Das Internet of Things, kurz als IoT bezeichnet, gewinnt nicht nur in den Unternehmen zunehmend an Bedeutung. Auch in der Stadt- und Gemeindeverwaltung im Sektor Smart City werden vermehrt IoT-Produkte eingesetzt. Das Gleiche gilt für private Wohnungen. Auch dort sind viele Küchengeräte sowie Spielzeuge für Kinder mit WLAN ausgestattet. Aufgrund der vermehrten Nutzung hat die Europäische Kommission den Cyber Resilience Act verabschiedet.
Cyber Resilience Act für sichere IoT-Produkte
Die hohe Anzahl an unterschiedlichen IoT-Produkten stellt eine Gefährdung für die Sicherheit dar. Das optimal geschützte Netzwerk in der Wohnung nützt beispielsweise nicht viel, wenn sich ein Krimineller über den WLAN-Toaster unbemerkt in das Heimnetzwerk einhacken kann. Von dort aus gelingt es den Tätern dann, unbemerkt Webcams oder Telefone einzuschalten. Damit könnten die Bewohner ohne großen Aufwand ausspioniert werden.
Mitunter gelingt den Kriminellen sogar der Zugriff auf die Endgeräte, die im jeweiligen WLAN angemeldet sind. Dann könnten sie trotz guter Sicherheitsmaßnahmen an Zugangsdaten oder Kreditkartendaten gelangen. Deshalb sieht die Europäische Kommission einen dringenden Handlungsbedarf.
In zahlreichen produzierenden und verarbeitenden Betrieben befinden sich ebenfalls IoT-Produkte, die untereinander Daten austauschen. Deshalb müssen auch dort Sicherheitsstandards eingeführt werden. Mit dem Cyber Resilience Act hat die Europäische Kommission darauf reagiert.
Was ist in der Cyber Resilience Act festgelegt?
Es geht darum, dass die Europäische Union Richtlinien für die Sicherheit aller IoT-Produkte festgelegt hat. Die Hersteller von Komponenten für das Internet der Dinge werden verpflichtet, für die Sicherheit in allen Phasen der Entwicklung und Herstellung zu sorgen. Es beginnt bereits bei der Planung und Entwicklung neuer Produkte. Dann geht es über die Produktion sowie die Weiterverarbeitung oder Veredelung.
Sämtliche Schritte bis hin zur Auslieferung an die Kunden sollten überwacht werden. Auf diese Weise können Schwachstellen früh erkannt und behoben werden. Zudem gibt es eine Verpflichtung für die Wartung und Pflege der IoT-Produkte. Dabei geht es hauptsächlich um Updates. Diese sollen für jedes Produkt für einen Zeitraum von mindestens fünf Jahren zur Verfügung gestellt werden.
Es gibt drei Sicherheitsklassen
Im Cyber Resilience Act wurde selbstverständlich berücksichtigt, dass es große Unterschiede bei den Sicherheitsanforderungen gibt. Deshalb wurden drei unterschiedliche Sicherheitsstufen eingerichtet. Die einfachste Stufe wird „Standard“ bezeichnet. Zu dieser Stufe gehören IoT-Geräte, die keinen besonderen Sicherheitsrisiken ausgesetzt sind. Dazu gehören unter anderem Haushaltsgeräte und Kinderspielzeuge.
Zur „Ersten kritischen Klasse“ gehören schon wichtigere Komponenten. Dabei kann es sich um Passwortmanager oder Firewalls handeln. Bei Komponenten dieser Klasse müssen sich die Endanwender selbst um die erforderliche Sicherheit kümmern. Können sie diese Vorgabe nicht erfüllen, gibt es eine Verpflichtung, externe Unternehmen damit zu beauftragen.
Zudem hat die Europäische Kommission die „Hochrisikoklasse“ eingerichtet. Dabei handelt es sich um die höchste Stufe. Darin enthalten sind neben der in Unternehmen eingesetzten Sicherheitssoftware auch die Betriebssysteme. Im Cyber Resilience Act ist festgelegt, dass IoT-Produkte in der höchsten Stufe von Drittanbietern getestet werden müssen.
Mit dem Cyber Resilience Act möchte die Europäische Kommission erreichen, dass IoT-Produkte grundsätzlich einen hohen Sicherheitsstandard erfüllen. Nicht nur Unternehmen leiden unter Cyberattacken. Letztendlich spüren auch alle Verbraucher die Folgen.
