DSGVO nimmt professionelle Anwender in Haftungspflicht

Qualitätssicherung und Gütesiegel für Software

| Autor / Redakteur: Joachim Jakobs / Stephan Augsten

Die Qualität einer Software lässt sich anhand verschiedener Kriterien bemessen und dürfte angesichts der DSGVO künftig eine größere Rolle spielen.
Die Qualität einer Software lässt sich anhand verschiedener Kriterien bemessen und dürfte angesichts der DSGVO künftig eine größere Rolle spielen. (Bild: TeroVesalainen - Pixabay.com / CC0)

Die Qualität von Software sinkt – und zwar mit atemberaubender Geschwindigkeit. Diese Aussage gründet dabei nicht auf dem subjektiven Empfinden eines vermeintlich böswilligen Autors, sondern ist Ergebnis amtlicher Statistik.

Die Statistik lügt nicht: Das National Institute of Standards and Technology (NIST) – eine Behörde des US-Handelsministeriums – sammelt Schwachstellen. Die daraus entstandene Datenbank reicht bis ins Jahr 1997 zurück und ist über die NIST-Webseite öffentlich zugänglich.

Die Lücken werden aber nicht einfach nur gesammelt, sondern zusätzlich bewertet. Hier in aller Kürze die Kriterien:

  • 1. Die ‚Severity Score Range‘ beschäftigt sich mit der „Kritikalität“ einer Lücke – besteht beim Ausnutzen der Lücke Lebensgefahr oder ist „nur“ die Privatsphäre der Betroffenen bedroht?
  • 2. Beim ‚Attack Vector (AV)‘ geht es um die Frage, wie die Lücke ausgenutzt werden kann – etwa übers Netz oder nur „vor Ort“?
  • 3. Die ‚Attack Complexity (AC)‘ beschreibt das notwendige Wissen, um die Lücke ausnutzen zu können: Muss der Angreifer nur irgendwelche Knöpfe in irgendeinem Baukasten drücken, den er zuvor irgendwo im Dunklen Netz gefunden hat? Oder muss er zunächst eigene, aufwendige Untersuchungen anstellen?
  • 4. Über welche ‚Rechte‘ muss der Angreifer im System verfügen, um erfolgreich zu sein?
  • 5. Ist für den Angriff eine Interaktion notwendig? Oder kann der Angriff ausschließlich automatisiert durchgeführt werden?

Im Jahr 2017 gab es 1927 kritische Lücken – das sind jene Verwundbarkeiten, die mit einer Kritikalität von 9 bis 10 bewertet wurden und gleichzeitig eine geringe Angriffskomplexität aufwiesen. Zum Vergleich: 2016 waren es 1049 und noch ein Jahr früher 22 gewesen. Zugegebenermaßen hat sich auch die Zahl der Schwachstellen insgesamt von jeweils rund 6.500 in 2015 und 2016 auf gut 14.600 im Jahr 2017 erhöht. Rückschlüsse auf aufmerksamere Prüfer, bessere Tests oder die Zahl der erfassten Produkte lässt die Datenbank nicht zu.

Wer ist schuld?

Nicht selten werden bei der Suche nach einem Schuldigen die Entwickler genannt. „150 Milliarden Euro Schaden wegen schlechter Software-Qualität in Europa ... pro Jahr!“, „Schlechter Code macht Banken unsicher“ oder „Schwache Softwareentwicklung größtes Cyberrisiko“. So lauten die Vorwürfe von Qualitätsprüfern und Medien.

Gordon Mühl, früher Chief Technical Officer (CTO) für Security bei SAP erläuterte 2015 dazu: „In der Regel müssen Entwickler termingerecht liefern. Diese Situation bringt einen Entwickler in die Bredouille: „Implementiere ich noch das Security Feature oder bin ich fertig?“ Schon vor acht Jahren sollen 60 Prozent der Apps bei Softwaretests durchgefallen sein.

In Wirklichkeit ist es für die Entwickler selbst ein Graus, schlechten Code zu veröffentlichen bzw. veröffentlichen zu müssen: „Apples Software Qualität geht permanent zurück – insbesondere in den letzten zwei Jahren“, schrieb ein Nutzer namens osmenda im Apple Developer Forum im Dezember 2017. 20.000 Leser dieses Blogbeitrags und 65 Leserzuschriften später hieß es im Februar 2018, dass Apple die Veröffentlichung neuer Funktionen verzögere, um den Entwicklern mehr Zeit zu geben.

Software-Qualität ist kein Kraufkriterium – bisher

Die Sicherheit ist für das Consortium for IT Software Quality (CISQ) ein Qualitätsmerkmal von Software – neben Zuverlässigkeit, Effizienz und Wartbarkeit. Die Bedienbarkeit oder Usability jedenfalls ist nicht enthalten. Sie gehört aber zu den wichtigsten Kriterien der Käufer von Enterprise-Ressource-Planning-Software; vor fünf Jahren waren einer Studie zufolge die Kaufkriterien von ERP-Erstkäufern:

  • 1. Preis der Software
  • 2. Implementierungsfreundlichkeit
  • 3. Anwenderfreundlichkeit
  • 4. Funktionalität
  • 5. Anpassungsfähigkeit ans Unternehmen
  • 6. Kompatibilität mit vorhandener Hardware
  • 7. Wachstumspotential
  • 8. Unterstützung durch den Anbieter
  • 9. Qualität der Dokumentation
  • 10. Erfolgsbilanz der Leistung des Entwicklers

Das CISQ und die Unternehmenskunden haben offenbar völlig unterschiedliche Vorstellungen von „Qualität“. Bis 2017 hat sich daran nichts geändert – da hat sich die Narses Beratungsgesellschaft in Bad Vilbel mit den Prioritäten der Kunden im Verlagsgewerbe beschäftigt. Das für die Kunden vernichtende Ergebnis: 74 Prozent der Teilnehmer halten die Bedienbarkeit für „sehr wichtig“, 26 Prozent haben mit „wichtig“ geantwortet. Erst auf Platz 4 ist die Geschwindigkeit des Löcherstopfens gelandet.

Die DSGVO stellt alles auf den Kopf

Jetzt haben wir 2018 und ab Mai gilt die Datenschutzgrundverordnung. Die Nutzer müssen ihre Prioritäten regelrecht auf den Kopf stellen: Verantwortlich im Sinne der DSGVO ist nämlich nicht der Entwickler der Software, sondern der, der personenbezogene Daten mit dieser Software verarbeitet.

Die Bundesbeauftragte für den Datenschutz (BfDI) formuliert die Rechtsfolge so: „Den Nachweis (d. Einhaltens der DSGVO, Anm. d. Autors) führen muss allerdings derjenige, der für die Datenverarbeitung verantwortlich ist. In der Regel ist das nicht der Hersteller einer proprietären Software, sondern (gewerbliche) Nutzer dieser […] In jedem Fall muss der Verantwortliche die genannte Dokumentation und damit den datenschutzrechtlichen Nachweis auch für alle Datenverarbeitungsvorgänge mittels der proprietären Software vorhalten […] Der für die Datenverarbeitung Verantwortliche muss beim Einsatz proprietärer Software also dafür sorgen, dass er vom Software-Hersteller diese Informationen erhält.“

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45178459 / Risk Management)