Das wir Nachholbedarf an Cyber-Sicherheit haben, ist wohl allen klar. Das EU-Parlament und die Mitgliedsstaaten verhandeln über zukünftige Anforderungen an die Cybersicherheit vernetzter Produkte. Der TÜV-Verband sieht dabei Nachbesserungsbedarf bei der Risikoklassifizierung: Die Einbindung unabhängiger Prüfstellen sollte für alle Hochrisikoprodukte verpflichtend werden. Weiterhin fordert der TÜV-Verband eine zeitnahe Anwendung der Vorschriften sicherstellen.
Anzeige
Der TÜV-Verband begrüßt in einer Presseinformation das Ziel, mit dem Cyber Resilience Act (CRA) verpflichtende Vorgaben für die Cybersicherheit vernetzter Produkte in der EU einzuführen. Allerdings fordert der Verband Nachbesserungen am aktuellen Gesetzentwurf.
"Wir brauchen einen ambitionierten und robusten Regulierungsrahmen für Cybersicherheit, um Verbraucher, Wirtschaft und Staaten effektiv vor Cyberangriffen zu schützen. Leider bleibt die Position des EU-Parlaments und auch der EU-Mitgliedsstaaten erheblich hinter unseren Erwartungen zurück", sagt Johannes Kröhnert, Referent für Europapolitik beim TÜV-Verband und Leiter des Brüsseler Büros.
Kritisch bewertet der TÜV-Verband, dass die Liste der sicherheitskritischen Produkte von den EU-Mitgliedsstaaten massiv gekürzt wurde. "Das ist angesichts der hohen Gefährdungslage und des zu erfüllenden Schutzauftrages des Gesetzgebers nicht nachvollziehbar und unangemessen", betont Kröhnert. So seien zum Beispiel im Gesetzesentwurf zahlreiche besonders gefahrträchtige Verbraucherprodukte nicht als kritische Produkte erfasst, schreibt der Verband. "Vernetzte Verbraucherprodukte mit digitalen Funktionen wie intelligente Alarmsysteme, Smart-Home-Geräte oder intelligentes Spielzeug bergen ein hohes Risikopotenzial und können leicht zum Einfallstor für Cyberangriffe werden", sagt Kröhnert. Es sei daher wichtig, auch solche Produkte mit aufzunehmen.
Verpflichtende unabhängige Überprüfung bei sicherheitskritischen Produkten
Anzeige
Nachbesserungsbedarf besteht aus Sicht des TÜV-Verbands auch bei den verpflichtenden Überprüfungsmechanismen. "Viele sicherheitskritische Produkte sollen auf Grundlage einer reinen Herstellerselbsterklärung auf den Markt gebracht werden dürfen", sagt Kröhnert. Der TÜV-Verband hält diesen Ansatz für falsch, da er nicht das notwendige Cybersicherheitsniveau vernetzter Produkte gewährleisten kann.
Kröhnert: "Vorrangiges Ziel des EU-Gesetzgebers muss es sein, dass nur nachweislich cybersichere Produkte auf den Markt kommen und somit das Vertrauen der Menschen in vernetzte Produkte gestärkt wird. Dafür bedarf es neben ambitionierten Sicherheitsanforderungen vor allem verlässlicher Überprüfungsmechanismen." Eine konsequente Einbindung unabhängiger Prüfstellen insbesondere bei kritischen Produkten sei zwingend erforderlich, um das notwendige Vertrauen in die Sicherheit digitaler Technologien zu schaffen.
Zeitnahe Anwendung der Vorschriften sicherstellen
Sowohl das EU-Parlament als auch die Mitgliedsstaaten haben das von der Kommission angedachte Anwendungsdatum nach Inkrafttreten der Verordnung von 24 auf 36 Monate verlängert. Kröhnert: "Damit wären die Cybersicherheitsanforderungen des Cyber Resilience Acts (CRA) voraussichtlich erst im Jahr 2027 verpflichtend einzuhalten. Angesichts der enorm hohen Anzahl von Cybersicherheitsvorfällen und den damit einhergehenden Schäden ist eine so lange Übergangszeit nicht gerechtfertigt." Stattdessen gelte es, den CRA so schnell wie möglich zur Anwendung zu bringen und damit die Bürger:innen wirksam zu schützen.
Mit dem CRA werden erstmals grundlegende Anforderungen für die Cybersicherheit von allen Produkten mit digitalen Elementen festgelegt. Dazu gehören sowohl physische Produkte als auch Software. Die Anforderungen umfassen unter anderem die Berücksichtigung der Cybersicherheit über den gesamten Produktlebenszyklus, die Dokumentation aller Cybersicherheitsrisiken, die Meldung und Behebung aktiv ausnutzbarer Schwachstellen sowie eine Updatepflicht der Hersteller. Aktuell finden die Verhandlungen zwischen den EU-Institutionen statt an mit dem Ziel, bis Ende des laufenden Jahres eine Einigung zu erzielen.
Mehr Infos sind abrufbar im Positionspapier zu den Cyber Resilience Act Trilogverhandlungen.
Der TÜV-Verband e.V. vertritt die politischen Interessen der TÜV-Prüforganisationen und fördern den fachlichen Austausch seiner Mitglieder. Der Verband setzt sich für die technische und digitale Sicherheit sowie die Nachhaltigkeit von Fahrzeugen, Produkten, Anlagen und Dienstleistungen ein. Grundlage dafür sind allgemeingültige Standards, unabhängige Prüfungen und qualifizierte Weiterbildung. Ziel ist es, das hohe Niveau der technischen Sicherheit zu wahren, Vertrauen in die digitale Welt zu schaffen und unsere Lebensgrundlagen zu erhalten.
Anzeige
… In Kürze beim Essen:
TÜV und IT Sicherheit. Au weia, das tut richtig weh. Die sollen sich mal auf ihre Kernkompetenzen wie Kfz beschränken und von Dingen die Finger lassen, wo sie keine Ahnung haben. Pfuscher und Amateure gibts genug davon.
Mal zum eigentlichen Thema zurück, man kommt bei der Sache nicht drumherum, einen eigenen Weg zu finden. Daher Eigenschutz, optimiert auf die eigene Infrastruktur. Dazu gehört neben der technischen Seite auch ein Maß an Eigeninitiative und Sensibilität für das Thema. Aber solange IT Sicherheit nur als Kostenfaktor/Aufwand und notwendiges Übel gesehen wird, wird sich auch dahingehend nichts ändern. Wenn es dann kracht, dann sind immer die anderen Schuld.
****************
Wenn es dann kracht, dann sind immer die anderen Schuld.
****************
Das ist doch mittlerweilen im kompletten Leben so! Wenn man Mist baut sind die anderen Schuld und der Nanny Staat soll einschreiten… Wilkommen in 2023!
b2t
Nen Prüfverein möchte das man Prüfvorschriften in Gesetzen verankert… finde den Fehler!
"Nen Prüfverein möchte das man Prüfvorschriften in Gesetzen verankert… finde den Fehler!"
Check, Gelddruckmaschine.
Der ehemalige Dampfkesselüberwachungsverein macht jetzt in IT. Wird sicher super klappen. Aber Spaß beiseite wichtiger ist doch dass erstmal die öffentliche Hand ihre IT-Systeme sichert eh sie private Unternehmen und Privatleute dazu verpflichten wollen. Und was TÜV bei IT plant ist doch sicher auch eine Zertifizierung durch den TÜV.
Dampfkesselüberwachungsverein, da muss ich sofort an Steampunk denken, dann passt das auch.
Grüße
@Sven , @Daniel; Nanana, da fühl ich mich ausnahmsweise mal genötigt auch was Positives zu sagen. Gestatten wir TÜV eine dynamische IT-Entwicklung und Angebotsdiversifikation vom Dampfkessel zum Debugging, von Bremse&Bums zu Bits&Bytes:
…Auch wenn sie bei IT operativ in der Fläche vll. eher mittelmässig sind, auch wenn TÜV hier finanzielle Interessen hat, auch wenn ich das letzte KMU-Audit vom TÜV für IT recht "rudimentär" und nur ansatzweise zielführend beurteile…
Tja, Namen sind Schall und Rausch.
Zumal auch in der Vergangenheit verschiedene TÜV Instanzen gehackt wurden. Bsp. TÜV Nord Group 04/2022. Beste Referenz und solche Vereine wollen wir was über IT Sicherheit erzählen und evtl. einen Audit machen? Kannste dir nicht ausdenken!
Nee, lass mal, ich bin schon seit mehr als 20 Jahre in der IT und hatte jetzt mein 10 jähriges als Freelancer.
Schönes WE
Wenn sich irgendwie Geld damit machen lässt, zertifizieren die doch ALLES, notfalls sogar das Urlaubswetter in fernen Ländern.
Und nicht vergessen, die TÜV-Mafia ist längst weltweit aktiv ) und zertifiziert, wie im TV mehrfach berichtet, je nach Bedarf und Belieben Umweltverschmutzungen, Arbeitsbedingungen oder Hochrisiko-Technologien und Produkte … was und für wen auch immer solcherlei (Fake)-Zertifikate benötigt werden. Klammer auf ("Werte"-geleitete Außenpolitik) Klammer zu !!! Na stimmt doch, die Deutsche und die EU-Politik war schon immer vor allem an den Aktienwerten orientiert – oder etwa nicht?
Alles nur Luft, alles nur Schaum, Politik für die einen der geilste Traum und für die anderen ein böser Alptraum … daran ändert auch nichts die tollste Demokratur, denn die Politik die ist Stur.
Danke, da stimme ich dir zu 100 % zu.
Besser kann man es nicht schreiben.
Zumal das BSI auch in dem Bereich tätig und in der Vergangenheit Richtlinien, Verordnungen und Gesetze auf dem Weg gebracht hat (Bsp. IT-Sicherheitsgesetz). Über vieles kann man auch streiten und die Sinnhaftigkeit/Umsetzung hinterfragen.
Aber dem BSI traue ich ich in der Sache mehr zu, als dem TÜV Kasperverein.
Für die Sicherheit der öffentlichen Systeme hat der Gesetzgeber doch schon längst gesorgt.
Oder warum müssen diese Murkser lt. DSGV nicht mit Strafen rechnen? Sie sind ja ausdrücklich ausgenommen…
und wenn man keine Strafe fürchten muss arbeitetvman doch gleich viel besser.
Gewalt ist keine Lösung.
Welchen Mehrwert bietet der TÜV bei IT Sicherheit? Keinen! Welche Risiken bietet der TÜV? Viele (siehe Staudamm)! Dem TÜV geht es vor allem um eines: unser Geld. Ich finde, der TÜV sollte für die von ihm zertifiziereten Systeme die volle Haftung übernehmen müssen. Dann istder ganz schnell raus aus diesem Geschäft.