Die EU-Kommission will die Sicherheit von Geräten verbessern, die mit Funktechnik ausgestattet sind. Dazu hat sie einen sogenannten delegierten Rechtsakt für die Funkanlagenrichtlinie erlassen. Dies bedeutet, dass die Kommission die Umsetzung der Richtlinie in kurzer Zeit durchdrücken möchte. Sie soll etwa für Mobiltelefone, Tablets, Babymonitore, Smartwatches, Fitness-Tracker und ähnliche IoT-Gadgets greifen, die drahtlos über das Internet kommunizieren können.

Die EU-Kommission formuliert folgende Ziele für die Funkanlagenrichtlinie:

Netzstabilität verbessern

Verbesserung des Schutzes der Privatsphäre

Betrugsrisiko verringern

Dazu sollen die drahtlosen Geräte künftig Funktionen aufweisen, die die Schädigung von Kommunikationsnetzen vermeiden und etwaige Störungen von Websites oder anderen Diensten verhindern. Zudem müssen sie den Schutz persönlicher Daten gewährleisten, insbesondere soll der Schutz der Rechte von Kindern wesentlicher Bestandteil der Rechtsvorschrift werden. Um das Betrugsrisiko bei elektronischen Zahlungen zu verringern, sollen die Geräte eine bessere Kontrolle der Benutzer-Authentifizierung sicherstellen.

Die Richtlinie soll ein noch nicht näher erläutertes Gesetz zur Cyber-Widerstandsfähigkeit ergänzen, das Kommissionspräsidentin von der Leyen in ihrer kürzlich gehaltenen Rede zur Lage der Union angekündigt hat. Darunter sollen dann noch mehr Produkte fallen und deren kompletter Lebenszyklus berücksichtigt werden. Beide Maßnahmen lassen sich der Umsetzung der im Dezember 2020 angekündigten EU-Cybersicherheitsstrategie zuordnen.

Studienlage zeigt Handlungsbedarf

Die EU-Kommission hat Handlungsbedarf erkannt, da verschiedene nationale Behörden und Studien der Kommission festgestellt hätten, dass es bei immer mehr drahtlosen Geräten zu Cyber-Sicherheitsrisiken kommen könne. Die Studien zeigten etwa Risiken von Spielzeugen auf, die Handlungen oder Gespräche von Kindern ausspionierten. Außerdem seien personenbezogene Daten, auch Zahlungsinformationen, auf den Geräten teils unverschlüsselt gespeichert und leicht zugreifbar. Weiterhin warnten die Studien vor Geräten, die Netzressourcen missbrauchen und deren Kapazität verringern können – eine etwas hakelige Umschreibung für Distributed Denial of Service-Angriffe (DDoS) etwa durch Internet-of-Things-Geräte.

Wenn EU-Parlament und EU-Rat keine Einwände erheben, tritt solch ein delegierter Rechtsakt in zwei Monaten in Kraft. Es handelt sich dabei nicht lediglich um Empfehlungen, sondern um einzuhaltende Vorgaben. Hersteller haben dann 30 Monate Zeit, mit der Erfüllung der neuen Anforderungen zu beginnen. Diese sollen dann voraussichtlich Mitte 2024 in Kraft treten.

In etwa zweinandhalb Jahren ist damit das Thema IT-Sicherheit auch für viele Gadgets und Internet-of-Things-Geräte verpflichtend. Eine Entwicklung, die zwar etwas gedauert hat, aber von IT-Sicherheitsexperten sehnlich erwartet wurde.

Bei den vielen Millionen bis Milliarden dieser Geräte, die jährlich in die EU importiert werden, stellt sich die Frage, wer das alles prüfen soll. Vermutlich wird die Prüfung wie bisher auch stichprobenartig vom Zoll vorgenommen. Das wäre eine einfache Ergänzung der bisherigen Checks auf die Einhaltung etwa von Markenrechten oder Kennzeichnungsrichtlinien wie "CE". Bei Nicht-Einhaltung würden die Geräte dann ebenfalls vernichtet oder dem Versender zurückgeschickt.

