Kommentar zur IoT-Sicherheit: Europas Verordnung ist zahnlos

Bild: ec.europa.eu

Weil die Hersteller bei der IoT-Sicherheit versagen, müssen Gesetze her. Nur leider gerät die geplante EU-Verordnung zur Farce, kritisiert Mirko Ross.

Ein Kommentar von Mirko Ross

Mirko Ross ist CEO der digital worx GmbH, einem Software-Unternehmen für mobile Anwendungen. Seit 2017 ist er Mitglied der Experten-Gruppe für Sicherheit im Internet der Dinge der Europäischen Agentur ENISA.

Mit der geplanten EU-Verordnung zur „Zertifizierung der Cybersicherheit“ soll ein Augenmerk auf mehr Sicherheit um Internet der Dinge gelegt werden. Der Vorschlag zu Verordnung wurde im Europarat verabschiedet und liegt nun dem Europäischen Parlament vor. Bis Ende dieses Jahres soll er dort bestätigt werden und dann in allen Mitgliedstaaten der europäischen Union gelten. Wenn der Entwurf in seiner jetzigen Form das Parlament passiert, dann tritt eine zahnlose Verordnung in Kraft, die den aktuellen Missständen und zukünftigen Herausforderungen in puncto Verbraucherschutz und Sicherheit im Internet der Dinge nicht gerecht wird.

Zwar fordert die Neuregelung eine Sicherheitszertifizierung von vernetzen Produkten, allerdings wird diese nur für Produkte in kritischen Infrastrukturen verpflichtend sein. Für alle anderen Produkt gilt eine freiwillige Sicherheits-Zertifizierung in drei Stufen "niedrig“, "mittel oder "hoch“, die Hersteller mit unterschiedlichen Anforderungen durchlaufen können. Im Falle der niedrigsten Stufe dürfen Hersteller die Konformitätsbewertung selbst durchführen. Bewertet wird dabei beispielsweise die Abwehrfähigkeit gegenüber einem zufälligen oder böswilligen Verlust von Daten. Für die beiden nächsten Stufen „mittel“ und „hoch“ werden zusätzliche externe Audits gefordert.

Kein Anreiz für Hersteller

Diese Regelung ignoriert die Voraussetzungen, die zur derzeitigen fatalen Sicherheitssituation im Internet der Dinge geführt haben. Es gibt derzeit insbesondere für Hersteller von Endverbraucher-Produkte keine ökonomischen Anreize, eine nachhaltige Sicherheit über den Produktlebenszyklus zu gewährleisten. Produkte in dieser Kategorie werden mit einer höchstmöglichen Gewinnmarge zu einem meist einmaligen Verkaufserlös vermarktet. Das Einpreisen von Sicherheitsupdates über den Produktlebenszyklus verringert die Marge des Herstellers. Oder es führt zu einem Wettbewerbsnachteil, durch einen deutlichen erhöhten Verkaufspreis, eines meist schon deutlich teureren vernetzen Produkts.

In der Vorstellung der Macher der neuen Richtlinie können Hersteller sich über ein freiwilliges Zertifikat nun einen Vorteil verschaffen, wenn diese ihr Produkt nachweislich mit geregelten Sicherheitsmerkmalen ausstatten und den Verbraucher darauf hinweisen. In der Theorie des Europarates werden dann Verbraucher zu solch ausgezeichneten sicheren Produkten greifen. Doch werden sie das wirklich?

Geiz ist geiler als Sicherheit

Die "Geiz ist geil“-Realität der Verbraucherwelt zeigt immer wieder, dass günstige Produkte vor teureren gewählt werden. Zudem ist "Sicherheit“ ein abstrakter Begriff, den durchschnittliche Verbraucher nur schwer einschätzen können. Könnten Verbraucher tatsächlich eine sinnvolle Einschätzung treffen, dürften zahlreiche vernetzte Produkte nicht am Markt erfolgreich sein. Der App-gesteuerte Dildo mit Video-Chat-Funktion ist nur ein Beispiel dafür, wie ein Produkt sprichwörtlich in die Intimsphäre von Verbrauchern eindringt und diese in der Vergangenheit in puncto Cybersicherheit verletzt hat.

Hier ist der Gesetzgeber in der Pflicht, Verbraucher vor eigener Unwissenheit zu schützen. Nicht jeder ist ein IT Experte und nicht jeder kann die Komplexität und die Auswirkung eines vernetzen Produktes begreifen. Da hilft auch keine "Bildungsinitiative“, wie es von Verantwortlichen auf europäischer Ebene ins Spiel gebracht wird.

Verbindlichkeit statt Freiwilligkeit

Vielmehr benötigen wir eine Industrie, die sich ihrer Verantwortung und Pflicht im Bereich Cybersicherheit und Verbraucherschutz bewusst ist. Zwar gibt es dort ebenfalls Initiativen – beispielsweise die „Charter of Trust“ namhafter Industrieunternehmen, in der eine Selbstverpflichtung postuliert wird. Allerdings hat diese bislang vorwiegend Worte und wenig Taten vorzuweisen. In der Zwischenzeit überfluten täglich mehr unsichere Produkte unseren Markt.

Wenn Freiwilligkeit scheitert, dann muss eben Verbindlichkeit her. Genau das leistet die geplante EU-Verordnung nicht. Hersteller müssen zu verpflichtenden Maßnahmen zur Erhöhung der Cybersicherheit gezwungen werden. Das Problem ist komplex und sicherlich ist eine Verpflichtung zur Zertifizierung kein Allheilmittel. Aber diese wäre in deutlicheres Signal zur Änderung des unsicheren Status Quo. Außerdem erhöht eine solche Verpflichtung den Druck auf alle Beteiligten innerhalb der Lieferkette komplexer vernetzter Produkte. Simple Sicherheitslücken wie Backdoor-Passwörter und hoffnungslos veraltete Linux-Versionen können leicht in jedem Audit erkannt werden.

Sicher, dass überhaupt im Europa-Parlament über eine Vorlage für mehr IoT-Sicherheit abgestimmt wird, ist schon zu begrüßen. Nun gilt es eben, die sehr schwache Vorlage des Europäischen Rates im parlamentarischen Prozess stärken. Das ist auch eine Aufgabe für die Gemeinde der IT- und Sicherheitsexperten: Parlamentarier des Europaparlamentes müssen über die anstehenden Probleme mit der Verordnung aufgeklärt werden. Wir sollten sie auffordern, die Verordnung nachzubessern und Hersteller verpflichtend in Verantwortung zu nehmen. Denn der Staat muss endlich Zähne zeigen. (axk)

102 Kommentare
Nach oben ↑