Bundesinnenminister Thomas de Maiziere und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben schwere Vorwürfe gegen die großen US-Software-Hersteller erhoben. "Die Anzahl kritischer Schwachstellen in Standard-IT-Produkten hat sich gegenüber den bereits hohen Werten in den Vorjahren im Jahr 2015 noch einmal massiv erhöht", heißt es in dem am Donnerstag veröffentlichten Jahresbericht zur IT-Sicherheit in Deutschland. Weil einige Software-Hersteller aber immer langsamer oder bei älteren Produkten gar keine Sicherheits-Updates anböten, zeigte sich de Maiziere auch offen für die Prüfung von Schadensersatzansprüchen.

Hintergrund ist, dass einige Firmen laut BSI wegen des wachsenden internationalen Wettbewerbsdrucks dazu übergehen, sich bei nicht als gravierend erachteten Schwachstellen immer mehr Zeit dabei zu lassen, die Nutzer auf Gefahren hinzuweisen und ihnen Updates für die Beseitigung der Schwachstellen anzubieten. Dies schaffe angesichts der weltweiten Nutzung der Standardprodukte wie etwa Internetbrowsern immer mehr Angriffsflächen für Cyber-Attacken, sagte BSI-Präsident Michael Hange. Die Gefährdungslage im Bereich Software schätzt das dem Bundesinnenministerium unterstehende BSI deshalb als hoch ein.

Besonders schlecht schneiden in der BSI-Aufstellung für kritische Schwachstellen die Produkte Adobe Flash, Microsoft Internet Explorer, Apple Mac OS X und Microsoft Windows ab. Bei ihnen wurde bis September 2015 jeweils weiter mehr als 100 kritische Schwachstellen registriert. "Das ist nicht gut - insbesondere wegen der steigenden Zahl der Schadprogramme", sagte de Maiziere. "Es ist das Recht eines Kunden und Nutzers eines Softwareproduktes, vom Hersteller erwarten zu können, dass regelmäßig ein Sicherheits-Update zur Verfügung gestellt wird."

Schadenersatzansprüche gegen Software-Hersteller, die in den USA bereits diskutiert werden, seien "ein sehr interessanter Gedanke. Ich kann dem viel abgewinnen", sagte de Maiziere. Man müsse aber nun zunächst prüfen, ob solche Schadenersatzansprüche nicht bereits nach dem deutschen Produkthaftungsrecht gestellt werden könnten.

Das BSI pocht darauf, dass Hersteller über den gesamten Lebenszyklus ihrer Produkte Verantwortung für deren Sicherheit übernehmen müssten. Vor allem Großkunden sollten bei Lieferverträgen verbindliche Fristen durchsetzen, innerhalb der Software-Anbieter entdeckte Schwachstellen beseitigt haben müssen.

Reuters