Intelligente Produkte in unserem Alltag
Intelligente Produkte sind aus unserem täglichen Leben nicht mehr wegzudenken. Stellen Sie sich vor, Ihr Türschloss lässt sich bequem per Smartphone öffnen, Ihr Temperatursystem passt sich automatisch Ihren Gewohnheiten an, Ihr Geschirrspüler startet zur optimalen Zeit, und Ihre Überwachungskamera informiert Sie sofort, wenn etwas Ungewöhnliches geschieht. Diese Geräte bieten nicht nur Komfort, sondern auch ein erhöhtes Maß an Sicherheit und Effizienz. Doch was geschieht, wenn diese Systeme aufgrund von Sicherheitslücken anfällig für Cyberangriffe sind? Hacker könnten beispielsweise Ihr Türschloss manipulieren, Ihr Temperatursystem steuern oder Ihre Überwachungskamera ausschalten. Solche Szenarien sind nicht nur ärgerlich, sondern können auch gefährlich sein nicht nur für Privatpersonen, sondern auch für Unternehmen.
Problem: Unzureichende Kenntnis der Hersteller
Viele Hersteller kennen ihre Produkte in Bezug auf Design und Funktionalität sehr gut, aber ihre Kenntnisse im Bereich Cybersicherheit sind oft lückenhaft. Cybersicherheit wird häufig als nachträglicher Gedanke behandelt und nicht von Anfang an in den Entwicklungsprozess integriert. Dies führt dazu, dass viele Produkte mit bekannten oder ausnutzbaren Schwachstellen auf den Markt kommen. Doch sollte es nicht selbstverständlich sein, dass Produkte ohne Sicherheitslücken verkauft werden? Leider wurde das Risiko durch Cyberangriffe lange Zeit unterschätzt und als letztes auf einer langen Liste von To-Dos gesehen. Dies ändert sich nun durch neue Gesetzgebungen, die Cybersicherheit in den Vordergrund rücken.
In diesem Beitrag wird beleuchtet, was der Cyber Resilience Act (CRA) ist, warum er notwendig ist, wer ihn umsetzen muss und welche Maßnahmen erforderlich werden.
Cyber Resilience Act: Ein Überblick
Der Cyber Resilience Act der EU setzt einen neuen Standard: Es dürfen keine Produkte, welche bekannte Sicherheitslücken enthalten, auf den EU-Markt gebracht werden. Zu den häufigsten Sicherheitslücken zählen fehlerhafte Zugriffskontrollen. Dadurch kann unbefugter Zugriff auf Daten ermöglicht werden. Ein weiteres Problem sind Fehler bei der Verschlüsselung und das bedeutet, dass vertrauliche Daten offengelegt werden können. Schließlich gibt es noch unsichere Konfigurationen, die zu Schwachstellen im System werden können. Das ist vergleichbar mit einem Haus, bei dem die Fenster nicht richtig verriegelt sind – ein Einbrecher oder in dem Fall ein Hacker kann leicht hineingelangen.
Somit ist es ein wichtiger Schritt, dass diese Standards für alle Produkte mit digitalen Elementen, die in der EU verkauft werden, einschließlich Hardware, Software und IoT-Geräte, bald gelten. Bei Verstößen drohen empfindliche Strafen. Diese Gesetzgebung soll sicherstellen, dass Produkte mit digitalen Funktionen sicher in der Anwendung, widerstandsfähig gegen Cyber-Bedrohungen sind und ausreichend Informationen über ihre Sicherheitseigenschaften bieten. Die besondere Herausforderung: Bereits bei der Entwicklung solcher Produkte müssen Unternehmen künftig Cybersicherheitsaspekte berücksichtigen.
Wer muss den Cyber Resilience Act umsetzen?
Der Cyber Resilience Act betrifft Hersteller, Verkäufer und Importeure von Produkten mit digitalen Funktionen. Sie sind verantwortlich dafür, dass ihre Produkte keine bekannten Sicherheitslücken aufweisen. Im Besonderen sind Hersteller dazu verpflichtet, regelmäßig Sicherheitsupdates bereitzustellen.
Was ist zu tun?
Der CRA legt grundlegende Sicherheitsanforderungen fest, die Produkte erfüllen müssen. Dazu gehören Schutz vor unbefugtem Zugriff, Integrität und Vertraulichkeit von Daten. Um den Anforderungen des Cyber Resilience Act gerecht zu werden, müssen Hersteller und Inverkehrbringer mehrere Maßnahmen ergreifen:
- Eigene Produkte prüfen: Unternehmen müssen ihre Produkte auf Schwachstellen prüfen, einschließlich der Suche nach unbekannten Sicherheitslücken.
- Überwachung: Kontinuierliche Überwachung der Produkte auf neue Bedrohungen und Schwachstellen ist erforderlich.
- Dokumentation: Unternehmen müssen umfassende Dokumentationen ihrer Cybersicherheitsmaßnahmen führen.
- Meldepflichten: Bekannte Sicherheitslücken müssen gemeldet und öffentlich gemacht werden.
- Konformitätsbescheinigungen: Hersteller müssen Konformitätsbescheinigungen für ihre Produkte vorlegen können.
- Pflichtenkatalog: Ein umfassender Pflichtenkatalog, abhängig vom potenziellen Risiko des Produktes, muss erfüllt werden.
Fazit zum Cyber Resilience Act
Der Cyber Resilience Act ist ein entscheidender Schritt hin zu sichereren intelligenten Produkten in der EU. Der CRA wurde am 12.03.2024 vom Europaparlament verabschiedet und Unternehmen haben nach Inkrafttreten 36 Monate Zeit die Vorgaben umzusetzen. Hersteller und Inverkehrbringer müssen bis zur Umsetzungsfrist des Gesetzes handeln, um sicherzustellen, dass ihre Produkte den neuen Anforderungen entsprechen. Andernfalls drohen empfindliche Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des Jahresumsatzes.
Durch den Cyber Resilience Act wird Cybersicherheit nicht länger als nachträglicher Gedanke behandelt, sondern wird zu einem integralen Bestandteil der Produktentwicklung. Dies stellt sicher, dass die intelligenten Produkte, die wir in unserem Alltag nutzen, sicher und widerstandsfähig gegen Cyber-Bedrohungen sind, aber dafür müssen Unternehmen jetzt handeln und ihre Risiken der Produkte kennen.
Der CRA ergänzt andere EU-Gesetze wie die NIS2-Richtlinie, die spezifische Anforderungen an die Cybersicherheit kritischer Infrastrukturen stellt, und den Digital Operational Resilience Act (DORA), der die digitale Betriebssicherheit im Finanzsektor regelt. Wenn Sie weitere Gesetze aus der Cybersicherheit interessieren, verfolgen Sie einfach die weiteren Blogbeiträge, die diese neuen Gesetzgebungen und deren Bedeutung genauer erläutern.
Autorin
Sophie Powierski
Sophie ist als Compliance-Beraterin bei der BREDEX tätig. Neben Daten- und Hinweisgeberschutz setzt sie sich mit neuen Gesetzen auseinander und versucht diese den Kunden oder eigenen Kollegen näherzubringen.
Jobs
Ihre Ansprechpartnerin
Gerne erzählen wir Ihnen mehr zu diesem Thema.
