EU-Gesetz zur Cybersicherheit: Experten äußern Bedenken
Cybersicherheitsexperten haben die EU-Abgeordneten in einem am Dienstag (3. Oktober) veröffentlichten offenen Brief aufgefordert, einen entscheidenden Teil des Cyber Resilience Act (CRA) zu überarbeiten. Dabei werden insbesondere die Anforderungen zur Offenlegung von Schwachstellen kritisch gesehen.
Cybersicherheitsexperten haben die EU-Abgeordneten in einem am Dienstag (3. Oktober) veröffentlichten offenen Brief aufgefordert, einen entscheidenden Teil des Cyber Resilience Act (CRA) zu überarbeiten. Dabei werden insbesondere die Anforderungen zur Offenlegung von Schwachstellen kritisch gesehen.
Die Europäische Kommission legte den Vorschlag für den CRA im September 2022 vor, um EU-weite Anforderungen an die Cybersicherheit einzuführen. Dazu gehören obligatorische Sicherheitsupdates und der Umgang mit Schwachstellen für vernetzte Geräte, die Daten sammeln und weitergeben können, sogenannte Internet der Dinge-Geräte (IdD).
Das Gesetz würde Organisationen dazu verpflichten, Software-Schwachstellen innerhalb von 24 Stunden nach ihrer Erkennung an staatliche Stellen zu melden. Eine solche Offenlegung würde jedoch „die Sicherheit digitaler Geräte und ihrer Nutzer gefährden“, argumentieren die Experten in dem offenen Brief.
„Insgesamt ist dies ein gutes Gesetz zur Verbesserung der europäischen Cybersicherheit. Aber manchmal führen gute Absichten zu schlechten Gesetzen. Die Bestimmung, die die Offenlegung von Schwachstellen vorschreibt, ist ein gutes Beispiel dafür“, sagte der Verfasser des Briefes, Ciaran Martin, Professor und ehemaliger Leiter des britischen National Cyber Security Centre, gegenüber Euractiv.
Der Brief wurde am Montag an die zuständigen Abgeordneten Thierry Breton, Binnenmarktkommissar, Carme Artigas Brugal, spanische Staatssekretärin für Digitalisierung und KI, und Nicola Danti, CRA-Berichterstatterin des Parlaments, geschickt.
Anforderungen zur Offenlegung von Schwachstellen
Die Anforderungen zur Offenlegung von Schwachstellen, die in der CRA festgelegt sind, verpflichten die Softwarehersteller, „ungepatchte“ Schwachstellen innerhalb von 24 Stunden nach ihrer Entdeckung an die Behörden zu melden.
„In der Eile, eine Cybersicherheitspolitik zu schaffen, haben die Abgeordneten den wesentlichen Datenverkehr bei der Behebung von Sicherheitslücken grundlegend missverstanden. Die Regierungen sind nicht in der besten Position, um selbst Lösungen für Schwachstellen zu entwickeln. Daher sollten sie sich nicht einmischen, indem sie Organisationen dazu verpflichten, sie über Schwachstellen zu informieren, bevor die betroffenen Anbieter Patches entwickeln und testen können“, sagte Katie Moussouris, Geschäftsführerin und Gründerin von Luta Security, gegenüber Euractiv.
Regierungsbehörden hätten Zugang zu einer Echtzeit-Software-Datenbank mit ungepatchten Sicherheitslücken. Abgesehen von dem mangelnden Schutz sind diese Datenbanken für Kriminelle und Hacker besonders attraktiv.
Dies gilt insbesondere für Schwachstellen in Lieferketten, bei denen sich die Hersteller mit mehreren Parteien abstimmen müssen, um Probleme sicher zu beheben, erklärt Moussouris. Eine vorzeitige Einbindung von Regierungsbehörden in den Prozess hätte einen gegenteiligen Effekt und würde wichtige IT-Infrastrukturen noch anfälliger machen, wenn Regierungen versuchen, Warnungen auszusprechen, bevor Patches verfügbar sind.
Weitere Risiken sehen die Verfasser darin, dass der Staat die Datenbanken zu Überwachungszwecken missbraucht und Forscher davon abgehalten werden, Schwachstellen zu melden.
„Wenn das Gesetz verabschiedet wird, wird es eine kontraproduktive Wirkung auf die unerlässliche Cybersicherheitsforschung über technologische Schwachstellen haben“, fügte der ehemalige Leiter des britischen National Cyber Security Centre Martin hinzu.
Moussoris empfiehlt den Regierungen, sich an den internationalen Standards für den Umgang mit Schwachstellen zu orientieren, wie sie von der Internationalen Organisation für Normung festgelegt wurden.
„Wir empfehlen, dass der CRA einen risikobasierten Ansatz für die Offenlegung von Schwachstellen verfolgt und dabei Faktoren wie den Umfang der Schwachstelle, die Verfügbarkeit von Gegenmaßnahmen, die potenziellen Auswirkungen auf Nutzer und die Wahrscheinlichkeit der Ausbreitung berücksichtigt“, heißt es in dem offenen Brief.
Weitere Bedenken
Im Juni äußerten andere Interessengruppen im Bereich der Cybersicherheit ähnliche Bedenken hinsichtlich der Offenlegungsanforderungen.
„Je mehr Informationen dieser Art verbreitet werden, desto wahrscheinlicher ist es, dass sie für staatliche Geheimdienst- oder Angriffszwecke missbraucht werden oder versehentlich an Kriminelle weitergegeben werden, bevor Gegenmaßnahmen getroffen wurden“, heißt es in einem offenen Brief, der von elf Organisationen für digitale Rechte, darunter die European Digital Rights Association (EDRi), unterzeichnet wurde.
Eine Woche später veröffentlichten 36 Akteure der Cyberindustrie, darunter DIGITALEUROPE und der paneuropäische Verband EuroISPA, eine gemeinsame Erklärung, in der sie den Abschnitt über ungepatchte Schwachstellen ebenfalls als Risiko für Cyberangriffe betrachten und dadurch die Maßnahmen zur Cybersicherheit untergraben werden.
[Bearbeitet von Nathalie Weatherald/Alice Taylor]
