KANBrief 3/23
Hersteller von Produkten „mit digitalen Elementen“ müssen die Cybersicherheit künftig während des ganzen Lebenszyklus gewährleisten, plant die EU-Kommission mit dem Cyber Resilience Act.
Die EU-Kommission macht angesichts anhaltender Online-Angriffe etwa mit Verschlüsselungstrojanern weiter Druck beim Absichern von IT-Sicherheitslücken. Nach Gesetzen wie dem 2019 beschlossenen Cybersecurity Act, mit dem die Basis für ein EU-weites Zertifizierungsschema für die IT-Sicherheit vernetzter Geräte, Systeme und Dienste steht, oder der jüngsten Novelle der Richtlinie über die Netzwerk- und Informationssicherheit (NIS2) hat sie im September 2022 einen Entwurf für einen Cyber Resilience Act (CRA) auf den Weg gebracht. Laut der geplanten Verordnung zur Cyber-Widerstandsfähigkeit sollen Produkte „mit digitalen Elementen“ wie Hard- und Software künftig „mit weniger Schwachstellen auf den Markt kommen“.
Breit ist der Geltungsbereich des Entwurfs. Die Kommission will etwa „jedes Software- oder Hardware-Produkt und dessen Ferndatenverarbeitungslösungen“ einschließlich zugehöriger Komponenten erfassen, selbst wenn sie getrennt in Verkehr gebracht werden. Ein Schwerpunkt dürfte auf dem Internet der Dinge liegen oder auf privaten Kleinroutern („Plaste-Routern“), die aufgrund vieler eingebauter Sicherheitslücken bislang häufig einfach angreifbar sind. Außen vor bleiben sollen Produkte, „die ausschließlich für die nationale Sicherheit oder für militärische Zwecke entwickelt wurden“, oder die speziell für die Verarbeitung von Verschlusssachen bestimmt sind. Auch Sektoren wie die Luftfahrt, Medizinprodukte oder Kfz sind nicht betroffen, da für sie schon eigene einschlägige Anforderungen gelten.
Erfasste Hersteller müssen dem Vorhaben zufolge künftig grundlegende Cybersicherheitsanforderungen für das Design, die Entwicklung und den Fertigungsprozess erfüllen, bevor sie ein Gerät auf den Markt bringen. Sie sollen angehalten werden, Schwachstellen während des gesamten Lebenszyklus des Geräts zu überwachen und durch automatische und kostenlose Updates zu beheben. Dazu kommt eine Pflicht für die Hersteller, der EU-Agentur für Cybersicherheit ENISA binnen knapp bemessener 24 Stunden jeden Vorfall zu melden, der sich auf die Sicherheit einer Hard- und Software auswirkt. Generell soll eine koordinierte Linie zur Offenlegung von Schwachstellen eingeführt werden.
Angriffsflächen bei den einbezogenen Geräten müssten laut dem CRA begrenzt, die Auswirkungen von Zwischenfällen minimiert werden. Die erfassten Produkte sollen die Vertraulichkeit der Daten etwa durch Verschlüsselung sicherstellen. Pflicht werden soll der Schutz der Integrität und Verarbeitung von Informationen und Messwerten, die für das Funktionieren eines Artikels unbedingt erforderlich sind.
Über diese Basisauflagen hinaus hat die Brüsseler Regierungsinstitution besonders kritische Hochrisikobereiche ausgemacht. Die entsprechenden Produkte teilt sie in zwei Klassen, für die ein unterschiedliches Konformitätsverfahren eingeführt werden soll. Zur Kategorie I gehören Identitätsmanagementsysteme, Browser, Passwortmanager, Antiviren-Programme, Firewalls, virtuelle private Netzwerke (VPNs), Netzwerkmanagement, umfassende IT-Systeme, physische Netzwerkschnittstellen, Router und Chips. Dazu kommen Betriebssysteme etwa für Smartphones oder Desktop-Rechner, Mikroprozessoren und das Internet of Things (IoT) in Unternehmen, die nicht als besonders empfindlich gelten.
Die höhere Risikoklasse II beinhaltet Desktop- und Mobilgeräte, virtualisierte und etwa in Maschinen eingebaute Betriebssysteme, Aussteller digitaler Zertifikate, Allzweck-Mikroprozessoren, Kartenlesegeräte, Robotersensoren und intelligente Messgeräte. Ferner sollen darunter IoT-Geräte, Router und Firewalls für den industriellen Einsatz fallen, der generell als „sensible Umgebung“ gilt. Denn IT-Sicherheitslücken haben längst auch massive Auswirkungen auf Maschinen und Anlagen, die zunehmend vernetzt und nicht mehr nur innerhalb des Betriebsgeländes erreichbar sind, und so auch auf den Arbeitsschutz.
Hersteller sollen Konformitätsbewertungen ihrer Produkte über ein internes Verfahren oder eine Prüfung durch anerkannte Stellen durchführen. Wenn der Produzent auf harmonisierte Normen setzt oder bereits ein Zertifikat im Rahmen eines europäischen Zertifizierungssystems für Cybersicherheit erhalten hat, ist davon auszugehen, dass die entsprechende Hard- oder Software mit der Verordnung übereinstimmt. Importeure und Händler werden verpflichtet, die Einhaltung der einschlägigen Verfahren durch den Produzenten und die CE-Kennzeichnung des Geräts zu überprüfen. Für wenig kritische Produkte dürften Hersteller selbst eine Konformitätserklärung erstellen. In der Risikoklasse II soll eine Bewertung durch Dritte nötig sein.
Die Kommission sieht Handlungsbedarf, da die verstärkte Cyberkriminalität schon bis 2021 zu geschätzten jährlichen Kosten in Höhe von 5,5 Billionen Euro geführt habe. In einem vernetzten Umfeld könne ein Cybersicherheitsvorfall bei einem Produkt ein ganzes Unternehmen oder eine ganze Lieferkette in Mitleidenschaft ziehen und sich oft innerhalb weniger Minuten über die Grenzen des Binnenmarktes hinweg ausbreiten, wie etwa im Falle des Computerschädlings WannaCry. Wirtschaftliche und soziale Aktivitäten würden so unterbrochen, sogar Leben bedroht.
Die Deutsche Gesetzliche Unfallversicherung (DGUV) kritisiert in einer Stellungnahme, dass bereits der Kernbegriff Cyber-Security nicht klar definiert sei. Darunter werde in verschiedenen Normen und Verordnungen wechselweise ein Zustand, eine Tätigkeit oder ein Produkt verstanden. Problematisch seien generell Wörter, die aus „Cyber“ zusammengesetzt, aber nicht genau umrissen würden. So würden – je nach Quelle – Angriffe per Funk oder USB-Schnittstellen mit dem Begriff Cyber-Security nicht betrachtet.
Kritisch sieht die DGUV auch die Pflicht für Hersteller, binnen 24 Stunden umfangreiche Details zu einer Sicherheitslücke zu melden. In dieser kurzen Zeit sei eine Prüfung in vielen Fällen nicht realistisch. Gleichzeitig sei die Weiterleitung von Details, die für Angriffe genutzt werden können, nicht unbedingt notwendig. In ihrer Stellungnahme plädiert die DGUV dafür, nur Daten zu übermitteln, die die Behörden wirklich benötigen, etwa zur Produktwarnung oder zur Abschätzung der Auswirkungen einer Schwachstelle. Auch das vorgesehene Zeitfenster von zwei Jahren, um sich auf die neuen Anforderungen einzustellen, hält die Gesetzliche Unfallversicherung für Hersteller zu knapp bemessen, die von anderen Produkten abhängig sind und etwa auf eine Konformitätsbewertung warten müssen.
Betriebssysteme könnten nicht sinnvoll geprüft werden, da sie sich ständig weiterentwickelten, moniert Jonas Stein, Leiter des Arbeitskreises Security der DGUV, ferner. Oft seien sie zudem – etwa bei Linux – von Open Source abhängig. Bei freier Software gebe es aber nicht einen einzelnen Hersteller, der für das Konformitätsverfahren zuständig wäre. Die Open-Source-Szene selbst befürchtet, in die Haftungsfalle zu tappen, da viele einzelne Entwickler zu Gemeinschaftswerken beitrügen und alle für potenzielle Lücken geradestehen müssten. Die Free Software Foundation Europe (FSFE) beklagt: „Aufgrund des Mangels an Finanzmitteln und Ressourcen, um die vorgeschlagenen Verfahren zur CE-Konformität zu durchlaufen, müssen einige dieser Projekte möglicherweise vollständig eingestellt werden.“
Der EU-Ministerrat und der federführende Industrieausschuss des Europäischen Parlaments haben Mitte Juli zu dem Kommissionsvorschlag Position bezogen, sodass bald die Verhandlungen über einen finalen Kompromiss starten können. Die Mitgliedsstaaten plädieren etwa für eine vereinfachte Konformitätserklärung, mehr Unterstützung für kleine Unternehmen sowie eine Klarstellung der erwarteten Produktlebensdauer durch die Hersteller. Ausgenutzte Schwachstellen oder Sicherheitsvorfälle sollen zudem nicht an die ENISA, sondern an die zuständigen nationalen Behörden gemeldet werden müssen. Die Abgeordneten wiederum fordern präzisere Definitionen, praktikable Zeitpläne und eine gerechtere Verteilung der Verantwortlichkeiten. Andererseits drängen sie darauf, etwa auch Geräte fürs intelligente Heim, Smartwatches und private Sicherheitskameras in die Hochrisikokategorie aufzunehmen.
Dr. Stefan Krempl
Freier Journalist
sk@nexttext.de