Ende Februar war Bahn.de ein bis zwei Tage kaum erreichbar, auch die Bahn-App Navigator lief nicht. Ursache war ein Distributed-Denial-of-Service-Angriff (DDoS): Tausende gekaperte Geräte bombardierten die Bahn-Server mit sinnlosen Anfragen, bis legitime Anfragen unbeantwortet blieben. Genutzt wurden vor allem alte Router und Rechner, auf denen Angreifer aus der Ferne Schadsoftware installiert hatten. Solche Botnetze setzen Kriminelle für Erpressungen gegen Website-Betreiber ein.
Bitkom schätzt den jährlichen Schaden durch Cyberkriminalität in Deutschland auf rund 200 Milliarden Euro, etwa vier Prozent des BIP. Klassische Polizeiarbeit hat das Problem bisher nicht gelöst. Ansatzpunkt der EU-Regulierung ist die Sicherheit von Routern und sonstigen vernetzten Geräten: Wären sie schwerer zu hacken, ließen sich Botnetze schlechter aufbauen. Darüber entscheiden die Hersteller; bislang fehlten Grundlagen, um sie bei Schäden haftbar zu machen.
Die EU-Kommission hat zwei Vorhaben angestoßen: ein Update der Produkthaftungsrichtlinie von 1985 und den Cyber Resilience Act (CRA). Die Richtlinie muss in nationales Recht umgesetzt werden; der Vorschlag der Bundesregierung liegt seit März im Rechtsausschuss des Bundestages. Im Gespräch ordnet Dr. Alexandra Paulus, Politikwissenschaftlerin bei der Stiftung Wissenschaft und Politik und Co-Host des Podcasts CyberNation, die Vorhaben ein.
Die alte Richtlinie definierte Produkt als physische, bewegliche Sache; Software war nicht erfasst. Die Novelle erstreckt die Haftung auf Software. Anspruchsberechtigt sind natürliche Personen, die ein Produkt nicht rein beruflich nutzen. Erfasst sind Sach- und Personenschäden sowie Datenverlust oder -beschädigung. Beispiel: Unterlässt eine Software grundlegende Sicherheitsvorkehrungen und kommt deshalb Ransomware aufs Gerät, kann die Verbraucherin Schadensersatz vom Hersteller verlangen.
Der CRA folgt der Logik des Produktsicherheitsrechts und greift weitgehend ab 2027 (Teile schon 2026). Hersteller, die Produkte mit digitalen Elementen in der EU vermarkten – reine Software wie Microsoft Office ebenso wie IoT-Geräte wie Router oder smarte Zahnbürsten – müssen Sicherheitsanforderungen einhalten. Bei kritischen Produkten prüft eine unabhängige Stelle die Konformität; sonst genügt Selbstzertifizierung mit CE-Kennzeichen. Aufsichtsbehörden der Mitgliedstaaten können stichprobenartig Marktüberwachung betreiben. Bei Verstößen drohen Bußgelder; kritische Produkte dürfen ohne Konformität nicht auf den Markt.


