Netzpolitik

Wie die EU vernetzte Produkte sicherer machen will

Alles ist mittlerweile vernetzt: Vom Einhorn-Plüschtier, über den Geschirrspüler, bis zu Industriemaschinen, die am Internet hängen. Doch seit Jahren melden Sicherheitsforscher*innen, dass sie hier und dort schwerwiegende Sicherheitslücken entdeckt haben.

So konnte etwa bereits Sex-Spielzeug von Fremden ferngesteuert werden. Mit einer Babyüberwachungskamera konnten Kinder beobachtet und ausspioniert werden. Auch kam es bereits vor, dass es schwerwiegende Erpresserangriffe auf Krankenhäuser gab, bei denen die Notaufnahme geschlossen werden musste.

Neues Gesetz soll Hersteller in die Pflicht nehmen

Das Internet der Dinge (IoT) ist nämlich sowohl bei Privatanwender*innen-, als auch im Geschäftsbereich sehr verbreitet. Die EU-Kommission hat nun mit dem „Cyber Resilience Act“ (Cyberresilienzverordnung) einen Vorschlag vorgelegt, in dem die Sicherheit all dieser vernetzten Produkte sowie Hard- und Software verbessert werden soll - und zwar über den einen großen Teil des gesamten Produktzykluses hinweg.

Einerseits werden Hersteller schon vor der Auslieferung an Kund*innen in die Pflicht genommen, Cybersicherheit von Anfang an zu berücksichtigen und mitzudenken, andererseits aber sollen auch regelmäßige Sicherheitsupdates bereitgestellt werden.

Was bedeutet das für die Hersteller solcher Produkte?

Sie müssen jene Dinge, die digitale Elemente aufweisen, prinzipiell sicher gestalten und verpflichten sich dazu, bevor sie diese im EU-Raum in den Verkehr bringen. Die Verordnung soll für alle Produkte sowie Hard- und Software gelten, die direkt oder indirekt mit einem anderen Gerät oder einem Netz verbunden sind.

Es wird allerdings auch Ausnahmen geben und zwar dann, wenn es an anderer Stelle bereits strenge Cybersicherheitsregeln gibt. Darunter fallen Medizinprodukte, die Luftfahrt sowie die Automobil-Branche.

Smarte Speaker von Amazon fallen etwa in die Standardkategorie

Unterschiedliche Einstufungen von Produkten

Doch nicht alle Produkte werden als gleich kritisch eingestuft. 90 Prozent der Produkte fallen unter die „Standardkategorie“. Das sind etwa vernetztes Spielzeug (für Kinder oder Erwachsene), smarte Lautsprecher oder Fotobearbeitungsprogramme. Die Hersteller dieser Dinge müssen sich lediglich einer Konformitätsprüfung mit Selbstbewertung unterwerfen. Das bedeutet, dass sie dafür sorgen müssen, dass sie selbst einen Plan für die IT-Sicherheit für alle ihre Produkte haben. 

Die restlichen Produkte werden in 2 Klassen eingeteilt: Die erste, kritische Klasse muss selbst einen Standardprüfungsprozess für Security aufsetzen, oder sich von einem Drittunternehmen prüfen lassen. Darunter fallen etwa Passwortmanager, Firewalls oder Microcontroller.

Dann gibt es noch eine Hochrisikoklasse, die ihre Produkte und Prozesse auf jeden Fall von einem Drittanbieter prüfen lassen muss. Darunter fallen Industrie-Firewalls, CPUs oder Betriebssysteme. Hier geht es vor allem darum, dass durch mangelnde IT-Sicherheit auch ein hoher, wirtschaftlich relevanter Schaden entstehen kann.

Meldeprozess von Sicherheitslücken definiert

Über den gesamten Lebenszyklus eines vernetzten Produkts hinweg muss es Sicherheitsupdates geben. Unternehmen werden außerdem dazu aufgefordert, Bug Bounty Programme zu schaffen, damit Sicherheitslücken direkt bei ihnen gemeldet werden, und diese nicht etwa am Schwarzmarkt verkauft und von Kriminellen ausgenutzt werden. Bei diesen Programmen kann etwa für Sicherheitsforscher*innen ein finanzieller Anreiz zur Meldung von Lücken zur Verfügung gestellt werden, muss aber nicht. 

Es soll auch ein klarer Prozess für Sicherheitsforscher*innen im Regelwerk enthalten sein, der vorsieht, dass solche Lücken immer zuerst an die Unternehmen gemeldet werden sollen, bevor sie an die Öffentlichkeit - oder Medien - gespielt werden. Unternehmen haben dann jedoch in Folge auch eine Meldepflicht in Bezug auf aktiv ausgenutzte Schwachstellen. Ist eine Babycam etwa von einer Lücke betroffen, müssen Hersteller das ihren Kunden verpflichtend mitteilen. Durch die Verpflichtung zu Sicherheitsupdates sollen auch die Standardgeräte sicherer gemacht werden, als sie bisher sind, auch wenn die Hersteller sich nicht zuerst von Drittanbietern prüfen lassen müssen.

"Es wird die Verantwortung dorthin übertragen, wo sie hingehört, nämlich zu denen, die die Produkte auf den Markt bringen."

Die EU-Digitalkommissarin Margrethe Vestager zum Vorschlag: „So wie wir einem Spielzeug oder einem Kühlschrank mit einer CE-Kennzeichnung vertrauen können, wird der Cyber Resilience Act sicherstellen, dass die von uns gekauften, vernetzten Objekte und Software strengen Cybersicherheitsvorkehrungen entsprechen. Es wird die Verantwortung dorthin übertragen, wo sie hingehört, nämlich zu denen, die die Produkte auf den Markt bringen.“

Der Cyber Resilience Act befindet sich noch mitten im EU-Prozess. Als nächstes müssen EU-Parlament und EU-Rat den Vorschlag prüfen, Ergänzungen oder Änderungen vorschlagen, bevor man sich am Ende auf einen gemeinsamen Vorschlag einigt.

Erst dann kann das Gesetz in Kraft treten. Die einzelnen Mitgliedsländer haben dann auch noch 24 Monate Zeit, um dieses in nationales Recht umzusetzen. Nur die Meldepflicht von Sicherheitslücken tritt bereits ein Jahr früher in Kraft.

Unterschiedliche Reaktionen

Der Vorschlag des Cyber Resilience Acts wurde zum jetzigen Zeitpunkt sehr zurückhaltend kommentiert. Der deutsche Branchenverband Bitkom sieht es positiv, dass damit „Security by Design“ rechtlich vorgegeben werde. Zu kurz sei allerdings die 2-jährige Übergangsfrist für die Elektronik-Industrie und weitere Industriebetriebe, die Industrial-IoT-Lösungen anbieten. Diese bemängeln zudem, dass bei ihnen Prozesse unter „kritisch“ fallen, die es eigentlich gar nicht seien.

Außerdem betrifft der Cyber Resilience Act etwa auch OEM-Produkte. OEM steht für Original Equipment Manufacturer, was so viel bedeutet wie Erstausrüster oder Originalgerätehersteller. Viele OEM-Produkte stammen aus China. Damit hätte der Cyber Resilience Act auch massive Auswirkungen auf die Handelsketten, wie Jan Wendenburg von OneKey erläutert

Für den EU-Abgeordneten Patrick Breyer von der deutschen Piratenpartei war ein derartiges Gesetz „längst überfällig“. Er kritisiert allerdings, dass der Vorschlag einerseits nicht weit genug gehe, andererseits zu weit greife. Aus Breyers Sicht fehlt eine klare Verpflichtung kommerzieller Hersteller, bekannte Sicherheitslücken unverzüglich zu beheben.

„Für selbst verschuldete Sicherheitslücken müssen kommerzielle Hersteller haftbar gemacht werden, damit sich IT-Sicherheit finanziell lohnt“, so der Experte. Andererseits sieht Breyer die ehrenamtliche Entwicklung freier Software durch den Cyber Resilience Act gefährdet, weil an ihre Produkte dieselben Anforderungen gestellt werden. Dies können jene, die kostenlos an Software arbeiten, aber meist nicht leisten. „Dieser Vorstoß ist unausgereift und muss überarbeitet werden“, sagt Breyer.

Klicken Sie hier für die Newsletteranmeldung

Hat dir der Artikel gefallen? Jetzt teilen!

Barbara Wimmer

shroombab

Preisgekrönte Journalistin, Autorin und Vortragende. Seit November 2010 bei der Kurier-Futurezone. Schreibt und spricht über Netzpolitik, Datenschutz, Algorithmen, Künstliche Intelligenz, Social Media, Digitales und alles, was (vermeintlich) smart ist.

mehr lesen