[English]Hardware- und Softwareprodukte sind zunehmend Gegenstand erfolgreicher Cyberangriffe, was bis 2021 zu geschätzten jährlichen Kosten von 5,5 Billionen Euro durch Cyberkriminalität führte. Die Europäische Union hat am 15. September 2022 daher einen Entwurf für einen Cyber Resilience Act vorgelegt. Der Vorschlag für eine Verordnung über Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, bekannt als Cyber Resilience Act, soll die Cybersicherheitsregeln definieren, um sicherere Hardware- und Softwareprodukte zu gewährleisten.
Anzeige
Hardware- und Softwareprodukte sind zunehmend Gegenstand erfolgreicher Cyberangriffe. Oft sind Schwachstellen oder fehlende Patches die Ursache für erfolgreiche Cyberangriffe. Digitale Produkte leiden unter zwei großen Problemen, die den Nutzern und der Gesellschaft zusätzliche Kosten verursachen:
- ein geringes Maß an Cybersicherheit, das sich in weit verbreiteten Schwachstellen und der unzureichenden und uneinheitlichen Bereitstellung von Sicherheitsupdates zu deren Behebung äußert, und
- unzureichendes Verständnis und unzureichender Zugang zu Informationen seitens der Nutzer, was sie daran hindert, Produkte mit angemessenen Cybersicherheitseigenschaften auszuwählen oder sie auf sichere Weise zu nutzen.
Der derzeitige EU-Rechtsrahmen befasst sich nicht mit der Cybersicherheit von "nicht eingebetteter Software". Andererseits zielen Cyberangriffe zunehmend auf Schwachstellen in diesen Produkten (IoT-Geräte, Smartphones etc.) ab und erhebliche gesellschaftliche und wirtschaftliche Kosten verursachen. Mit dem EU Cyber Resilience Act wurden zwei Hauptziele festgelegt, die das reibungslose Funktionieren des Binnenmarktes gewährleisten sollen:
- Schaffung der Voraussetzungen für die Entwicklung sicherer Produkte mit digitalen Elementen, indem sichergestellt wird, dass Hardware- und Softwareprodukte mit weniger Schwachstellen auf den Markt kommen und dass die Hersteller die Sicherheit während des gesamten Lebenszyklus eines Produkts ernst nehmen;
- und Schaffung von Bedingungen, die es den Nutzern ermöglichen, bei der Auswahl und Nutzung von Produkten mit digitalen Elementen die Cybersicherheit zu berücksichtigen.
Allerdings gilt: Software, die im Rahmen eines Dienstes bereitgestellt wird, fällt nicht unter das vorgeschlagene Cyberresilienzgesetz, da dieses ausschließlich für Produkte mit digitalen Elementen gilt, die im europäischen Binnenmarkt verkauft werden, und konkrete Cybersicherheitsanforderungen und -verpflichtungen für die Hersteller dieser Produkte enthält. Es wurden vier spezifische Ziele formuliert:
- Gewährleistung, dass die Hersteller die Sicherheit von Produkten mit digitalen Elementen bereits in der Entwurfs- und Entwicklungsphase und während des gesamten Lebenszyklus verbessern;
- Gewährleistung eines kohärenten Rahmens für die Cybersicherheit, der die Einhaltung der Vorschriften für Hardware- und Softwarehersteller erleichtert;
- die Transparenz der Sicherheitseigenschaften von Produkten mit digitalen Elementen zu verbessern und
- Unternehmen und Verbraucher in die Lage zu versetzen, Produkte mit digitalen Elementen sicher zu nutzen.
Im Rahmen dieses Gesetzes sollen Hersteller für 5 Jahre Updates für ihre Produkte gewährleisten. Die Entwürfe lassen sich auf dieser Webseite herunterladen, und hier gibt es Fragen und Antworten zum Entwurf für das Cyberresilienzgesetz.
Anzeige
Anzeige
Etwas ganz wichtiges fehlt: Das verheimlichen von Schwqachstellen. Es sollte auch und vor allem für Geheimdienste unter Strafe gestellt werden. Für Organisationen sollte dann der Leiter persönlich haften bzw. in den Knast gehen.
Übrigens: Die Seite der EU gibt es auch in Deutsch: https://digital-strategy.ec.europa.eu/de/library/cyber-resilience-act
Eine sehr spannende Frage wird sein, was das für Open Source Projekte bedeuten wird. Da gibt es normalerweise keine Wirtschaftsakteure und auch wer der Inverkehrbringer ist, ist fraglich. Wird das dazu führen, dass OSS nur noch außerhalb der EU gehostet werden kann, weil ein Bereitstellen zum Download bereits ein "in den Verkehr bringen" darstellt (das ist genau die lesart der Jugendschützer bei Pornos)? Oder ist künftig nur noch das Bereitstellen von Sourcecode möglich weil das zunächst mal kein direkt nutzbares Werk oder Produkt ist und muß dann jeder selbst kompilieren. Ich vermute, daß dieser Act der Cybersicherheit ein Bärendienst erweisen wird, weil dann noch mehr Schlangenöl verkauft wird und wirklich sichere Software aufgrund der regulativen Anforderungen wirtschaftlich nicht mehr zur Verfügung gestellt werden kann. Kommentare willkommen.
Open Source wird imho aus dem Cyber Resilence Act rausfallen, siehe die Definition von Software im Rahmen eines Diensts.
Mit solchen Vermutungen wäre ich vorsichtig. Im Entwurf heißt es: "products with digital elements whose intended or
reasonably foreseeable use includes a direct or indirect logical or physical data connection to a device or network". Produkte sind auch Software. Im Anhang sind Beispiele dazu aufgeführt, wie Network Traffic Monitor (tcpdump, Wireshark), remote access/sharing software (SSH), Firewalls, standalone or embedded Browsers (FF), Operating systems for servers, desktops, and mobile devices (Linux). Warum jetzt OSS da rausfallen soll erschließt sich mir nicht. Am Entwurf waren bestimmt alle relevante Lobbyisten beteiligt, aber kein vertreter der FOSS Gemeinde. Das käme denen doch gerade recht.
Für mich erschließt sich die Vermutung im Tenor des EU-Entwurfs, der auf Cybersicherheit bei digitalen Geräten abstellt. Aber warten wir einfach ab, was sich da entwickelt.
Sinn und Zweck all dieser Digital Acts usw. ist das Sicherstellen, dass der Bürger eines Tages ohne digitale zertifizierte Identität, die er von der Obrigkeit verliehen oder entzogen bekommt, nicht mehr am Alltag teilnehmen kann. Das ermöglicht die totale Kontrolle und die Umsetzung eines Social Credit Systems mit CO2-Konto usw.
Wer die Zusammenhänge heute noch nicht erkennt, einfach noch etwas warten.