Kommt der IT-Produktsicherheits-TÜV?

Maßnahmen für Cybersecurity sollen nach dem Willen der Europäischen Kommission künftig auf europäischer Ebene geregelt werden. Unter anderem sollen IT-Produkte und -Dienste künftig freiwillig ein Zertifizierungsverfahren unter der Federführung der europäischen IT-Sicherheitsagentur ENISA durchlaufen. Die ENISA hatte Anfang des Jahres bei der europäischen Kommission nach umfassenden Erweiterungen ihres Aufgabengebiets angefragt. Es ging unter anderem um ein EU-weites Zertifizierungsprogramm für IT-Produkte hinsichtlich deren Sicherheitsfähigkeiten. Das Programm sollte eine einfache Zertifizierung für IoT-Geräte bis hin zu komplexen Evaluationen von hochsicheren Systemen wie Bankanwendungen umfassen. Als Begründung für die zentralisierte Zertifizierungsstelle wurden unter anderem die großen, nationalen Unterschiede bei den Kosten für Zertifizierungen angeführt. So soll der finanzielle Aufwand für die Zertifizierung eines Smart-Meters in Deutschland zur Abrechnung und Kontrolle des Stromverbrauchs im Haushalt bei etwa einer Million Euro liegen, während Firmen in Frankreich und UK nur ca. 150.000 Euro bezahlen müssen.

Allerdings dürfte das angeführte Beispiel eher nicht durch den neuen, angedachten Produkt-TÜV betroffen sein. Die Smart-Meter-Zertifizierung ist verpflichtend, während die ENISA laut der angekündigten Cyber-Richtlinien nur koordinierend in einem europaweiten, freiwilligen Zertifizierungsprozess agiert. Trotzdem könnten einheitliche europaweite Kriterien für IT-Sicherheit bei Produkten sinnvoll sein. Wie EU-Kommissionspräsident Claude Juncker in seiner State of the Union-Rede sagte, kennen Cyber-Angriffe keine Grenzen und verschonen niemanden. Im Moment gibt es praktisch keine Vorgaben für die IT-Sicherheit von Produkten, ebenso wie es keine rechtlichen Konsequenzen für das Fehlen solcher Funktion gibt. Ob sich allerdings durch die freiwillige Zertifizierung etwas daran ändert, ist fraglich. Ziel der Zertifizierung ist in erster Linie, das Schutzniveau von IT-Produkten und Diensten international vergleichbar zu machen. Damit ist das Ergebnis weit von dem rechtlich bindenden Zertifizierungssystem entfernt, dass ENISA Direktor Udo Helmbrecht in der Vergangenheit gefordert hat. Auch die Grünen im Europaparlament würden gern mehr gesetzliche Möglichkeiten sehen, die Hersteller bei Produktfehlern haftbar zu machen. Sie fordern die Erweiterung der europäischen Produkthaftungsrichtlinien auf Software-Produkte. Hersteller könnten dadurch die Haftung für Folgeschäden eines Hackerangriffs nicht mehr ausschließen.

Die Schwierigkeit dürfte darin liegen, Ursache und Wirkung zu korrelieren. Juncker sagte weiter, dass es mehr als 4000 Ransomware-Angriffe pro Tag gebe und in 80% der europäischen Firmen im letzten Jahr einen Cybersecurity-Vorfall hatten. Die Zahlen werden korrekt sein, aber Ransomware beispielsweise verbreitet sich in der Regel initial durch die (unfreiwillige) Mitwirkung des Empfängers. Hat in diesem Fall die Anti-Virus-Software versagt, weil sie den Trojaner nicht gestoppt hat, bevor er die Inbox des Empfängers erreichte? Ist das dann ein Fall für die Produkthaftung? Wohl kaum. Trotzdem ist die Zertifizierung eine gute Idee. So lassen sich zumindest, vor allem im privaten Einsatz, die gröbsten Sicherheitsschnitzer von Produkten wie Benutzerzugänge ohne Passwort, ungesicherte Management-Ports und uralte Betriebssystemversionen ohne Patch-Möglichkeit verhindern. ENISA erstellt nun Zertifizierungsrichtlinien, die EU-weit gelten. Die Kommission wird sie in einem Fast-Track-Prozess begleiten, damit die Richtlinien möglichst schnell ins EU-Recht eingebunden werden können. Wie das System in der Praxis funktioniert, vor allem, wenn es um Produkte mit Herkunft außerhalb der EU geht, wird sich in den kommenden Monaten zeigen müssen.

Blog abonnieren

CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.