EU-Cybersicherheitsgesetz soll weltweite Standards festlegen
Die Europäische Kommission behauptet, dass ihr neues Cybersicherheitsgesetz den Maßstab für die Sicherheit von Produkten des Internets der Dinge weltweit setzen. Dadurch erhalten europäische Hersteller einen Wettbewerbsvorteil.
Die Europäische Kommission behauptet, dass ihr neues Cybersicherheitsgesetz den Maßstab für die Sicherheit von Produkten des Internets der Dinge weltweit setzen. Dadurch erhalten europäische Hersteller einen Wettbewerbsvorteil.
Der Vorschlag für ein Gesetz zur Cyber-Resilienz wurde letzte Woche vorgestellt und führt einen Ansatz für die Sicherheit durch Design für alle Produkte mit digitalen Komponenten ein. Die Idee ist, die Hersteller zu verpflichten, Schwachstellen zu beseitigen, um die Einführung von vernetzten Produkten für die Verbraucher zu erleichtern. Es wird erwartet, dass der Sektor „Internet der Dinge“ in den kommenden Jahren boomt.
Wie von EURACTIV erwartet, enthält die Verordnung eine Reihe grundlegender Anforderungen, die Produkthersteller während des gesamten Produktlebenszyklus erfüllen müssen. Dazu gehört die kostenlose Bereitstellung von Sicherheitspatches über automatische Aktualisierungen.
„Dies wird nicht nur Auswirkungen auf die Europäische Union haben. Dies wird die Spielregeln weltweit ändern, so oder so. Weil sie uns kopieren werden oder weil sie nicht die Mittel haben werden, sich an unsere Regeln zu halten. Das ist nicht nur gut für das Niveau der Cybersicherheit, sondern auch für die Konkurrenzfähigkeit Europas“, sagte Lorena Boix Alonso, die Direktorin der für Cybersicherheit zuständigen Abteilung der Kommission, auf einer von EURACTIV veranstalteten Veranstaltung Anfang dieser Woche.
Das Ziel ist es, das Ergebnis der Allgemeinen Datenschutzverordnung durch den Brüsseler Effekt zu wiederholen. Unternehmen, die die EU-Vorschriften übernommen haben, um Zugang zum Binnenmarkt zu erhalten, fanden es nämlich bequemer, sie bei ihren weltweiten Aktivitäten anzuwenden, als andere Produkte oder Prozesse zu entwickeln.
„Am Anfang waren alle ein wenig zögerlich. Dann haben wir gesehen, dass alle anderen Märkte, einschließlich des amerikanischen, begonnen haben, nach den gleichen Regeln zu spielen wie der europäische“, sagte Joanna Swiatkowska, Chief Operating Officer bei der Europäischen Organisation für Cybersicherheit, auf der gleichen Veranstaltung.
Swiatkowska fügte hinzu, dass das Cybersicherheitsgesetz gegen Cyberangriffe wahrscheinlich das Sicherheitsniveau weltweit erhöhen. Zudem würde es einen Markt schaffen, in dem Cybersicherheit ein Wettbewerbsvorteil ist. Ein Anreiz, der bisher noch nicht vorhanden war.
Die EU-Exekutive schätzt, dass zwei Drittel der Cyberangriffe durch die Ausnutzung von Schwachstellen in vernetzten Geräten erfolgen. Gleichzeitig kennt der Produkthersteller mehr als die Hälfte der Schwachstellen, wenn er das Produkt auf den Markt bringt.
„Es wäre schwierig, für einen Einbrecher, in Ihr Haus einzudringen oder für eine kriminelle Gruppe, Ihr Telefon abzuhören. Im Cyberbereich sind diese Vorfälle zu häufig. Das liegt daran, dass wir nicht immer die Tür abschließen. Und wenn wir es tun, funktioniert das Vorhängeschloss manchmal nicht“, so der tschechische Botschafter Jaroslav Zajicek.
Das liegt daran, dass die Hersteller einen Anreiz haben, ein Produkt so früh wie möglich auf den Markt zu bringen, anstatt in dessen Sicherheit zu investieren, wenn sie nicht dazu verpflichtet sind. Daher soll die neue Verordnung die EU-Gesetzgebung zur Produktsicherheit auf den neuesten Stand bringen, um diese Art von Produkten mit einem risikobasierten Ansatz abzudecken.
„Es gibt zwei Möglichkeiten, einen risikobasierten Ansatz zu verfolgen. Entweder Sie stellen unterschiedliche Sicherheitsanforderungen oder Sie bewerten dieselben Anforderungen je nach Risikoniveau unterschiedlich. In diesem Fall war es nicht angemessen zu sagen, dass einige Produkte besser geschützt sein sollten als andere“, fügte Boix hinzu.
Der Vorschlag sieht vor, dass zwar für alle Produkte die gleichen Anforderungen gelten, das Konformitätsbewertungsverfahren wird variieren. Für bestimmte Produktkategorien, wie z.B. Mobiltelefone, Kartenlesegeräte und alle angeschlossenen Geräte, die für den industriellen Gebrauch bestimmt sind, wird ein strengeres Verfahren gelten.
Die Vertreterin der Kommission bestätigte, dass sie eine intensive Debatte darüber erwartet, welche Produkte unter diese Kategorien fallen werden. Wie immer, wenn es eine Liste gibt, konzentrieren sich die Bemühungen der Lobbyisten darauf, bestimmte Produkte hinzuzufügen oder zu streichen.
„Der Vorschlag konzentriert sich auf die industrielle Seite dieser Herausforderung. Von unserer Seite aus gibt es einige Produkte, die gerade wegen der Sensibilität des Verwendungszwecks definitiv auch als kritische Produkte anerkannt werden sollten“, sagte Cláudio Teixeira, Rechtsreferent bei der europäischen Verbrauchergruppe BEUC.
Teixeira führte den Fall von „My Friend Cayla“ an, eine „intelligente Puppe“, die es Kindern ermöglicht, über eine Spracherkennungssoftware auf das Internet zuzugreifen. Die Puppe löste in Deutschland einen öffentlichen Aufschrei aus, nachdem bekannt wurde, dass Hacker leicht auf die Puppe zugreifen konnten, um Kinder auszuspionieren oder sogar mit ihnen zu sprechen. Die deutsche Telekommunikationsbehörde erklärte die Puppe daraufhin zu einem „illegalen Spionagegerät“.
Für die Verbraucherorganisation sollten alle Produkte, die mit Kindern zu tun haben, und Systeme, die den Benutzer in der physischen Welt schützen sollen, wie z.B. intelligente Häuser und Sicherheitsalarme, unter die höchste Sicherheitsstufe fallen.
