Nach Erfindung der Dampfmaschine, der Einführung arbeitsteiliger Fließbandproduktion sowie dem Einsatz von Elektronik und der damit verbundenen Digitalisierung der Industrie ist der nächste geplante Schritt die Vernetzung von Fertigungsstätten und Maschinen – die Industrie 4.0. Konkret geht es um die Steigerung autonomen Handelns von Fertigungsanlangen, um auf längere Sicht die Materialverwendung und die Haltbarkeit von Maschinen und Produktionsstätten zu optimieren. Erreicht werden soll dies durch intelligente Systeme, die untereinander kommunizieren und sich auf diese Weise gegenseitig fortbilden.
Darüber hinaus sollen sie in der Lage sein, autonom benötigte Teile zu ordern oder das Ende ihres Lebenszyklus zu kommunizieren, um einem Ausfall und gleichbedeutend damit einem Schaden aufgrund eines erzwungenen Produktionsstopps entgegenzuwirken. Ziel dieser „Revolution“ ist schlussendlich die sogenannte "Smart Factory" als eine sich selbst steuernde Fabrik, die alle Prozessschritte vom Kundenauftrag bis zur Auslieferung selbständig tätigen soll. Dieser technologische Wandel beinhaltet eine Reihe von rechtlichen Implikationen, welche nachfolgend kurz aufgeführt werden.
Können Maschinen Verträge schließen?
Ein Vertrag bedarf zu seiner rechtlichen Gültigkeit zweier übereinstimmender Willenserklärungen. Durch die Vernetzung sind Maschinen in der Lage, rechtlich bedeutsame Vorgänge auszulösen, zum Beispiel eine Wartung oder ein Ersatzteil anzufordern. Es stellt sich damit die Frage, wie eine solche "Erklärung" rechtlich einzuordnen ist, ob die Maschine zum Beispiel als Vertreter oder Bote des Eigentümers fungiert. Auch bedarf es der Klärung, wie im Falle von Streitigkeiten über den Inhalt des geschlossenen Vertrages die „Erklärungen“ von Maschinen auszulegen sind.
Können Maschinen haften?
Die meisten Haftungstatbestände setzen ein verschuldetes Tun oder Unterlassen voraus. Als Verschuldensstufen wird differenziert zwischen der vorsätzlichen – von Wissen und Wollen geprägten – Begehung und einer bloß fahrlässigen, bei der das Außerachtlassen der im Verkehr erforderlichen Sorgfalt entscheidend ist. Ergeben sich hier bereits bei menschlichem Handeln oftmals Schwierigkeiten der Abgrenzung, ist die Frage des Verschuldensmaßstabs bei Schäden, die durch Maschinen verursacht werden ungleich komplizierter. Maschinen können nicht denken und werden deshalb nach den heutigen Maßstäben keine verschuldeten Handlungen begehen. Auch insoweit stellt sich deshalb die Frage der Zurechnung. Diese wird umso bedeutsamer, je mehr die Maschinen selbstständig lernen und mit der Außenwelt kommunizieren.
Wofür wird bezahlt?
Aufgrund der Vernetzung der Maschinen verfügen die Hersteller über Echtzeitinformationen des Nutzungsgrades und des Zustands der jeweiligen Anlage. Diese Informationen versetzen sie in die Lage, den Wartungsbedarf planen und effizient organisieren zu können. Es ist deshalb davon auszugehen, dass die Hersteller neben den heute üblichen Kauf- und Finanzierungsmodellen alternative Überlassungsmodelle anbieten werden. Zu denken ist zum Beispiel an eine Art "Maschine as a Service", vergleichbar mit den "Software as a Service"-Angeboten im IT-Bereich. Auch könnte die Vergütung nutzungsabhängig erfolgen, zum Beispiel bei einem Aufzug in Abhängigkeit der Anzahl der beförderten Personen. Die vertragliche Grundlage solcher alternativer Überlassungsmodelle würde deutlich von den heute üblichen Vertragsmodellen abweichen. Auch insoweit stellen sich insbesondere Fragen zur Haftung und Gewährleistung.
Müssen Betreiber Vorkehrungen zum Schutz vor Hackerangriffen treffen?
Die Vernetzung von Maschinen mit der Außenwelt macht sie anfällig für Hackerangriffe. Mittlerweile ist eine ganze "Industrie" entstanden, welche sich damit beschäftigt, IT-Systeme jedweder Art anzugreifen. Die Zielstellung solcher Hackerangriffe sind vielfältig: Unternehmensspionage, Schwächung eines Wettbewerbers durch Störung der Produktion, staatlich veranlasste Spionage und so weiter.
- Auto-Hacks 2015
Das Jahr 2015 ist das Jahr der Auto-Hacks. In den ersten acht Monaten des Jahres werden gleich sechs gravierende IT-Security-Schwachstellen in Fahrzeugen verschiedener Hersteller bekannt. Wir haben die aufsehenerregendsten - wissenschaftlich motivierten - Hackerangriffe auf Connected Cars für Sie in unserer Bildergalerie zusammengefasst. - BMW "ConnectedDrive"
Der ADAC deckt Anfang des Jahres eine massive Sicherheitslücke innerhalb des BMW „Connected Drive“-Systems auf, über die sich Angreifer via Mobilfunknetz Zugang zum Fahrzeug verschaffen können. Das Problem wird schließlich per Software-Update behoben – weltweit sind über zwei Millionen Fahrzeuge quer durch alle Konzern-Marken und -Baureihen betroffen. - Jeep Cherokee
Enormes Medienecho verursacht im Mai 2015 der Remote-Hack eines Jeep Cherokee – bei voller Fahrt. Den Sicherheitsforschern Chris Valasek und Charlie Miller gelingt es, einen Jeep Cherokee über Funk fremdzusteuern. Das Infotainment-System im Fahrzeug dient den Security-Experten als Einfallstor – kurz darauf sind sie in der Lage, sämtliche Fahrfunktionen des SUV fremd zu steuern. Der Fiat-Chrysler-Konzern muss in der Folge in den USA circa 1,4 Millionen Fahrzeuge zu einem Software-Update in die Werkstätten rufen. - General Motors "OnStar"
Hacker Samy Kamkar gelingt es, eine Schwachstelle im General-Motors-Infotainment-System „OnStar“ auszunutzen. Das System ermöglicht den Auto-Besitzern, ihr Fahrzeug per Smartphone zu öffnen und zu schließen. Mit Hilfe eines Toolkits fängt Kamkar die Kommunikation zwischen Smartphone und Automobil ab. So kann er nicht nur den Aufenthaltsort des Fahrzeugs bestimmen, sondern es auch nach Lust und Laune öffnen und schließen sowie den Motor aus der Ferne starten. - Corvette-SMS-Hack
Die Sicherheitsforscher Karl Koscher und Ian Foster gelangen über manipulierte SMS-Nachrichten in das CAN-BUS-System einer Corvette. Als Zugangspunkt dient ihnen ein Telematik-System eines Kfz-Versicherers. So erhalten sie Zugriff auf essentielle Fahrsicherheits-Komponenten wie Bremsen, Gas und Lenkung. Das Telematik-System des US-Versicherers Metromile kommt in den USA unter anderem auch beim Fahrdienstleister Uber zum Einsatz. Metromile zufolge sind die Security-Löcher inzwischen gestopft. - Der VW-Motorola-Hack
Bis zum August 2015 versucht der Volkswagen-Konzern - offensichtlich aus Angst vor Reputationsschäden - die Veröffentlichung von technischen Details zu einem Hack zu verhindern, der Wissenschaftlern der Universitäten Nijmegen und Birmingham bereits 2012 gelungen ist. Als Zugangspunkt dient den Forschern das Transponder-System einer Wegfahrsperre von Zulieferer Motorola. Nachdem sich Volkswagen außergerichtlich mit den Forschern einigt, werden die technischen Details auf der Usenix-Konferenz 2015 öffentlich gemacht. - Tesla Model S
Der jüngste Auto-Hack-Fall in diesem Jahr betrifft das Tesla Model S. Die Security-Spezialisten Kevin Mahaffey und Marc Rogers wollen beweisen, dass auch Teslas Elektro-Limousine nicht unhackbar ist. Letztendlich finden die beiden tatsächlich einen Weg, Kontrolle über das Model S zu erlangen. Auf der Defcon-Konferenz 2015 präsentieren sie ihre Erkenntnisse. Fazit: Auch wenn der Hack des Tesla nur unter immensem Aufwand und über einen physischen Zugang zu den Systemen möglich war – unhackbar ist auch dieses Auto nicht. Immerhin erweist sich die Architektur der Tesla-Systeme laut Mahaffey und Rogers als „relativ sicher“ und „gut durchdacht“.
Sowohl der nationale als auch der EU-Gesetzgeber haben deshalb Regeln erlassen, welche Schlüsselindustrien zu einem hinreichenden Schutz ihrer IT-Systeme vor Cyberangriffen verpflichten. Nach dem Mitte 2015 in Kraft getretenen IT-Sicherheitsgesetz sind Betreiber sogenannter kritischer Infrastrukturen – hierzu gehören die Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen – verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme zu treffen. Der Anwendungsbereich des IT-Sicherheitsgesetzes dürfte in naher Zukunft durch die Anforderungen der kürzlich in diesem Zusammenhang beschlossenen EU-Richtlinie (NIS) noch einmal erweitert werden. Auch jenseits des Anwendungsbereichs des IT-Sicherheitsgesetztes existieren eine Reihe gesetzlicher Regelungen, welche das Management eines Unternehmens verpflichten, ihre IT-Systeme und Produktionsanlagen vor Cyberangriffen zu schützen. Schließlich ist IT-Sicherheit als Teil der Compliance-Verpflichtung eines Unternehmens zu verstehen.
- 1. Informationsschutz zur Wahrung der Vertraulichkeit
(insbesondere Zugriffsschutz, siehe § 9 BDSG) - 2. Gewährleistung der technischen und organisatorischen Verfügbarkeit
(insbesondere Notfall-planung und Wiederanlaufmöglichkeit durch Redundanz) - 3. Schutz der Datenintegrität
(Programmintegrität durch Change Management und Maßnahmen zur Erhaltung der Datenin-tegrität, z.B. Virenschutz) - 4. Stabilität und Sicherheit der IT-Prozesse
- 5. Gewährleistung der physischen Sicherheit
- 6. Datenaufbewahrung und –archivierung
- 7. Mitarbeitermanagement im Hinblick auf IT-Sicherheit (Awareness)
- 8. Wirksames IT-Management durch alle Phasen (Plan-Do-Check-Act)
- 9. Kontrolle der ausgelagerten Bereiche (Outsourcing)
- 10. Materieller Datenschutz
Umgang mit personenbezogenen Daten
Auch der Schutz personenbezogener Daten ist zu berücksichtigen. Dies betrifft insbesondere Kundendaten, soweit diese von den vernetzten Maschinen, zum Beispiel im Rahmen von Bestellungen, verarbeitet werden. Dies gilt umso mehr, wenn die Maschinen im Kontakt mit Einrichtungen in Drittländern, insbesondere den USA stehen. Insoweit wären dann erhöhte Anforderungen zu berücksichtigen, zum Beispiel die jüngst getroffene Übereinkunft der EU mit den USA (US-EU Privacy Shield). (sh)