EU Cybersecurity Act

Eine Zertifizierung reicht bei der IT-Sicherheit nicht aus!

| Autor / Redakteur: Jan-Peter Kleinhans / Peter Schmitz

Die EU will IT-Sicherheit wie technisch verpflichtende Eigenschaften von Produkten zertifizieren. Das greift aber zu kurz und geht am Ziel vorbei.
Die EU will IT-Sicherheit wie technisch verpflichtende Eigenschaften von Produkten zertifizieren. Das greift aber zu kurz und geht am Ziel vorbei. (Bild: Pixabay / CC0)

Mit dem Cybersecurity Act verlässt sich die EU auf das klassische Zusammenspiel aus Stan­dar­di­sie­rung, Zertifizierung und Markt­über­wachung, um erstmals einheitliche europäische Standards für IT-Sicherheit zu etablieren. Dabei wurde jedoch übersehen, dass IT-Sicherheit dynamisch und wechselhaft ist, wodurch Produktzertifizierung und Marktüberwachung vor neue Herausforderungen gestellt werden.

Vor gut einem Jahr, am 13. September 2017, veröffentlichte die Europäische Kommission ihren Entwurf des Cybersecurity Acts. Eines der Ziele der vorgeschlagenen Regulierung soll sein, am EU Binnenmarkt sichere und vertrauenswürdige IKT-Produkte zu etablieren. Die Kommission ist mit diesem Wunsch nicht alleine – derzeit versuchen viele Regierungen durch unterschiedliche Maßnahmen dem offensichtlichen Marktversagen bei der IT-Sicherheit vernetzter Produkte entgegenzuwirken.

Besonderheiten und Probleme des EU Cybrsecurity Acts

Der Cybersecurity Act, der voraussichtlich schon im Herbst 2018 im Trilog-Verfahren zwischen Kommission, Parlament und Rat finalisiert werden wird, setzt dabei sehr stark auf Zertifizierung, um die Vertrauenswürdigkeit eines Produktes zu bestimmen. Bisherige Idee ist, dass ein neu geschaffenes Gremium, bestehend aus nationalen Sicherheitsbehörden (für Deutschland wäre es das Bundesamt für Sicherheit in der Informationstechnik, BSI) und ENISA, Zertifizierungsschemata (technische Standards) verabschiedet, die europaweit Gültigkeit haben. Je nach Kritikalität (Assurance Level) können Unternehmen dann entweder mittels Selbsterklärung oder Dritt-Zertifizierung belegen, inwieweit ein Gerät konform zu den definierten technischen Anforderungen ist. Ein ähnliches System kommt seit vielen Jahren beispielsweise bei der CE-Kennzeichnung zum Einsatz: Die europäische Regulierung definiert, welche Produkte zwingend ein CE-Kennzeichen benötigen, um auf dem EU Binnenmarkt vertrieben werden zu können. Die Europäischen Normungsorganisationen (CEN/CENELEC, ETSI) definieren dann gemeinsam mit der Industrie technische Standards, an die sich die Hersteller halten müssen. Auch bei der CE-Kennzeichnung erfolgt die Konformitätserklärung überwiegend über Selbsterklärungen der Hersteller, statt durch unabhängige Zertifizierung durch ein Prüflabor.

Zwischen der CE-Kennzeichnung und dem im Cybersecurity Act vorgeschlagenen Cybersecurity Certification Framework gibt es allerdings einige eklatante Unterschiede:

  • 1. Die CE-Kennzeichnung ist in den relevanten Produktgruppen verpflichtend, um das Produkt am EU-Binnenmarkt zu verkaufen. Beim Cybersecurity Act steht es Herstellern jedoch frei, sich an die Zertifizierungsschemata zu halten – so ist es bisher eine vollständig freiwillige Maßnahme.
  • 2. Die technischen Standards werden bei der CE-Kennzeichnung durch die erwähnten Europäischen Normungsorganisationen (ESO) erarbeitet, die sich den Grundprinzipien der Normung der WTO verschrieben haben. Beim Cybersecurity Act ist die Entwicklung der Zertifizierungsschemata deutlich undurchsichtiger, was auch einer der zentralen Streitpunkte war: Nach bisherigen Diskussionsstand werden verschiedene Stakeholder Vorschläge einreichen können, über deren Anerkennung als Europäisches Zertifizierungsschema entscheidet letztlich jedoch das genannte Gremium aus nationalen Sicherheitsbehörden und ENISA.
  • 3. Das System der CE-Kennzeichnung hat in der Praxis einige Probleme: Die Marktüberwachung als hoheitliche Aufgabe ist konstant unterfinanziert, dadurch sind unsichere und nicht-konforme Geräte auf dem Binnenmarkt erhältlich. Gerade wenn Unternehmen die Möglichkeit der Selbsterklärung (Self-Declaration of Conformity) gegeben wird, muss eine nachgeschaltete Marktüberwachung sicherstellen, dass die Unternehmen den Anforderungen tatsächlich gerecht werden. Der Cybersecurity Act schenkt dem Aspekt der Marktüberwachung jedoch praktisch keinerlei Beachtung – statt aus den Fehlern und Schwierigkeiten der CE-Kennzeichnung zu lernen, wird schlicht darauf gehofft, dass sich die teilnehmenden Unternehmen von alleine an die Vorgaben halten. Durch die unklare Marktüberwachung und intransparente Sanktionen besteht die Gefahr, dass der Cybersecurity Act zwar zu einer Masse an "zertifizierten" oder konformen IoT-Geräten führen wird, Konsument:innen aber schnell merken, dass die Unternehmen weiterhin nicht halten, was sie versprechen.

Ohne aktuelle Informationen kann man die Vertrauenswürdigkeit nicht beurteilen

Letztlich ist die entscheidende Frage daher nicht, ob es zukünftig verpflichtende Mindeststandards für die IT-Sicherheit von IoT-Geräten durch den Cybersecurity Act geben wird. Oder wie offen und transparent der Standardisierungsprozess für solche EU-weit gültigen Standards aussehen wird. Die zentrale Frage ist stattdessen, ob die EU und die Mitglieds­staaten es schaffen, eine effektive und effiziente Marktüberwachung für IT-Sicherheit im Rahmen des Cybersecurity Acts auf die Beine zu stellen. Danach sieht es derzeit leider nicht aus.

Fehlt eine solche Marktüberwachung, sind nicht nur die Konsument:innen die Leidtragenden, sondern auch die Unternehmen selbst. Es ist sehr wahrscheinlich, dass es im Zuge des Cybersecurity Acts bald ein Zertifizierungsschema für Internet-Router geben wird. Nehmen wir an, in drei Jahren testet eine renommierte Zeitung zehn "zertifizierte" Internet-Router auf ihre Sicherheit und bei dem Test wird klar, dass die meisten dieser Router trotz "EU-Siegel" deutliche Sicherheitsmängel aufweisen. Dadurch würden Konsument:innen direkt das Vertrauen in das Siegel, bzw. in die dahinterliegende Zertifizierung verlieren. Daher sollten vor allem Qualitätshersteller ein Interesse an einer effektiven Marktüberwachung haben. Nur wie sähe diese für IT-Sicherheit aus?

IT-Sicherheit ist kein Zustand, sondern ein Prozess, den es ständig zu verbessern gilt. Durch Updates von Softwarebibliotheken und neuen Angriffsvektoren verliert jede Produktzertifizierung schnell ihre Aussagekraft: Wie viel ist eine Produktzertifizierung für den Softwarestand 1.2 wert, wenn die Entwicklung ein halbes Jahr später bei 1.7 angelangt ist? Konsument:innen und Marktüberwachung benötigen aktuelle, sicherheitsrelevante Informationen, um die Vertrauenswürdigkeit eines Produktes einschätzen zu können.

  • Wann wurde das Produkt das letzte Mal zertifiziert?
  • Welchen Status hat das Zertifikat (aktuell, veraltet, ungültig)?
  • Wie lange erhält das Produkt (noch) Sicherheitsupdates?
  • aktuelle Firmware-Verion und Changelog-Historie?
  • Kontaktadresse um gefundene Schwachstellen zu melden?
  • Gibt es in der aktuellen Firmware nicht-adressierte, relevante CVEs?

Warum Marktüberwachung neu gedacht werden muss

Diese Daten könnten über einen QR-Code am Produkt leicht abrufbar sein – entweder von einer zentralen Datenbank oder einem "lebenden Dokument" vom Hersteller selbst. Ähnliche Systeme entstehen derzeit in anderen Bereichen der Regulierung (bspw. Energie-Effizienz). Letztlich würden so Informationsflüsse und Kommunikation besser abgebildet werden: Sicherheitsforscher:innen müssten nicht mehr lange suchen, um irgendwann eine relevante Mail-Adresse zum Melden von Schwachstellen zu finden. Kund:innen könnten vor dem Kauf erkennen, wie lange das Gerät mit Sicherheitsupdates versorgt werden wird. Zeitungen, Online-Magazine und Prüflabore könnten aufgrund der Changelogs und Historie der Firmware nachvollziehen, ob Hersteller die Geräte tatsächlich für X Jahre mit Sicherheitsupdates versorgen. Außerdem könnten Unternehmen direkter mit den Kund:innen kommunizieren.

Letztlich braucht der Markt effektive Indikatoren, um die tatsächliche Vertrauenswürdigkeit eines Produktes einschätzen zu können. Bei physischer Sicherheit hat das in der Vergangenheit recht passabel durch Marktüberwachung und relativ starre technische Standards funktioniert. Für IT-Sicherheit muss man neue Wege finden, da eine Produkt­zertifizierung alleine nicht mehr ausreichen wird. Vor allem muss die Kommunikation zwischen verschiedenen Akteuren am Markt erleichtert werden und Hersteller müssen aktuelle, leicht zugängliche Meta-Informationen über ihre Produkte zur Verfügung stellen. Beides könnte über einen datenbankbasierten Ansatz erreicht werden.

Über den Autor: Jan-Peter Kleinhans ist Leiter des Projekts IT-Sicherheit im Internet der Dinge bei der Stiftung Neue Verantwortung – einem überparteilichen, gemeinnützigen Think Tank in Berlin. Das Projekt analysiert ökonomische Anreize für IoT-Hersteller Security-by-Design bei der Produktentwicklung umzusetzen. In Workshops werden verschiedene Konzepte, wie Produkthaftung, verpflichtende Mindeststandards oder freiwillige Gütesiegel bewertet.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45574041 / Compliance und Datenschutz )