wissen und im Moment findet man es eben oft nicht heraus, wenn man so eine Packung in der Hand hält. Gibt es ein automatisches Online-Update per Vor-Einstellung und muss sich da kompliziert irgendwelche Form-Updates einspielen, was kein normaler Verbraucher hinbekommt. Werden Daten verschlüsselt, wenn sie im Gerät oder in der Cloud gespeichert werden oder wenn sie per Internet übertragen werden. Auch um das zu erfassen, müsste es so eine Art Kennzeichnung, verständliche Kennzeichnung geben. Genau, was bringt es mir persönlich? Ganz einfach. Die Kundenrechte stärken und die Hersteller, ich sage mal freundlich dazu, ermuntern die Sicherheit zu verbessern. Da die es dann einfach ein marktrelevantes Qualitätsmark mal darstellt. Wenn es alle müssen, müssen sie einfach mal blank ziehen und sagen, was sie da tun. Entsprechende Digital Content Directive müssen Hersteller zudem auch Sicherheitsupdates bereitstellen. Und wie Patrick schon sagte, ich habe keine Lust mehr auf ja, einem angemessenen Rahmen. Was ist angemessen, ein halbes Jahr, zwei Jahre, zehn Jahre? Wenn es nicht so geht, dann ist es nicht so, dass ich das nicht mehr als ein Jahr wegschmeißen muss, weil die blöde App nicht mehr kompatibel ist mit einem Update von meinem Rechner. Apple-Produkte sind der Klassiker. Ist nicht mit ihrer Version kompatibel, wird nicht weiterentwickelt, wurfs weg. Super. Wir wollen ein durchgängig gleichartiges System schaffen, darum haben wir es auf EU-Ebene eingereicht, dass wir die Produkte wirklich auch vergleichen können. Und es stelten insgesamt auch die Wahrnehmung des Sicherheitsthematik in der breiten Bevölkerung. Und das ist das, was wir haben. Und da kommen, wie gesagt, die Wahrnehmungspsychologen auch wieder mit rein ins Team, dass sie sagen, okay, wie müssen wir es aufbereiten, dass das funktioniert, dass die Verbraucher eben auch wirklich nachfragen. Und sonst? Zertifizierung. Ich habe eine, ja, schlechte Nachricht auch mitgebracht, denn die EU-Kommission hat die Bewertung unseres Projektvorschlags inzwischen abgeschlossen und ist der Meinung, das fällt in die Kategorie C überflüssig, weil es gibt doch die IT-Sicherheitszertifizierung, die Neue. Erst dieses Jahr beschlossen, im Rahmen der neuen Cyber-Sicherheitsrichtlinie wurde eingeführt, ja, ein Verfahren, in dem man einfach die IT-Sicherheit eines Produktes prüfen und zertifizieren lassen kann. EU-Kommission meint, das reicht aus. Ich finde das nicht, denn zum einen digitale Transparenz ist so eine Art 0.1-Transparenz, ja, 0, kein Siegel, 1 hat Siegel. Und ich finde, das entspricht nicht meinem Bild eines mündigen Verbrauchers. Der hat ja vielleicht verschiedene Kriterien bei der Produktwahl und vielleicht hat er auch verschiedene Präferenzen, je nach Verbraucher ist einem das eine wichtig, dem anderen das andere. Deswegen finde ich, die Möglichkeit einer Zertifizierung ersetzt jetzt nicht Aufklärung auf der Verpackung zum Beispiel. Außerdem angenommen, ich habe hier mehrere Produkte liegen im Baumarkt, beide sind zertifiziert. Was mache ich dann? Nach der EU-Kommission hätte ich dann keine Informationsmöglichkeit mehr um Kaufentscheidung zu treffen und genauso natürlich im dritten Punkt. Ich habe zwei Produkte vor mir liegen, von denen keins von beiden zertifiziert ist, wahrscheinlich der sehr viel häufigere Fall, denn so ein Zertifizierungsprozess am Start wird zweitens sehr lange dauern, viel kosten. Ob das Industriestandard wird, das wird glaube ich noch sehr, sehr lange dauern, bis das soweit ist. Deswegen glaube ich, wäre es ein niederschwelligerer Ansatz zu sagen, die Hersteller kennzeichnen ihre Produkte selbst. Das hat glaube ich größere Chancen erstmal durchzukommen im breiten Markt. Und deswegen lassen wir uns ja einen richtigen durch diesen Rückschlag und haben dieses Projekt nochmal eingereicht und zwar als Änderungsantrag. Es ist ein bisschen schwerer ein Änderungsantrag durchzubekommen, da muss man eine Mehrheit im Europäischen Parlament fürzufinden und wir sprechen gerade mit den anderen Fraktionen, um mit denen zu sprechen, ob es nicht sinnvoll wäre, ein Forschungsprojekt zum Thema IT-Sicherheitskenntzeichnungen durchzuführen und im späteren Herbst, in ein, zwei Monaten, denke ich, wissen wir mehr, ob uns das gelungen ist. Wir haben natürlich auch geschrieben, was hat die EU an sich davor, nicht nur der individuelle Verbraucher, sondern es geht ja auch schließlich immer ums Geld. Und zwar, im hochem Kämpfenfeld des Internet of Things, kann die EU mit Benutzerfreundlichkeit und Transparenzpunkten, wenn sie das umsetzt, haben wir argumentiert, die stellt ein ganz neues Innovationskriterium dar und auch ein Qualitätsmerkmal. Daraus kann dann die Gesetzgebung zum Schutz der Verbraucher entstehen, welche bei der Entwicklung zukünftiger Produkte und auch Serviceverträgen, vor allem den Fokus wieder zurück auf den Menschen richtet und nicht mehr nur auf den schnellen Profit. Darum lassen wir uns die Idee nicht nehmen. Wir kämpfen weiter und wenn ihr Fragen habt, löchert uns gerne. Danke schön. Danke Anja, danke Patrick. Wer Fragen hat, kommt ans Mikrofon bitte. Schönen guten Tag. Mein Name ist Reinhard Mutz. Ich bin Präsident von WPIA, spricht sich World Privacy and Identity Association. Wir sind unter anderem assoziiertes Mitglied im Bundesverband TeleTrust, Bündnisstrich IT Security und dort gibt es eine Handreichung zu dem, was ihr gerade hier leicht versprungen dargestellt habt. In der alten Datenschutzverordnung ist die Rede vom Stand der Technik. Der Gesetzgeber hat es bis heute versäumt, das auszuformulieren. Beim Bundesverband TeleTrust bekommt man mittlerweile eine Handreichung dazu und die Kollegen haben ungefähr 2 Jahre gearbeitet um diese Sache auszuformulieren. Falls ihr das nicht kennt, würde es mich freuen, wenn ihr es euch besorgt. Wir stehen kurz vor der ITSA. TeleTrust ist da am Standvertretin und hat diese Sachen garantiert durchliegen und auch die Kollegen, die jetzt hier im Saal zuhören, möchte ich auffordern, sich diese Broschüre zu besorgen, weil man darüber doch viel Gemeinsamkeiten entdecken kann, gerade im Bereich dieser Dinge. Die nächste Frage. Die hier vorgestellten Sachen in Richtung mündiger Bürger kann ich voll unterstützen. Ich habe Sachen im Vortrag, der geht es genau darum. Und zu den Fragen oder besser gesagt zu den Problemen mit Hardware-Produkten, die auf dem Markt kommen und dergleichen. Was haltet ihr davon, die Anforderungen als Manifest zu formulieren und von den Herstellern zu fordern, dieses Manifest zu unterstützen. Und da, wo sie das nicht können, ist deutlich zu sagen. Finde ich einen sehr guten Ansatz. Zur ersten Frage. Dort zuvor stehen jetzt 2 ausgrillierte Datenschützer auf der Bühne, also wir kennen es, aber wir werden auf jeden Fall mehr in die Richtung Selbstverpflichtung. Aber ich sage, das kann ein erster Schritt sein, dass einfach die Hersteller auch drauf gedrängt werden, es einfach zu tun. Dass es, wie gesagt, ein Qualitätswerkmal ist, das man auch dann unterstützen möchte. Man möchte sich damit schmücken, das gut zu machen. Ob das ausreicht, mag ich zu bezweifeln. Die Selbstverpflichtung, in Sinne halt leider kein besonders scharfes Schwert. Das ist so die Problematik. Die Verbraucherorganisationen fordern schon lange mehr Rechte auch im digitalen Markt. Aber ich glaube, es geht trotzdem gut, mit dem man nicht fest, weil man da auch andere mit ins Boot holen könnte und sozusagen eine breite Forderung aufstellen könnte. Denn das Forschungsprojekt, was wir voranbringen wollen, muss ja dann auch umgesetzt werden. Und da, glaube ich, wäre es schon sinnvoll, wenn entsprechende Nachfrage und Druck auch dahinter steht. So, deine Frage. Danke erst mal für den Vortrag. Dagmar Bödiker vom FIF. Mich würde interessieren, ihr hattet so ein bisschen negativ eingeschätzt mit dem Siegel. Nach meinem Wissensstand gibt es ja in der IT-Sicherheit ganz klare Anforderungen, denen das Internet of Things beziehungsweise die Produkte mit absoluter Sicherheit nicht entsprechen. Kann man nicht diese Anforderungen zum Beispiel Sicherheit beides vor Ort, Sicherheit beides sein und solche Sachen. Kann man das nicht tatsächlich doch in einem Siegel zertifizieren? Also nicht nur als Manifest, sondern tatsächlich als Anforderungen klar festlegen. Und da wäre dann natürlich das Problem, wer kontrolliert das. Also das gleiche Problem, was wir beim Datenschutz haben, Aufsichtsbehörden so schlecht ausgestattet, wäre das nicht auch noch eine sinnvolle Forderung. Zertifizierung, ja. Studium hieß immer Zertifizierung. Die Antwort ist, es ist die Frage falsch gestellt, aber ja. Zertifikate sind eine gute Sache, wenn sie gut gemacht sind. Aber wie Patrick schon sagt, der ist die Problematik ein verfolgende. Wenn ich eine Firma habe, die mich zertifizieren will, muss ich da Geld reinhängen. Kleine Startups können es auch unter Umständen nicht bezahlen. Das ist sehr teuer. Es braucht Zeit. Und bis ich die Zertifizierung habe, sind andere auf dem Markt gedrängt. Das heißt, ich gehe ohne Zertifizierung auf den Markt. Hoffe, dass ich die Zertifizierung bekomme, muss aber dann vielleicht schon das Nachfolgeprodukt reinstellen. Und das wollte ich die Frage, ob das nicht, sage ich mal, die großen Hersteller mehr stärkt als die Sicherheit. Zum anderen Teil danach Frage, gibt diese Produkte nicht entsprechend. Wahrscheinlich hast du Gewährleistungsrechte, wenn ein Produkt, was du kaufst, unsicher ist. Wahrscheinlich hast du da Gewährleistungsrechte, aber was heißt das? Das heißt, du kannst im Endeffekt das Ding zurückgeben. Das bringt dir wenig, weil es dann immer noch keinen Update davon gibt. Du hast auch keinen Recht auf Schadensersatz, wenn dir da durch die komplette IT zusammenbricht oder Ähnliches, oder dein Zuhause ausspioniert wird. Und deswegen finden wir diese Rechte mit einem ausgebaut werden, wie ich in der Folie schon erklärt hatte. Das heißt, eine echte Haftung für Schäden, die passieren, wenn der Hersteller untätig bleibt. Und ja, das muss wirklich Konsequenzen haben. Gut, haben wir noch Fragen? Ja, ich habe nur noch eine Frage. Selbst wenn man das auf nationaler oder europäischer Ebene durchsetzen könnte, irgendein Zertifikator, irgendeine Vorschrift. Die meisten Teile kommen ja doch aus USA und Asia. Wie will man da einen Druck dahinter machen, auch auf diese Produkte dann entsprechend die Vorschriften anbinden zu können? Also rechtlich bin ich nicht ganz so fit. Ich weiß aber, dass es eine Möglichkeit gibt, das als Regel zu machen, soweit wir keinen Freihandel haben, können wir bestimmen, was deklariert werden muss, was an der EU verkauft wird. Das heißt, wir können sagen, wer hier sein Produkt verkaufen will, egal wo es herkommt, und wer von allen Produkten, egal woher sie stammen, fragt mir jetzt nicht, wie diese Regelung genau heißt. Aber das haben wir schon nachgeschaut. Das wäre tatsächlich durchsetzbar. Und es wäre einfach ein Marktstandard, dem sich die anderen automatisch gar nicht mehr verschließen könnten. Und abhängig davon. Gut, dort wollte noch jemand? Könntet ihr euer Projekt vielleicht mit einer Analogie zu anderen Gesetzgebungen besser durchkriegen? Wir haben ja den Arbeitsschutz. Wenn es nicht so geht, welches Tool was eingesetzt wird, muss so gestaltet sein, dass wenn ich es benutze, anschließend auch mit meiner vollen Gesundheit wieder praktisch daraus komme. Dafür gibt es dieses CESiegel, was die Hersteller eben selber drauf pappen. Und wenn ich doch ein Schaden davon tragen sollte, dann gibt es halt entsprechende Haftungsgelder, die ich dann als Hersteller abgeben muss. Jetzt ist es ja in der virtuellen Welt ähnlich. Ich benutze es jetzt hier als Software. Ich hatte dann ein Siegel drauf, zum Beispiel, das mir garantiert. Ich komme anschließend auch ohne Schädigung meiner virtuellen Welt oder meiner Daten wieder raus. So eine Analogie wäre das nicht anwendbar. Ich meine, die CE-Richtlinie ist ja eine Richtlinie, die die Europäische Union da auch erlassen hat. Das ist ein guter Gedanke, diese Parallele. Ich schaue immer so ein bisschen zurück, wenn es heißt, die Politik soll verbindliche Sicherheitsstandards festlegen, weil die Politiker davon leider oftmals keine Ahnung haben. Es gibt ja einen bekannten Politiker der Anfang des Jahres, meinte bei Google, gebe es eine Meme, Robrik, wo man die alle finden kann. Und ich glaube, das zeigt, dass diese technischen Standards eigentlich auch ganz gut bei den Normierungsgremien von der Industrie selbst erstmal aufgehoben sind. Und deswegen ist unser Ansatz an der Stelle erstmal ein ergebnisoffenes Projekt zu der Frage, was sollte man überhaupt sinnvollerweise kennzeichnen und wie soll das aussehen? Inwieweit man das dann in einem zweiten Schritt vielleicht verbindlich machen könnte? Da müsste man sich dann später Gedanken darüber machen, aber unser Ansatz war jetzt erstmal Forschung zu machen. Es wäre dann sicherlich eine Normierung einzuführen, an die sich die Hersteller dann erstmal als Normierung halten und ob dann im dritten Schritt auch verbindliche Anforderungen gemacht werden, das wäre dann noch zu überlegen. Genau. Wir haben einfach gesagt, es ist zu gefährlich, sich in einem relativ frühen Stadion, mit dem wir jetzt ja auch sind, gleich an etwas anzulehnen. Wir schränken uns damit ein. Wenn ich mit Fachpublikum diskutiere, nämlich Fachworte, wenn ich für alles eine Analogie nehmen muss, beschränke ich allein schon das Vokabular, ich beschränke die Art zu denken und ich beschränke auch die Art und Weise, wie das später ausformuliert wird. Und genau das wollte man vermeiden. Wir lassen es komplett erstmal offen, schauen was einfach nötig ist, weil ich kann nicht sagen, dasselbe wie für Folgendes nur in der digitalen Welt. Das stimmt einfach gar nicht. Wir können das nicht trennen. Es ist überall drin, es sind Technologien. Ja, aber die betreffen uns überall. Und einfach zu sagen, das mache ich analog zu folgende Direktive, wäre uns wirklich ein zu schmaler Pfad, den wir dann gegangen wären. Das sind wirklich Menschen, die sich definitiv mit dem Fachgebiet auskennen. Ergebnis offen ist schon mal was vorstellen. Dann können wir uns auch eine breite Masse diskutieren und können dann sagen, okay, das entspricht im Ergebnis folgendem mit Änderungen, mit Anmerkungen, mit Ergänzungen. Dann nehmen wir uns einfach nicht die Möglichkeit, das offen zu machen. So, gibt es noch weitere Fragen? Wir hätten noch Zeit. Okay, dann stelle ich noch eine. Wie denkt ihr, dass ihr als Politiker, die anderen Politiker davon überzeugt, dass das sinnvoll ist? Weil das ist das Problem in der Demokratie. Ich habe ja ein bisschen den Stand der IT-Sicherheit dargestellt. Und ich hoffe natürlich, dass das auch so ein bisschen in der Politik ankommt. Was da sich alltäglich für Katastrophen ereignen. Und dass der Handlungsbedarf besteht. Und gerade im Bereich Autonomus fahren oder vielleicht auch im Bereich Krankenhaus-IT, die ja auch schon mal lahmengelegt wurden von entsprechender Schadsoftware. Da merken sich doch, Politiker irgendwo im Hinterkopf, ah, da war doch mal was. Und bei uns geht es wirklich um ein Forschungsprojekt. Deswegen weiß ich gar nicht, wer da wirklich was dagegen haben könnte. Wir haben halt die Konkurrenz mit diesem Siegel, mit diesem IT-Sicherheitssiegel. Und da denke ich, geht es darum, zu vermitteln, dass es eine Ergänzung ist. Dass es zusätzlich mehr Informationen bieten soll als es ist. Also da habe ich wohl noch nicht gut genug erklärt, warum das einander nicht ausschließt. Und ich will jetzt versuchen, mit den entsprechenden Leuten zu sprechen, die da Entscheidungsträger sind und versuchen die Überzeugungsarbeit zu leisten, dass das eine wichtige Sache wäre. Genau. Dieser Patrick leistet die Arbeit auf EU-Ebene. Ich selber bin auf kommunaler Ebene unterwegs und kümmer mich da eben auch darum, dass die Innovationsausschüsse einfach mal Fachleute einladen. Die erste Person ist ein absoluter Gegner und aller Hut. Die zweite Person ist jemand, der was verkaufen will und dazwischen sitzen irgendwelche Räte und haben technisch keine Ahnung. Das muss sich einfach ändern und da sind wir einfach dabei, auch Standards zu machen, dass wir sagen, okay, ihr wartet so informiert, dass ihr wirklich informiert entscheiden könnt. Und das muss auf allen Ebenen passieren. Nicht nur auf der hohen EU-Ebene, sondern wirklich auf den kommunalen Ebenen. Und Politiker überzeugen, meine Güte, dass wir uns auch ein bisschen in der EU-Ebene verhindern können, dass wir uns auch ein bisschen in der EU-Ebene verhindern können. Okay, dann noch mal ein Applaus für Anja und Patrick. Dankeschön.