Die Hersteller vernetzter Produkte tun zu wenig, um ihre Kunden vor Hackerangriffen zu schützen, kritisiert die EU-Kommission. Sie will die Unternehmen deshalb jetzt in die Pflicht nehmen und droht mit hohen Strafen.
Der Schaden durch Cyberangriffe hat 2021 auf der Welt ein Volumen von 5,5 Billionen Euro erreicht. Dennoch tun die Hersteller internetfähiger Fernseher, Kühlschränke oder auch Maschinen nach wie vor viel zu wenig, um das Risiko zu verringern, dass von ihrer Hard- oder Software eine Gefahr für die Nutzer ausgeht. Zugleich fehlen Nutzern oft die nötigen Informationen, um sich für Cyberangriffe zu wappnen.
Wie groß die davon ausgehende Gefahr ist, haben Ransomware-Angriffe wie WannaCry und Ryuk gezeigt. Ein anderes Beispiel ist der Hackerangriff auf den amerikanischen IT-Dienstleister Kaseya, der 2021 mehr als 1500 Unternehmen auf der Welt betraf und zur Schließung einer ganzen Supermarktkette führte.
Die Europäische Kommission will deshalb nun die Hersteller aller vernetzter Geräte verpflichten, die von ihnen eingesetzte Hard- und Software umfassend auf ihre Anfälligkeit für Cyberangriffe zu testen. Bisher gibt es dafür nur Vorgaben für einzelne Branchen wie die Luftfahrt oder Medizinprodukte. Ohne entsprechende Sicherheitszertifikate sollen die vernetzten Produkte nicht mehr auf dem europäischen Binnenmarktmarkt verkauft werden können. Das geht aus einem Entwurf für ein neues Cyberresilienzgesetz hervor, das die Kommission an diesem Dienstag vorlegen will. Der Entwurf liegt der F.A.Z. vor.
Software-Updates und Informationspflichten
Die Hersteller sollen darüber hinaus für fünf Jahre oder – falls diese darunter liegt – über die „Lebenszeit“ der Produkte hinweg automatische und kostenlose Software-Updates bereitstellen, so wie das jeder Handynutzer kennt. Vom Fehlen regelmäßiger Updates geht nach Ansicht von Fachleuten eine große Gefahr aus. So nutzen Hacker nach Studien in zwei Dritteln der Angriffe Sicherheitslücken, die schon seit Langem bekannt waren und durch ein Update hätten geschlossen werden können.
Die Unternehmen sollen die Behörde zudem innerhalb von 24 Stunden informieren, wenn sie Sicherheitslücken entdecken, die von Hackern genutzt werden. Verstöße gegen die Vorgaben sollen Sanktionen in Höhe von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes nach sich ziehen – je nachdem, was höher ist.
Die Produkte sollen nach dem Willen der Europäischen Kommission in zwei Risikokategorien eingeteilt werden, für die dann entsprechend unterschiedlich hohe Anforderungen für die Cybersicherheit gelten sollen. So muss die Sicherheitsbewertung von besonders kritischen Geräten von dritter Seite überprüft werden. Dazu gehören nach dem Entwurf Betriebssysteme für Server, Desktop- und Mobilgeräte, die Aussteller digitaler Zertifikate, Modems und Router sowie Sicherungssysteme (Firewalls) für die industrielle Nutzung, Lesegeräte für digitale Ausweise und intelligente Stromzähler sowie diverse Anwendungen, die für die vernetzte Produktion (Industrie 4.0) eine wichtige Rolle spielen.
Die Kommission beziffert die Kosten für die Einhaltung der neuen Vorgaben nach dem Entwurf auf 29 Milliarden Euro im Jahr bei einem jährlichen Umsatz von 1,485 Billionen Euro. Dem stehe aber ein Schaden von 180 bis 290 Milliarden Euro gegenüber, der den Unternehmen in der EU erspart werden könne, weil sie weniger Cyberangriffen ausgesetzt seien. Damit der Vorschlag in Kraft treten kann, müssen ihm das Europäische Parlament und der Ministerrat der Mitgliedstaaten noch zustimmen.
https://www.faz.net/aktuell/wirtschaft/eu-kommission-will-industrie-besser-vor-hackern-schuetzen-18308938.html
