Tech-Unternehmen: Koalition zur Bekämpfung von Cybersicherheitsrisiken
Die EU arbeitet an der Fertigstellung eines neuen Gesetzes zur Cybersicherheit, das Hersteller und Dienstleister zwingen soll, über die gesamte Lebensdauer eines Produktes Sicherheitsupdates zur Verfügung zu stellen. Führende Technologieunternehmen erhalten hingegen einen Vorsprung.
Die EU arbeitet an der Fertigstellung eines neuen Gesetzes zur Cybersicherheit, das Hersteller und Dienstleister zwingen soll, über die gesamte Lebensdauer eines Produktes Sicherheitsupdates zur Verfügung zu stellen. Führende Technologieunternehmen erhalten hingegen einen Vorsprung.
Die Network Resilience Coalition wurde am Dienstag (25. Juli) mit 11 Gründungsmitgliedern, darunter Cisco, Intel, AT&T, Broadcom und Fortinet, angekündigt. Ihr Ziel ist es, die Sicherheit von Software- und Hardware-Updates zu erhöhen und die Minderung von Cyberrisiken in Netzwerken von Technologieunternehmen zu verbessern.
Die Initiative überschneidet sich mit einigen Bestimmungen des Cyber Resilience Act, einem EU-Gesetzesentwurf zur Einführung von Sicherheitsanforderungen für vernetzte Geräte. Im Rahmen der neuen Cybersicherheitsverordnung müssen die Hersteller während der gesamten erwarteten Lebensdauer des Produkts für Sicherheitspatches und die Behebung von Schwachstellen sorgen.
„Allzu oft erleben wir, dass Unternehmen Opfer eines Cyberangriffs werden, weil ein wichtiges Update oder ein Patch nicht installiert wurde“, erklärte Ari Schwartz, Koordinator des Center for Cybersecurity Policy & Law und eine führende Stimme in der Cybersicherheitspolitik.
Neue Koalition
Die Network Resilience Coalition will Technologieanbieter, Sicherheitsexperten und Netzbetreiber zusammenbringen, um die Lücke durch die Implementierung von Software- und Hardware-Updates zu schließen.
Laut einer Erklärung von Cisco soll die Koalition globale Cybersicherheitsprobleme offen und gemeinschaftlich angehen.
„Unser Ziel ist es, mehr Klarheit über die Lebensdauer des Produkts zu schaffen. Das ist ein wirklich wichtiger Schritt“, betonte Paul Waller, Leiter der Kompetenzforschung am National Cyber Security Centre (NCSC) in Großbritannien.
Wie die erwartete Produktlebensdauer zu definieren ist, wird von den politischen Entscheidungsträgern in der EU noch diskutiert. Die allgemeine Richtung geht jedoch dahin, dass die Hersteller sie selbst festlegen und vor dem Kauf mitteilen sollten.
„Es gibt viele Einrichtungen, die etwas bewirken wollen, und diese fallen oft in zwei Kategorien: kommerziell und nicht-kommerziell“, erklärte Patrick Wheeler, Direktor des Programms zur Entwicklung von Arbeitskräften CyberWayFinder, gegenüber EURACTIV.
„Während der Traum der öffentlich-privaten Partnerschaft weiterlebt, ist die Realität oft weit davon entfernt. Die Liste der Gründungsmitglieder besteht aus großen kommerziellen Akteuren, die zumeist in den USA ansässig sind, aber bei weitem nicht zu den führenden Cybersecurity-‚Influencern‘ gehören“, so Wheeler weiter.
End-of-Life (EOL) und Cybersicherheitsrisiken
Ein End-of-Life-Produkt ist ein Produkt, das das Ende seines Lebenszyklus erreicht hat, was zur Folge hat, dass Updates, Dienstleistungen und Support vom Hersteller eingestellt werden.
Zu den Risiken von EOL-Hardware und -Software gehört, dass böswillige Akteure über die Schwachstellen die Kontrolle über das Gerät übernehmen können. Zu den Mitteln, um einen solchen Angriff auszuführen, gehören gemeinsam genutzte Anmeldeinformationen und Standardkonfigurationen, erklärte Brad Arkin, Leiter der Security and Trust Organisation von Cisco.
„Das derzeitige System funktioniert nicht, weil die Informationen über die Schwachstellen der Geräte öffentlich zugänglich sind“, so Arkin weiter. Dies macht es Angreifern besonders leicht, die Kontrolle über eine auslaufende Hardware oder Software zu übernehmen.
Die Mitglieder des Europäischen Parlaments fordern, dass immer dann, wenn ein Hersteller die voraussichtliche Lebensdauer eines Produkts auf weniger als fünf Jahre festlegt, die Nutzer in der Lage sein müssen, die entsprechenden Sicherheitsprodukte zu erwerben, um die Sicherheit weiterhin zu gewährleisten.
In diesen Fällen könnten die ursprünglichen Hersteller gezwungen werden, den Quellcode an den Sicherheitsanbieter weiterzugeben.
Nächste Schritte
Unter der Koordination des Center for Cybersecurity Policy & Law wird die Koalition in einem ersten Schritt ein Strategiepapier erstellen, das als Grundlage dienen soll.
Nach Angaben von Cisco finden derzeit Sitzungen der Koalition statt, die mit der Erweiterung des Gremiums fortgesetzt werden sollen.
Sowohl der Ausschuss der Ständigen Vertreter (COREPER) als auch der Industrieausschuss des Europäischen Parlaments haben ihre Positionen zum Cyber Resilience Act am 19. Juli angenommen. Die Triloge – Diskussionen zwischen dem Europäischen Rat, dem EU-Parlament und der Europäischen Kommission – werden voraussichtlich im September beginnen.
[Bearbeitet von Luca Bertuzzi]/Alice Taylor]
