Mit dem Cyber Resilience Act plant die EU stärkere Sicherheitsmaßnahmen in vernetzten IT-Infrastrukturen (IoT, OTA-Automation, OT-Security etc.).

Im Newsletter-Beitrag beurteilt Cybersecurity-Experte Mirko Ross von der Stuttgarter asvin GmbH die geplanten Maßnahmen sowie die Auswirkungen auf die Industrie.

Die EU-Kommission will die Sicherheit von IT-Produkten erhöhen und hat dazu Anfang September  den „Cyber Resilience Act“ vorgelegt. Mit dieser Gesetzesinitiative dürfen Hersteller zukünftig in der EU nur noch IT-Produkte auf den Markt bringen, die bestimmte Sicherheitsstandards erfüllen. Mittels „Security by Design“ soll die Sicherheit digitaler Komponenten wie IoT-Geräte von Anfang an verankert und durch kontinuierliche Maßnahmen wie Updates über den gesamten Lebenszyklus des Produkts gewährleistet werden können. Zu den weiteren Maßnahmen gehören Transparenzregeln, die Konsumenten jederzeit Einblick in das Sicherheitsniveau gewährleisten sollen.

Das Vorhaben, die IT-Sicherheit vernetzter Geräte zu erhöhen, wird allgemein begrüßt. Doch es gibt an dem Entwurf auch von verschiedenen Seiten Kritik. Verbraucherschützer bemängeln beispielsweise eine fehlende Überprüfung der geplanten Maßnahmen. Bei Wirtschaftsvertretern stößt hingegen etwa die zweijährige Übergangsfrist auf Kritik, da diese für viele Produktentwicklungszyklen zu kurz sei.

Die Hersteller von Security-Lösungen stimmt der Cyber Resilience Act tendenziell euphorisch.   Wir bei asvin.io bleiben da eher sachlich. Wir haben diese Verordnung nicht bestellt, aber erwartet. Und wir begrüßen sie sehr, und zwar aus einer übergeordnet wirtschaftlichen Sicht. Natürlich nützt eine Sicherheitsverordnung einem Sicherheitsanbieter. Viel wichtiger aber ist, dass die EU endlich dafür sorgt, dass die bisher oft vernachlässigte IoT-Sicherheit jetzt realisiert werden muß.

Worum es es bei dieser neuen Gesetzesinitiative geht, und welche Maßnahmen darin vorgesehen sind.

Die EU sieht unter anderem ein Verbot vor, Produkte mit bekannten Sicherheitslücken überhaupt auf den Markt zu bringen. Geplant sind deutlich sicherere Standardkonfigurationen, um Schutz vor unbefugtem Zugriff zu geben. Zudem sollen Produkte die Vertraulichkeit der Daten gewährleisten, einschließlich der Verwendung von Verschlüsselung. Des Weiteren sollen nur Daten verarbeitet werden dürfen, die für das Funktionieren einzelner Geräte unbedingt erforderlich sind. Nicht zuletzt sollen Hersteller dazu verpflichtet werden, auftretende Schwachstellen in ihren Produkten durch regelmäßige Tests zu ermitteln und sie unverzüglich zu beheben.

Warum die Regulierung jetzt kommt.

Um den Prozess des neuen Cyber Resilience Act zu verstehen, ist es wichtig, das "Big Picture" der Kommission in Bezug auf Cybersicherheit und den Schutz des europäischen digitalen Binnenmarktes zu verstehen. Dieses Gesetz ist ja nur ein Baustein von mehreren Regulierungsinitiativen der Kommission, mit denen sie die europäische Gesellschaft vor den negativen Auswirkungen der fortschreitenden digitalen Technologie, der vernetzten Wirtschaft und den geopolitischen Interessen schützen will. Die Angriffsfläche durch vernetzte Geräte und Dienste stand bereits im Fokus früherer Gesetzesinitiativen der EU-Kommission, z. B. durch den Cybersecurity Act. Aber da gelang es nicht, eine breite Zustimmung seitens der Mitgliedstaaten und der Industrie zur Umsetzung strikter Sicherheitsmaßnahmen zu bekommen. Infolgedessen wurde Cybersicherheit für  den IoT-Sektor vorwiegend als freiwillige Maßnahme durch die Industrie vorgesehen und nur eine kleine Anzahl von Produkten und Diensten im Bereich der Kritischen Infrastruktur dazu verpflichtet, Cybersicherheitsstandards und -prozesse einzuführen. In der Realität einer vollständig vernetzten digitalen Gesellschaft gibt es jedoch keine klare Trennung mehr zwischen "kritischen" und nicht "kritischen" Infrastrukturen. So lassen sich beispielsweise besagte Botnetze aus gekaperten, vernetzten Haushaltsgeräten dazu verwenden, die Kommunikation mit kritischen vernetzte Anlagen zu stören oder durch eine koordinierte Überlastung direkt das Energienetz zum Blackout zu zwingen.

Wie der Gesetzgebungsprozess vonstatten geht und wann das neue Gesetz in Kraft tritt.

Die Europäische Kommission hat in diesem Frühjahr damit begonnen, alle Stakeholder über Konsultationen einzubeziehen, um Feedback zu dem geplanten neuen Rechtsakt zu bekommen.  Hier geben Wirtschaftsverbände, NGOs, grosse Unternehmen und Verbraucherschutz einen ersten Input zur Abschätzung der Folgen. Im nächsten Schritt wird im Herbst diesen Jahres ein Entwurf veröffentlicht, der dann mit den Mitgliedstaaten verhandelt wird, um vom Europäischen Rat genehmigt zu werden. Nach der Zustimmung des Rates, also aller Mitgliedstaaten der EU, wird das Gesetz vom Präsidenten der Europäischen Kommission unterzeichnet und damit sofort Rechtswirksam für die gesamte EU in Kraft gesetzt. Nach der Verabschiedung wird die Industrie möglicherweise einen Zeitrahmen von 12-24 Monaten erhalten, um sich an das neue Gesetz anzupassen.

Welche politische Dimension dieses Projekt hat.

Schon in ihrer Rede zur Lage der Union 2021 kündigte die Kommissionspräsidentin Ursula von der Leyen an, die Anstrengungen für die Cybersicherheit in Europa zu verstärken. Dabei nannte sie das Internet der Dinge als ein Element, das die Angriffsfläche auf Wirtschaft und Gesellschaft vergrößert und das durch neue Maßnahmen zur Cybersicherheit geschützt werden müsse.  Von der Leyen sprach in diesem Zusammenhang von einer neuen europäischen Cyberverteidigungspolitik und positioniert damit Cybersicherheit als ein zentrales Anliegen von geopolitischer Bedeutung für die EU. Jetzt macht die Kommission bei der Ausarbeitung des neuen Rechtsakts Druck. Jüngste Leaks zeigen die enorm schädlichen Auswirkungen auf vernetzte Geräte und das Internet der Dinge. Um das einzudämmen, legt die EU nun das große Besteck auf den Tisch:

Welche Sanktionen der Cyber Resilience Act vorsieht.

Um die Industrie zur Einhaltung der neuen Vorschriften zu zwingen, sieht das Gesetz Strafen in Höhe von bis zu 15 Millionen Euro oder 2,5 Prozent des Jahresumsatzes bei Nichteinhaltung vor.

Warum anzunehmen ist, dass Industrieunternehmen den Ernst der Lage verstehen und mitziehen.

Mit Thierry Breton verfügt die Kommission über einen profunden Kenner der digitalen Technologie an der Spitze der Kommissionsverwaltung für den Binnenmarkt. Bevor er Kommissar wurde, war Breton CEO von ATOS, einem Unternehmen mit 112.000 Mitarbeitern, das sich auf IT-Dienstleistungen, digitale Transformation und Cybersicherheit konzentriert. Breton ist sich der Schwachstellen des digitalen Binnenmarktes sehr bewusst. Das neue Gesetz wurde unter seiner Leitung entworfen und trägt seine Handschrift. Das macht Mut.

Welche Widerstände seitens der Wirtschaft zu erwarten ist.

Es gibt drei Gruppierungen mit eigenen Herausforderungen: 1. wird Gegenwehr von den Unternehmen kommen, die IT-Sicherheit bisher nicht ernst genommen haben und jetzt nachbessern müssen. Das kostet sie viel Zeit und Geld, das sie bisher nicht eingepreist haben und nun einpreisen müssen. 2. Gruppe sind Start-up´s. Diese haben jetzt zusätzliche Kosten, was ihre Innovationsfähigkeit beschränkt. Und auch sie verlieren Zeit, was ihre Innovationsgeschwindigkeit ebenfalls dämpft. 3. haben wir Unternehmen, die durchaus auf IT-Sicherheit Wert legen und das auch gut können. Aber die werden gebremst, weil schlicht Zertifizierer fehlen. Davon gibt es schon jetzt viel zu wenig.

Was asvin anbietet, um der neuen Herausforderung Herr zu werden.

Wir produzieren KI- und Blockchain-basierende Cybersicherheits-Software. Sie versetzt Unternehmen aus der Automobilindustrie und aus weiteren Branchen in die Lage,  ihre IoT-Umgebungen Hackerfest zu machen. Mit unseren Lösungen können alle, die das wollen, genau die jetzt eingeforderten rechtlichen Anforderungen erfüllen und nachweisen. Wir können Software-Schwachstellen mit KI- und Blockchain-Technik eindeutig identifizieren, die Software-Lieferkette absichern, und IoT-Geräte mit Patches und Updates versorgen. Alles rechtskonform und so wasserdicht, dass Aufsichtsbehörden zufrieden sind. Zudem schützen wir vor Manipulationen, weil alle Geräte, jede Software und sämtliche Prozesse über eindeutige digitale Fingerabdrücke identifiziert werden.

Weiterführende Links:

• EU-Seite: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
• Im Automobilsektor ist und wird IoT-Security besonders wichtig. Die asvin-Lösung hier: https://asvin.io/industries/automotive/