Cyber Resilience Act: EU zieht IT-Entwicklern die Daumenschrauben an
Gemischtes Feedback gibt es auf den nun von der Europäischen Union veröffentlichten „Cyber Resilience Act“ (CRA), der IT Soft- und Hardwareherstellern strengere Regeln bei der Sicherheit ihrer Produkte vorschreibt. Während die Einen lange notwendige Regeln zur Einhaltung von Cybersicherheit begrüßen, beklagen andere einen erhöhten Bürokratieaufwand.
Der Cyber Resilience Act verfolgt klare Ziele: Auf der einen Seite ist die EU mit der Vielzahl digitaler Produkte im Alltag umfassend vernetzt, auf der anderen Seiten nehmen Cyberangriffe immer weiter zu. So beklagt die EU ein oftmals niedriges Sicherheitsniveau vieler Produkte, das sich in weit verbreiteten Schwachstellen und der unzureichenden Bereitstellung von entsprechenden Sicherheitsupdates widerspiegelt. Als weiteren Faktor wurden unzureichendes Verständnis und Zugang zu Informationen seitens der Nutzer beklagt, der sie daran hindere, Produkte mit angemessener Cybersicherheit auszuwählen oder auf sichere Weise zu nutzen.
„Wir müssen uns darauf verlassen können, dass die Produkte, die im Binnenmarkt angeboten werden, sicher sind“, erklärte die für das Ressort „Ein Europa für das digitale Zeitalter“ verantwortliche Margrethe Vestager. „Ähnlich, wie das CE-Kennzeichen bei Spielzeug oder Kühlschränken die Sicherheit bescheinigt, stellt das Cyberresilienzgesetz sicher, dass die angebotenen vernetzten Hardware- und Softwareprodukte strenge Cybersicherheitsanforderungen erfüllen. Dazu nehmen wir diejenigen in die Pflicht, die die Produkte in Verkehr bringen.“
„Sicherheit ist ein Kostenfaktor, der keinen direkten Return on Invest bringt, sondern nur kostet. Ohne erkennbaren Gewinn. Bis es knallt“, Arron Finnon
Wen betrifft der Cyber Resilience Act?
Mit dem Entwurf des Cyber Resilience Act formuliert die EU-Kommission erstmals europaweit verbindliche Sicherheitsanforderungen für Hersteller und Anbieter von „Produkten mit digitalen Elementen“. Das Dokument erfasst Hard- und Software, die sowohl als Endprodukte oder auch nur als Komponenten auf den Markt kommen. Hersteller müssen digitale Sicherheit künftig bereits bei der Produktentwicklung berücksichtigen und während der Lebensdauer des Produkts auftretende Schwachstellen beheben und dafür entsprechende Sicherheitsupdates bereitstellen.
„Wir müssen uns darauf verlassen können, dass die Produkte, die im Binnenmarkt angeboten werden, sicher sind“, Margrethe Vestager
TÜV Verband e.V. lobt und kritisiert
Laut dem Kommissionsvorschlag sollen Produkte in unterschiedliche Risikoklassen eingeteilt werden. Allerdings sollen auch viele Produkte mit erhöhtem Risiko („kritische Produkte“ nach Anhang III, Klasse 1) im Regelfall auf Basis einer reinen Herstellerselbsterklärung auf den Markt gebracht werden dürfen.
Diesen Ansatz hält der TÜV-Verband e.V., der die politischen Interessen der TÜV Prüforganisationen vertritt für verfehlt. Er sei nicht geeignet, das notwendige Cybersicherheitsniveau von vernetzten Produkten zu gewährleisten. Eine konsequente Einbindung unabhängiger Prüfstellen bei kritischen Produkten sei demnach zwingend erforderlich, um das notwendige Vertrauen in die Sicherheit von digitalen Technologien zu schaffen.
Lobend äußert sich der Verband hingegen, dass die EU-Kommission mit dem vorgelegten Regulierungsentwurf den gesamten Produktlebenszyklus eines digitalen Produktes in den Blick nimmt und entsprechende Sicherheitsanforderungen für die Nutzungsdauer vorsieht. So sollen notwendige Sicherheitsupdates zukünftig über einen Zeitraum von bis zu fünf Jahren bereitgestellt werden. Dies ermöglicht eine längere Nutzung der Produkte und schont Ressourcen.
Bitkom bemängelt zu kurze Umsetzungsfrist
Grundsätzlich lobt auch der Bitkom Verband den EU Vorschlag. „Der Cyber Resilience Act kommt genau zur richtigen Zeit“, äußert sich Bitkom Präsident Achim Berg. „Europa muss die Abwehr von Cyberangriffen stärker in den Fokus rücken. Der Cyber Resilience Act kann einen wichtigen Beitrag zur Stärkung der Sicherheit vernetzter Geräte leisten.“
Kritisch sieht der Bitkom allerdings die Umsetzungsfrist von 24 Monaten nach Inkrafttreten. Angesichts der deutlich längeren Entwicklungszyklen würde dies viele Unternehmen vor große Herausforderungen stellen. Daher sei es umso wichtiger, die zusätzlichen Compliance-Kosten, die durch den Cyber Resilience Act auf die Unternehmen zukommen, möglichst gering zu halten.
Alle 11 Sekunden Opfer eines Sicherheitsangriffs
Wie notwendig strengere Regeln bei der Einhaltung von Sicherheitsmaßnahmen bei der Entwicklung von Hard- und Software ist, zeigt auch der Bericht des EU Science Hub „Cybersecurity – our digital anchor – a European perspective“. Demnach wird weltweit alle 11 Sekunden eine Organisation Opfer eines Ransomware-Angriffs. Die Schäden der Angriffe belaufen sich nach Schätzungen demnach auf 5,5 Billionen Euro in 2021.
„Wir brauchen eine stärkere Sicherheitskultur“
Mehr Sicherheit in der IT ist auch eine langjährige Forderung vieler Experten. In einem Interview mit WespeakIoT bemängelte auch Arron Finnon, Chief Technology Officer der auf IT-Sicherheit spezialisierten Beratungsgesellschaft Vindler GmbH, den oft fahrlässigen Umgang mit der Sicherheit vieler IT Unternehmen. „Sicherheit ist ein Kostenfaktor, der keinen direkten Return on Invest bringt, sondern nur kostet. Ohne erkennbaren Gewinn. Bis es knallt“, erklärte er den häufigen Grund für die Nachlässigkeit.