Dem Internet der Dinge fehlen horizontale Cybersicherheitsstandards

Als Reaktion auf die wachsende Bedrohung empfiehlt DigitalEurope der Kommission, horizontalen Rechtsvorschriften Vorrang einzuräumen. Man müsse eine möglichst enge Verbindung zwischen dem Recht und technischen Standards ermöglichen. [Shutterstock / KanawatTH]

Der Branchenverband DigitalEurope hat am Mittwoch (8. September) in einem Bericht das Fehlen grundlegenden Cybersicherheitsanforderungen hervorgehoben. Die bestehenden Vorschriften seien unzureichend und es brauche eine horizontale Regulierung. Die EU arbeitet derzeit an der Aktualisierung ihrer Cybersicherheitsvorschriften.

Die Anfälligkeit für Cyberangriffe nimmt zu, denn die Zahl der über das Internet der Dinge (IoT) vernetzten Geräte in Haushalten und im täglichen Leben der Menschen steigt rapide.

Ein kürzlich durchgeführter Test von ethischen Hackern bei Euroconsumers ergab, dass eine alarmierend hohe Anzahl von alltäglichen Smart-Home-Geräten schwerwiegende Schwachstellen aufweisen. Geräte wie WiFi-Router, Babyfone und Alarmsysteme sind daher anfällig für sehr heikle Angriffe.

Laut dem Bericht von DigitalEurope sind die bestehenden Produktvorschriften jedoch unzureichend, wenn es um die Cybersicherheit geht.

„Da ihr Anwendungsbereich und ihre Konformitätsbewertungsmethoden im Allgemeinen auf die physischen Produktfunktionen ausgerichtet sind, können die bestehenden Produktvorschriften administrative oder organisatorische Aspekte nicht angemessen berücksichtigen, die bei einer größeren Anzahl von Gerätetypen eine Rolle spielen“, heißt es in dem Bericht

Im Dezember letzten Jahres hat die Europäische Kommission im Rahmen ihrer neuen EU-Cybersicherheitsstrategie die erste EU-weite Rechtsvorschrift zu diesem Thema vorgelegt. Es handeltet sich dabei um einen Vorschlag zur Überarbeitung der Cybersicherheitsstandards, die in der Richtlinie zur Netz- und Informationssicherheit (NIS) festgelegt sind.

Die neue Rechtsvorschrift, die so genannte NIS2, soll ihren Vorgänger in Bezug auf Regelungsumfang und -volumen verstärken und erweitern. Sie ist eine Reaktion auf die allgemeine Zunahme von Cyber-Bedrohungen, aber auch auf die wachsende Verwundbarkeit durch die pandemiebedingte Zunahme der Abhängigkeit von Netz- und Informationsdiensten.

Der derzeitige Stand der Cyber-Resilienz ist ein „Teufelskreis“ aus Bewältigung der Folgen und Eindämmung der Bedrohungen, der das „Vertrauen in das digitale Ökosystem zu untergraben droht und uns daran hindert, die Vorteile der Technologie voll auszuschöpfen“, warnte Klara Jordan, Chief Public Policy Officer am Cyber Peace Institute des Atlantic Council, kürzlich auf einer Konferenz zur Cybersicherheit.

Harmonisierte und horizontale Maßnahmen

Die für den Bericht von DigitalEurope befragten Expert:innen warnten mit überwältigender Mehrheit, dass sich die Cybersicherheit nicht ausschließlich oder erstrangig auf produktbezogene Merkmale wie Passwörter konzentrieren sollte.  Sie betonten stattdessen, dass für einen ausreichenden Schutz auch organisatorische Anforderungen berücksichtigt werden müssen.

Der Bericht stellt fest, dass die derzeitigen EU-Produktvorschriften auf physisch überprüfbaren Faktoren beruhen. Dazu gehören beispielsweise die elektrischen Eigenschaften eines Produkts oder die Materialien, aus denen es besteht. Die Vorschriften lassen sich allerdings nicht angemessen auf etwas Immaterielles wie die Cybersicherheit anwenden.

Dazu kommt, dass Produkte derzeit nur in dem Moment überprüft werden, in dem sie auf den Markt gebracht werden. Es besteht jedoch kein Raum für eine kontinuierliche Überwachung während des gesamten Lebenszyklus des Produktes. Das wäre jedoch notwendig, um den sich entwickelnden Bedrohungen und Schwachstellen der Cybersicherheit gewachsen zu sein.

Allgemein besteht ein hoher Anteil gemeinsamer grundlegender Anforderungen von Produkten und Organisation an die Cybersicherheit. Die von DigitalEurope Befragten waren sich daher einig, dass die Festlegung dieser Anforderungen für vernetzte Geräte von entscheidender Bedeutung für die Gewährleitung ihrer allgemeinen Sicherheit ist.

Die Einführung einer horizontalen Regulierung in diesem Bereich, so der Bericht, sei ein wichtiger Weg, um eine ausreichende Verbindung zwischen Gesetzgebung und Normen zu gewährleisten und die Anforderungen zwischen verschiedenen Produkten und in verschiedenen Bereichen zu harmonisieren.

Der Bericht beschreibt die Einführung einer horizontalen Regulierung in diesem Bereich als einen wichtigen Weg. So könnte man eine ausreichende Verbindung zwischen Gesetzgebung und Normen gewährleiten und die Anforderungen zwischen verschiedenen Produkten und in verschiedenen Bereichen harmonisieren. Die bestehenden Produktvorschriften seien unzureichend, so der Bericht.

Die geforderte Art von horizontaler Gesetzgebung wird zwar dringend benötigt, passe aber nicht in den aktuellen NIS2-Vorschlag, erklärte Bart Groothuis, der Berichterstatter für die NIS2-Richtlinie, gegenüber EURACTIV. Er habe dieses Thema bereits bei mehreren Gelegenheiten mit der Kommission angesprochen.

„Die EU-Cybersicherheitsstrategie wäre ohne eine solche horizontale Gesetzgebung unvollständig“, sagte er. „Die Kommission sollte so schnell wie möglich Vorschläge vorlegen.“

Wenn bestehende Produktvorschriften für die Cybersicherheit verwendet werden, so DigitalEurope, sollten sie auf grundlegende Anforderungen beschränkt werden. Sobald horizontale Vorschriften in Kraft treten, sollten sie aufgehoben werden.

Hackable Homes

Die Untersuchung von Euroconsumers zeigt, wie sich diese Risiken für die Verbraucher auf einer sehr persönlichen Ebene auswirken können.

Im Rahmen ihres Projekts „Hackable Home“ testeten zwei ethische Hacker 16 weit verbreitete Smart-Home-Geräte bekannter und weniger bekannter Hersteller. Sie entdeckten insgesamt 54 Schwachstellen. Bei zehn der getesteten Geräte wurde mindestens eine der entdeckten Schwachstellen als „hochgradig“ oder „kritisch“ eingestuft.

„Die Ergebnisse sind alarmierend“, sagte Els Bruggeman, Euroconsumers‘ Leiterin für Politik und Durchsetzung. „Die Hersteller müssen mehr tun. Dies ist von entscheidender Bedeutung, um das Vertrauen der Verbraucher zu gewinnen, damit das gesamte Ökosystem des Internets der Dinge gedeihen kann. Wenn es nicht sicher und geschützt ist, wird es nicht funktionieren.

Die Ergebnisse spiegeln die potenziellen Risiken vieler derzeit auf dem Markt befindlicher intelligenter Heimgeräte wieder, zu denen auch andere Gruppen und Experten Bedenken äußern. In vielen Fällen erweisen sich Passwörter als Schwachstelle. Das gilt vor allem dann, wenn die Geräte mit Standard-Anmeldedaten aus der Herstellung geliefert werden, die die Nutzer:innen oft nicht ändern.

Eine Studie der britischen Verbrauchergruppe Which? untersuchte Anfang des Jahres Versuche, sich mit schwachen Standard-Benutzernamen und -Passwörtern in einem gefälschten „Smart Haus“ anzumelden. Sie entdeckten 2.435 missbräuchliche Versuche, im Laufe von nur einer Woche.

[Bearbeitet von Luca Bertuzzi/Zoran Radosavljevic]

Subscribe to our newsletters

Subscribe