Cyber Resilience Act: Sichere IoT-Geräte schwer zu entwerfen

Cybersecurity by Design soll helfen, potenzielle Einfallstore zu schließen

[datensicherheit.de, 16.09.2022] Nach eigenen Angaben hat die Europäische Kommission nach langen Diskussionen ihren Gesetzesentwurf zur Cyber-Resilienz vorgestellt. Der Entwurf zielt demnach darauf ab, einen globalen Standard zu schaffen, nach dem es verbindliche Anforderungen im Rahmen der Cyber-Sicherheit an Produkte mit sogenannten digitalen Elementen stellt – hierzu gehören nicht nur Smartphones, Software-Anwendungen oder Computer, sondern auch Autos, Türschlösser und Spielzeuge. Denn jedes Gerät mit einer Internetverbindung sei ein „Einfallstor für einen Cyber-Angriff”, warn EU-Binnenmarktkommissar Thierry Breton. Nun soll die Cyber-Sicherheit nach dem Prinzip „Cybersecurity by Design“ zum Bestandteil der Entwicklung von Produkten werden, um Verbraucher so noch besser vor möglichen Cyber-Attacken und den Missbrauch von Sicherheitslücken zu schützen. Daniel Markuson, Experte für Cyber-Sicherheit bei NordVPN, kommentiert den vorliegenden Gesetzentwurf in seiner aktuellen Stellungnahme:

Weltweit immer mehr Cyber-Angriffe

„Wir können diesen Gesetzesentwurf nur begrüßen, da er die Nutzer in einer Zeit schützen soll, in der es weltweit immer mehr Cyber-Angriffe gibt“, so Markuson. Die enorme Anzahl an unsicheren IoT-Geräten sei einer der Hauptgründe, „warum massive DDoS-Angriffe immer häufiger werden“.
Er führt aus: „Das Schlimmste war bisher, ohne wirkliche Gesetzgebung wirklich sagen zu können, wann die eingebauten Sicherheitslücken dieser Geräte verschwinden werden.“ Wenn dieses Gesetz verabschiedet wird, werde es sicherlich „ein echter Fortschritt für die Sicherheit der Nutzer“ sein.

Cyber-Sicherheitsfunktionen bisher offenbar keine Priorität

Markuson moniert: „Die Hersteller räumen den Sicherheitsfunktionen keine Priorität ein. Wenn man sich ein internetfähiges Gerät anschafft, dann wegen seiner Bequemlichkeit, und das haben die Hersteller verstanden.“
Bei der Erörterung Sicherheit oder Bequemlichkeit werden sich ein Hersteller wohl für den Vorteil entscheiden, „den der Kunde sofort sehen kann“. Dank eines solchen Gesetzes werde sich das Spiel nun sicherlich ändern.

Hersteller könnten Kosten zu Lasten der Cyber-Sicherheit senken

Er gibt indes abschließend zu bedenken: „Es sollte jedoch daran erinnert werden, dass sichere IoT-Geräte schwer zu entwerfen sind. Sie verfügen über begrenzten Platz, Speicher und/oder Rechenleistung für Sicherheitsfunktionen, so dass die Hersteller die Kosten senken könnten, indem sie die Cyber-Sicherheit nicht ausreichend berücksichtigen.
Die Ver- und Entschlüsselung sei ein anspruchsvoller Prozess. Die eigentliche Frage ist also laut Markuson: „Werden alle Hersteller wirklich mithalten können? Das wird nur die Zukunft zeigen!“

Weitere Informationen zum Thema:

Europäische Kommission, 15.09.2022
Kommission will Cybersicherheit von vernetzten Geräten erhöhen

datensicherheit.de, 16.09.2022
Cyber Resilience Act: TÜV-Verband fordert Nachschärfungen / EU-Vorschlag für verpflichtende gesetzliche Anforderungen hinsichtlich Cyber-Sicherheit von Hardware- und Software-Produkten vorgelegt

datensicherheit.de, 15.09.2022
Bitkom zum Cyber Resilience Act: Wichtiger Beitrag zur Stärkung der Cyber-Sicherheit / Indes Bitkom-Kritik an hohen bürokratischen Aufwand für Unternehmen