Ende Februar war Bahn.de ein bis zwei Tage kaum erreichbar, auch die Bahn-App Navigator lief nicht. Ursache war ein Distributed-Denial-of-Service-Angriff (DDoS): Tausende gekaperte Geräte bombardierten die Bahn-Server mit sinnlosen Anfragen, bis legitime Anfragen unbeantwortet blieben. Genutzt wurden vor allem alte Router und Rechner, auf denen Angreifer aus der Ferne Schadsoftware installiert hatten. Solche Botnetze setzen Kriminelle für Erpressungen gegen Website-Betreiber ein.
Bitkom schätzt den jährlichen Schaden durch Cyberkriminalität in Deutschland auf rund 200 Milliarden Euro, etwa vier Prozent des BIP. Klassische Polizeiarbeit hat das Problem bisher nicht gelöst. Ansatzpunkt der EU-Regulierung ist die Sicherheit von Routern und sonstigen vernetzten Geräten: Wären sie schwerer zu hacken, ließen sich Botnetze schlechter aufbauen. Darüber entscheiden die Hersteller; bislang fehlten Grundlagen, um sie bei Schäden haftbar zu machen.
Die EU-Kommission hat zwei Vorhaben angestoßen: ein Update der Produkthaftungsrichtlinie von 1985 und den Cyber Resilience Act (CRA). Die Richtlinie muss in nationales Recht umgesetzt werden; der Vorschlag der Bundesregierung liegt seit März im Rechtsausschuss des Bundestages. Im Gespräch ordnet Dr. Alexandra Paulus, Politikwissenschaftlerin bei der Stiftung Wissenschaft und Politik und Co-Host des Podcasts CyberNation, die Vorhaben ein.
Die alte Richtlinie definierte Produkt als physische, bewegliche Sache; Software war nicht erfasst. Die Novelle erstreckt die Haftung auf Software. Anspruchsberechtigt sind natürliche Personen, die ein Produkt nicht rein beruflich nutzen. Erfasst sind Sach- und Personenschäden sowie Datenverlust oder -beschädigung. Beispiel: Unterlässt eine Software grundlegende Sicherheitsvorkehrungen und kommt deshalb Ransomware aufs Gerät, kann die Verbraucherin Schadensersatz vom Hersteller verlangen.
Der CRA folgt der Logik des Produktsicherheitsrechts und greift weitgehend ab 2027 (Teile schon 2026). Hersteller, die Produkte mit digitalen Elementen in der EU vermarkten – reine Software wie Microsoft Office ebenso wie IoT-Geräte wie Router oder smarte Zahnbürsten – müssen Sicherheitsanforderungen einhalten. Bei kritischen Produkten prüft eine unabhängige Stelle die Konformität; sonst genügt Selbstzertifizierung mit CE-Kennzeichen. Aufsichtsbehörden der Mitgliedstaaten können stichprobenartig Marktüberwachung betreiben. Bei Verstößen drohen Bußgelder; kritische Produkte dürfen ohne Konformität nicht auf den Markt.
Einordnung
Position von Alexandra Paulus
Die unzureichende Produktsicherheit sei ein Anreizproblem. Sicherheit koste Zeit und Geld, auf Softwaremärkten herrsche die Tendenz „move fast and break things". Verbraucherinnen honorierten sehr sichere Produkte kaum: Kaufentscheidungen fielen nach Preis und Funktionalität, auch ein IT-Sicherheitslabel würde daran wenig ändern. Auch Reputationsschäden oder Börsenkurs-Einbrüche nach Cyber-Vorfällen seien empirisch kaum nachweisbar; Hersteller würden bisher eher bestraft, wenn sie viel in Sicherheit investierten.
Die Novelle löse das Problem nicht vollständig. Im Botnetz-Fall entstehe der Schaden bei einem Unternehmen wie der Bahn, der Verbraucher mit gekapertem Router habe keinen materiellen Schaden – und es fehle die vertragliche Beziehung zwischen Bahn und Geräte-Hersteller. Eine Dreieckssituation: Anspruch hätte eine Person ohne Schaden, der Schaden treffe ein Unternehmen ohne Anspruch. Hier bringe der CRA mehr Druck, weil unsichere Geräte gar nicht erst in Europa vermarktet werden dürften; sie hält ihn für das unterschätzte Cyber-Sicherheitsgesetz der letzten Jahre.
Für die Umsetzung der Richtlinie wünscht sie sich zwei Nachbesserungen: Erstens sollten neben natürlichen Personen auch Unternehmen und Gebietskörperschaften wie Kommunen anspruchsberechtigt sein, da Kommunen häufig schlecht abgesichert und oft von Ransomware getroffen seien. Zweitens sollten reine Vermögensschäden – etwa entgangene Gewinne wie bei der Bahn – aufgenommen werden, weil Cyber-Operationen meist im immateriellen Bereich Schäden verursachten.
Den engen Kabinettsentwurf erklärt sie mit Pfadabhängigkeit und Politik: Die Richtlinie entstamme der Verbraucherschutz-Logik, weshalb Unternehmen ausgeklammert würden. Hinzu komme die Annahme, ein wenig regulierter Softwaremarkt sei besonders dynamisch. Politisch sei es heikel, weil die größten Softwarekonzerne in den USA sitzen; schon der CRA dürfte das transatlantische Verhältnis belasten, eine schärfere Produkthaftung erst recht.
Optimistisch sieht sie eine breitere Haftung als Preiskorrektur: Hersteller müssten besser absichern oder Rückstellungen bilden, sodass unsichere Produkte teurer und sichere günstiger würden. Erfahrungsgemäß entstünden zudem Versicherungen, die Standards setzten und über Prämien weitere Anreize schüfen.
Ulf weist darauf hin, dass die Sicherheit vernetzter Systeme von den Herstellern abhänge, diese aber die Kosten von Vorfällen nicht trügen, sondern die Kunden – etwa wenn eine Firmen-IT eine Woche stillstehe. Das Zivilrecht kenne mit der Drittschadensliquidation bereits eine Figur für Dreieckskonstellationen wie im Bahn-Fall; das sollte der Gesetzgeber mitregeln. Eine Haftung der Hersteller mangelhafter Software – egal ob Private oder Unternehmen betroffen – sei für ihn ein „No-Brainer".
Philip ordnet die Wirkung vorsichtig ein: In verbraucherorientierten Fällen – defekte Festplatte mit Datenverlust, löchrige Software mit Ransomware – stehe die Verbraucherin künftig besser da. Beim klassischen Botnetz-Szenario hingegen, in dem Router, Kamera oder Sensor zu Hause unbemerkt Teil eines Botnetzes werden, ändere sich für den Hersteller wenig: Der Privatmensch erleide keinen direkten Schaden, geschädigte Unternehmen hätten keinen Vertrag mit dem Hersteller. Spürbarer Druck entstehe hier erst ab 2027 mit dem CRA.