Geht Europa in Cybersecurity voran?

Can’t wait for October!

Das Ausmaß der Cybersicherheitslücken in Europa ist erschreckend. Allein im Jahr 2019 gab es fast 450 Cybersecurity-Vorfälle, die kritische Infrastrukturen wie Finanz- und Energieunternehmen in Europa betrafen.

Ransomware-Angriffe sind inzwischen eine ausgesprochene Wachstumsbranche: Weltweit wurden 2019 mehr als 10 Milliarden Euro an Erpresser ausgezahlt. Die Gesamtkosten der Cyberkriminalität weltweit werden für das Jahr 2020 auf 5,5 Billionen Euro geschätzt.

Die Pandemie hat die Schwachstellen nur vergrößert und Hackern neue Dimensionen eröffnet. Mehr als die Hälfte aller Organisationen des Gesundheitswesens waren 2020 von einem Angriff betroffen, und im Dezember 2020 wurde die Europäische Arzneimittelagentur (EMA) gehackt, wobei die Angreifer auf Informationen über den Zulassungsprozess für verschiedene Covid-19-Impfstoffe zugriffen und später veröffentlichten, offenbar in dem Versuch, Fehlinformationen zu verbreiten.

Das Schlimmste ist: europäische Unternehmen sind offenbar weit weniger gut vorbereitet als ihre Kollegen in Asien und Amerika. Zwei Drittel der KMUs in Europa gelten als absolute Novizen, wenn es um Cybersicherheit geht, so die Europäischen Kommission.

Außerdem leidet Europa an einem ausgeprägten „Brain Drain“: Cybersecurity-Fachkräften wandern in Scharen aus, bevorzugt in die USA. Die Folge: Im Jahr 2020 blieben schätzungsweise 291.000 Cybersecurity-Positionen in der EU unbesetzt.

Fazit: Unternehmen in Europa hinken in Sachen Cybersicherheit hinterher. Typische Schwachstellen sind Unternehmen, die alte Software ohne Updates verwenden. In einem Drittel von ihnen läuft noch mindestens ein PC mit Windows XP – obwohl der Support von Microsoft 2014 auslief.

In Netzwerken laufen häufig ältere Geräte oder Software weit über das Ende des Support-Termins hinaus. Die Gründe sind vielfältig und reichen von:

• Legacy-Anwendungen, die nicht auf neueren Betriebssystemen laufen, über
• Embedded-Software, etc. die vom Hersteller nie aktualisiert wurde, bis hin zu
• fehlenden Mitteln und Ressourcen, die für die Aktualisierung von Endbenutzer- oder Backend-Systemen benötigt würden.

Auch neueren Geräte fehlt es oft an elementaren Sicherheitsfunktionen, oder diese werden nicht genutzt.

Das führt dazu, dass der Druck auf die Hersteller wächst, Prinzipien wie „Security by Design“ und „Security by Default“ für ihre Produkte, die insbesondere für den Verbrauchermarkt gedacht sind, anzuwenden und auszuweiten.

In den letzten Jahren haben Tests von Verbraucherschützern aber teilweise riesige Sicherheitslücken in Kinderpuppen, Smartwatches, intelligenten Türklingeln und anderen Smart-Home-Produkten aufgedeckt, sagt die Europäische Verbraucherorganisation (BEUC). Hacker können mit Kindern sprechen, Videoaufnahmen machen, sich Zugang zum Haus verschaffen oder raffinerte Botnet-Angriffe organisieren.

Was Verbraucherschützer aber richtig auf die Palme treibt ist, dass die Marktaufsichtsbehörden selbst bei bekannten Sicherheitsmängeln aufgrund fehlender EU-weiter Rechtsvorschriften nicht in der Lage sind, als unsicher identifizierte Produkte vom Markt zu nehmen.

Im Fall von My Friend Cayla, einer umstrittenen Kinderpuppe, wurde der Verkauf der Puppe trotz bekannter und veröffentlichter Sicherheits- und Datenschutzmängel in der EU nicht gestoppt, außer in Deutschland, wo die Behörden das Gerät aufgrund von Datenschutzbedenken verboten haben.

Es hat zwar lange gedauert, aber inzwischen beginnt sich in Europa offenbar die Erkenntnis durchzusetzen, dass es ohne neue und schärfere gesetzliche Rahmenbedingungen nicht besser, sondern schlimmer werden wird.

Deshalb überrascht es kaum, dass Cybersicherheit beim Gesetzgeber in Brüssel inzwischen ein Schwerpunkt geworden ist. Eine Reihe von neuen und aktualisierten Regeln soll die Sicherheit in Unternehmen wie auch für Verbraucher erhöhen. Wenn es um Cybersicherheit geht, gibt es allerdings in der EU kein einzelnes oder allgemeines Gesetz, sondern ein Mosaik von Regeln und Vorschriften.

Dazu gehören die gerade aktualisierte Richtlinie für Netzwerk- und Informationssysteme (NIS), die bestimmte Unternehmen zwingend verpflichtet, passende IT-Sicherheitsmaßnahmen einzuführen und darüber hinaus schwerwiegende IT-Störfälle zu melden. Sie gilt für viele Produkte von Rundfunkgeräten über Elektrowerkzeuge bis zu Industrieanlagen und Telekommunikationsgeräten, aber leider nicht für Computer.

Der Cybersecurity Act (CSA), der 2019 erlassen wurde, obwohl Elemente erst 2021 in Kraft getreten sind, schreibt erstmalig einen auf EU-Ebene geltenden Gesetzesrahmen für die IT-Sicherheitszertifizierung von Dienstleistungen, Produkten und Prozessen vor.

Der CSA umfasst sowohl Geschäfts- als auch Verbraucheranwendungen. Im Kern zielt der CSA darauf ab, Cybersicherheitsstandards in ganz Europa zu vereinheitlichen. Eine EU-weite Zertifizierung wird Fragmentierung reduzieren, wie z. B. unterschiedliche Zertifizierungsbemühungen in Mitgliedsstaaten wie Frankreich, Deutschland und den Niederlanden (die derzeit die meisten Zertifizierungen innerhalb der EU durchführen).

Die ersten drei Zertifizierungsrahmen sind bereits fertig und gelten für gemeinsame Kriterien, Cloud und 5G. Weitere Schemata werden entwickelt, und es wird erwartet, dass IoT und Verbraucherprodukte bald dran sein werden.

Die größte Schwachstelle des CSA bleibt aber, dass er bis auf Weiteres rein freiwillig ist, was allerdings 2023 nochmals überprüft werden soll.

Das gilt nicht für den Radio Equipment Act (RED), der voraussichtlich noch in diesem Jahr kommt. Es handelt sich hier um eine sogenannte horizontale Regel, die Einrichtungen in allen Sektoren abdeckt, die als lebenswichtig für Wirtschaft und Gesellschaft gelten, wie Energie, Transport, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen und digitale Dienste. Leider haben Analysen allerdings gezeigt, dass der RED in der EU nicht einheitlich angewendet wird, was zu Diskrepanzen zwischen Mitgliedsstaaten führt.

Aber auch der RED weist eine Reihe von Unzulänglichkeiten auf. Zunächst einmal gilt er nur für mit dem Internet verbundene Funkgeräte und tragbare Funkgeräte (schätzungsweise 70-80 % des Marktes für vernetzte Geräte) und nicht die rein kabelgebundenen Produkte. Darüber hinaus werden keine Nicht-Funkkomponenten (einschließlich Prozessoren) abgedeckt, genauso wenig wie der Lebenszyklus des Produkts oder die Pflicht zur Offenlegung von Schwachstellen und Störfällen.

Insgesamt aber ist zu erwarten, dass durch die verschiedenen regulatorischen Initiativen der EU Druck auf die Unternehmen erzeugt wird. Es soll ihnen nicht mehr nur um den Preis und die Qualität der gehen – sondern wirklich auch darum, dass Ihre Produkte bestimmte Sicherheitsanforderungen erfüllen können.

Eine EU-weite Zertifizierung wird Unternehmen helfen, die IKT-Produkte grenzüberschreitend anbieten, und fundiertere Entscheidungen über die Sicherheit ihrer Zulieferer und Lieferketten im Allgemeinen zu treffen, was wiederum der Cybersicherheit im Allgemeinen zugutekommt. Im Falle von Unternehmen, die unter die NIS-Richtlinie fallen, wird beispielsweise die Beschaffung von Produkten, die nach der CSA zertifiziert sind, dazu beitragen, die Sicherheit ihres gesamten Netzwerks besser zu gewährleisten.

In der Zwischenzeit wird die Einführung von privaten Bewertungsstellen den Zeitaufwand der nationalen Organisationen reduzieren, so dass sie mehr Zeit haben, sich auf die Zertifizierungen der „hohen“ Ebene zu konzentrieren.

Es bleibt aber vorerst dabei, dass sich Hersteller selbst zertifizieren dürfen, was den Nutzen für die an Verbraucher verkauften Netzwerkgeräte wohl begrenzen wird.

Der Cyber Security Act ist ein Teil der Lösung. Es ist wichtig, da er einen Rahmen für Standards und Zertifizierungen bietet, aber für sich allein genommen löst er nicht wirklich das Problem.

Das endgültige Ziel wird wahrscheinlich eine neue horizontale Gesetzgebung sein, nämlich eine überarbeitete Form der New Legislative Framework (NLF) deren endgültige Umsetzung allerdings wahrscheinlich noch mehr als fünf Jahre entfernt ist.

Das erst 2010 in Kraft getretene „Neues Konzept für die Produktkonformität in der Europäischen Union“, regelt unter anderem die CE-Kennzeichnung, mit der ein Hersteller versichert, dass sein Produkt den geltenden gesetzlichen Anforderungen genügt. Diese kann durch eine externe „Benannte Stelle“, nämlich eine staatlich überwachte private Prüfstelle, bestätigt werden.

Nicht alle Verbraucherschützer sind für ein Kennzeichnungssystem. Sie weisen darauf hin, dass ein besserer Ansatz darin bestünde, sicherzustellen, dass alle Produkte, die an Verbraucher verkauft werden, von Haus aus sicher sind, so dass eine Kennzeichnung gar nicht erst nötig ist.

Trotz der Bemühungen des Gesetzgebers, einheitliche Standards einzuführen, müssen die Unternehmen selbst aktiv werden und die Verantwortung für ihre eigene Netzwerksicherheit übernehmen. Das erfordert mehr Investitionen privater Unternehmen – sowohl in die technische Aufrüstung als auch in die Schulung der Mitarbeiter und die Zusammenarbeit mit spezialisierten Dienstleistern wie Cyber-Risikoversicherern.

Was Europa betrifft, wird es spannend sein zu sehen, wie die Versuche ausgehen, zunächst in Europa und dann weltweit Rahmenwerke zu schaffen. Immerhin hat sich die General Data Protection Regulation (GDPR) bereits als Exportschlager entpuppt und ihr Inhalt wurde in Japan und einigen lateinamerikanischen Ländern adaptiert und übernommen. Ob das auch für NIS, CSA, RED und NLF gelten wird, bleibt abzuwarten.