Was haben Software Subscriptions mit NIS2 oder dem Cyber Resilience Act zu tun?

Um Missverständnissen vorzubeugen: Dies ist kein Artikel, der sich anmaßt die erwähnten Richtlinien zu erklären, das versuchen schon mehr als genug. Hier geht es um Subscription Services und die Gründe, warum bald kein Weg mehr daran vorbeiführt. Aber warum? Was hat sich geändert seit man Windows 2.0 gekauft, über Jahrzehnte verwendet und dem Nachwuchs auf den ersten PC gespielt hat?

Die Gier der Hersteller?

Lange ist es her, als die notwendige Software für den Computer noch auf Diskette (Sie erinnern sich?) oder CD mitgeliefert wurde. Schon damals waren vor Inbetriebnahme meist eine Reihe von Updates nötig, weil allerlei Fixes wesentlich häufiger erschienen sind als Datenkonserven produziert und in den Handel verteilt werden konnten. Schon damals beklagte sich die Kundschaft teilweise wegen der gefühlt stundenlangen Aktualisierungen, ehe man endlich loslegen konnte mit dem neuen Programm. Verbesserte Software-Übertragungsmöglichkeiten lösten dieses Problem zwar teilweise, aber neue Hauptversionen waren oft nur kostenpflichtig zu haben, und so gab es von Konsumentenseite noch den einen oder anderen Tumult um den so genannten Update-Zwang.

Inzwischen sind Subscription Services längst gängiges Geschäftsmodell. Apple macht es seit vielen Jahren beim Endverbraucher vor: „Das Apple-Bundle für dich und deine Familie.“ So oder ähnlich funktioniert es auch für Streaming Services. In anderen Branchen war man wiederum viel zaghafter. Im Automobil-Sektor etwa begann man erst Anfang der 2020er, mit functions on demand zu experimentieren. BMW zog damals viel, aber nicht nur gewollte Aufmerksamkeit auf sich mit dem Abo für den warmen Po (2022, für 17 Euro im Monat), wobei der Tesla-Konzern sich schon früher als Vorreiter gab und per In-App Kauf Beschleunigungs-Booster anbot – etwa für zusätzliche 1800 Euro von 0 auf 100 km/h war damit in 4,4 statt 5 Sekunden! Der Hersteller kann so standardmäßig Funktionen verbauen, die der Konsument nur bei entsprechender Sonderzahlung nutzen kann.

Was zunächst ungewohnt war und mitunter kritisch als Abzocke beäugt wurde, bringt aber durchaus Vorteile, und nicht nur für den Hersteller. So braucht sich der Kunde beim Kauf des Autos keine großen Gedanken über seine Sonderausstattung zu machen, ebenso wenig wie bei einer modular aufgebauten Software. Später benötigte Features können bei Bedarf dazu geschaltet werden. Längst nutzt die jüngere Konsumenten-Generation ganz selbstverständlich Subscriptions, und dieser Siegeszug setzt sich im Firmenumfeld mit noch stärkerer Dynamik fort. Dort geht es oft darum, so viel wie möglich vom nicht das Kerngeschäft betreffenden Aufwand auszulagern – und neben Software- und/oder Rechnerleistungen betrifft das zunehmend auch Sicherheits- und Haftungsfragen.

Die digitale Transformation der Kriminalität

Was sich heute im Cybercrime abspielt, könnte man die Kehrseite der digitalen Medaille nennen. Wie euphorisch waren wir noch in den späten 90ern: Keine Telefonbücher mehr, keine dicken Ordner mit massig Papier, schnelle und zunehmend grenzenlose Kommunikation mit Mitarbeitern, Freunden und Angehörigen. Arbeiten wo immer man will, und wenn geht noch bitte kabellos – so stellten wir uns die schöne, neue Welt vor.

Und heute? Im Großen und Ganzen ist das zwar alles eingetroffen, doch haben die Cyber-Schurken mindestens ebenso davon profitiert wie Otto Normalverbraucher. Exploits nennt man die schädlichen Angriffscodes, die Kriminellen als Werkzeug dienen, um Schwachstellen in Betriebssystemen, Apps und Browsern auszunutzen. Wer sich damit auskennt weiß: Im Darknet zirkulieren solche Exploits munter, auch als ganze Kits, als Service und für kleines Geld.

Je nach Verbreitung der betroffenen Software sind Angriffsfläche und Schädigungspotential beträchtlich, wobei das Ziel der Angreifer das ganze Spektrum von Spam bis Daten- oder Identitätsdiebstahl, Ransomware-Attacken, Spionage, Betrug oder Erpressung ausfüllt. 2022 hat etwa Microsoft in seinen Systemen weltweit rund 24 Billionen Bedrohungen pro Tag aufgezeichnet, und das deutsche BSI (Bundesamt für Sicherheit in der Informationstechnik) registriert mit täglich an die 70 neuen Schwachstellen in Softwareprodukten eine Steigerung von rund 25% zum Vorjahr. Es kommt noch schlimmer: Auch bei der möglichen Schadwirkung der Schwachstellen ist die Tendenz deutlich steigend.

Die Politisierung der unternehmerischen Sorgfalt

Diese Entwicklung musste über kurz oder lang die Gesetzgebung auf den Plan rufen. Mittlerweile gibt es Definitionen zu strafrechtlichen Cybercrime Tatbeständen, auf Internetkriminalität spezialisierte Ermittler-Teams, Kompetenz-Zentren, Meldestellen und regelmäßige Reports. Öffentlichkeitsarbeit zur Aufklärung der Bevölkerung gehört ebenso dazu wie die Einbeziehung von Anbietern digitaler Dienste oder Produkte.

Und wer soll für diese Risiken haften? Immerhin verlangt auch Ihre Versicherung, dass Sie ihr Auto abschließen um Diebstahl nicht zu begünstigen. In der Cybersicherheit regeln das EU-Richtlinien wie NIS (Network and Information Security , 2016), und anschließend NIS-2 (2022). Sie gelten für Unternehmen ab einer bestimmten Größe, die essenzielle oder wichtige Dienste anbieten. Sie werden laufend erweitert und nachgebessert.

Der CRA (Cyber Resilience Act, 2023) nimmt Hersteller von digitalen Produkten in die Pflicht, und zwar alle bis hin zu den KMU. Für das eigentliche Ziel, der in Wirtschaft und Gesellschaft der allgemeinen Bedrohungslage besser standzuhalten, ist es nur konsequent, wenn möglichst alle Player bis hin zu den Anwendern daran mitarbeiten. Klagen über Regelungswut werden uns nicht vor den Cyberkriminellen schützen, auch noch so strenge Sorgfaltspflicht der Hersteller wird teilweise ins Leere laufen, solange wir nicht konsequent vertrauenswürdige, laufend gewartete Software einsetzen und diese regelmäßig updaten.

Entsprechend müssen Hersteller langfristig Experten-Teams für Wartung und Support ihrer Produkte unterhalten: Arbeitnehmer, für die sie nicht zuletzt auch soziale Verantwortung übernehmen und zu Fürsorge und Schutz verpflichtet sind. Einmalzahlungen, die den Aufwand für diese Ressourcen einschließen, sind kaum zu kalkulieren. Sie müssten sehr hoch sein oder zumindest die Updates separat bepreisen. Die Anwender müssten diesen Aufwand schultern: Wer will schon Opfer von Hackern werden und dazu noch wegen vernachlässigter unternehmerischer Sorgfalt für Schäden von Dritten haftbar sein?

Die Subscription löst diese Aufgabe wesentlich eleganter, speziell in Verbindung mit modular aufgebauter Software. Das Pricing kann so angelegt werden, dass es nicht mehr, aber auch nicht weniger als den benötigten Aufwand abdeckt.

So ist schlussendlich allen gedient: Der Hersteller kann seiner Sorgfaltspflicht nachkommen und sein Produkt vernünftig warten. Der angestellte Software-Entwickler kann seine Kompetenz dank eines sicheren und Sinn stiftenden Arbeitsplatzes weiterentwickeln. Kunde und Anwender können darauf zählen, für alle aufkommenden Sicherheitslücken prompte Fixes zu erhalten. Darüber hinaus bieten Subscriptions bei komplexen Softwareprodukten oft auch den Vorteil laufend aktualisierter Sicherheit, sondern sämtlicher verfügbaren Verbesserungen und Innovationen.

Bei der IACBOX ist es seit zwei Jahrzehnten Teil der Firmenphilosophie, allen Anwendern jeweils das aktuellste Produkt mit allen Enhancements und neuen Features zur Verfügung zu stellen. Das Subscription-Modell stellt sicher, dass dieser Service auch in Zukunft und unter Compliance mit allen neuen Richtlinien aufrechterhalten werden kann.