:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
EU Cybersecurity Act Eine Zertifizierung reicht bei der IT-Sicherheit nicht aus!
Mit dem Cybersecurity Act verlässt sich die EU auf das klassische Zusammenspiel aus Standardisierung, Zertifizierung und Marktüberwachung, um erstmals einheitliche europäische Standards für IT-Sicherheit zu etablieren. Dabei wurde jedoch übersehen, dass IT-Sicherheit dynamisch und wechselhaft ist, wodurch Produktzertifizierung und Marktüberwachung vor neue Herausforderungen gestellt werden.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Vor gut einem Jahr, am 13. September 2017, veröffentlichte die Europäische Kommission ihren Entwurf des Cybersecurity Acts. Eines der Ziele der vorgeschlagenen Regulierung soll sein, am EU Binnenmarkt sichere und vertrauenswürdige IKT-Produkte zu etablieren. Die Kommission ist mit diesem Wunsch nicht alleine – derzeit versuchen viele Regierungen durch unterschiedliche Maßnahmen dem offensichtlichen Marktversagen bei der IT-Sicherheit vernetzter Produkte entgegenzuwirken.
Besonderheiten und Probleme des EU Cybrsecurity Acts
Der Cybersecurity Act, der voraussichtlich schon im Herbst 2018 im Trilog-Verfahren zwischen Kommission, Parlament und Rat finalisiert werden wird, setzt dabei sehr stark auf Zertifizierung, um die Vertrauenswürdigkeit eines Produktes zu bestimmen. Bisherige Idee ist, dass ein neu geschaffenes Gremium, bestehend aus nationalen Sicherheitsbehörden (für Deutschland wäre es das Bundesamt für Sicherheit in der Informationstechnik, BSI) und ENISA, Zertifizierungsschemata (technische Standards) verabschiedet, die europaweit Gültigkeit haben. Je nach Kritikalität (Assurance Level) können Unternehmen dann entweder mittels Selbsterklärung oder Dritt-Zertifizierung belegen, inwieweit ein Gerät konform zu den definierten technischen Anforderungen ist. Ein ähnliches System kommt seit vielen Jahren beispielsweise bei der CE-Kennzeichnung zum Einsatz: Die europäische Regulierung definiert, welche Produkte zwingend ein CE-Kennzeichen benötigen, um auf dem EU Binnenmarkt vertrieben werden zu können. Die Europäischen Normungsorganisationen (CEN/CENELEC, ETSI) definieren dann gemeinsam mit der Industrie technische Standards, an die sich die Hersteller halten müssen. Auch bei der CE-Kennzeichnung erfolgt die Konformitätserklärung überwiegend über Selbsterklärungen der Hersteller, statt durch unabhängige Zertifizierung durch ein Prüflabor.
Zwischen der CE-Kennzeichnung und dem im Cybersecurity Act vorgeschlagenen Cybersecurity Certification Framework gibt es allerdings einige eklatante Unterschiede:
- 1. Die CE-Kennzeichnung ist in den relevanten Produktgruppen verpflichtend, um das Produkt am EU-Binnenmarkt zu verkaufen. Beim Cybersecurity Act steht es Herstellern jedoch frei, sich an die Zertifizierungsschemata zu halten – so ist es bisher eine vollständig freiwillige Maßnahme.
- 2. Die technischen Standards werden bei der CE-Kennzeichnung durch die erwähnten Europäischen Normungsorganisationen (ESO) erarbeitet, die sich den Grundprinzipien der Normung der WTO verschrieben haben. Beim Cybersecurity Act ist die Entwicklung der Zertifizierungsschemata deutlich undurchsichtiger, was auch einer der zentralen Streitpunkte war: Nach bisherigen Diskussionsstand werden verschiedene Stakeholder Vorschläge einreichen können, über deren Anerkennung als Europäisches Zertifizierungsschema entscheidet letztlich jedoch das genannte Gremium aus nationalen Sicherheitsbehörden und ENISA.
- 3. Das System der CE-Kennzeichnung hat in der Praxis einige Probleme: Die Marktüberwachung als hoheitliche Aufgabe ist konstant unterfinanziert, dadurch sind unsichere und nicht-konforme Geräte auf dem Binnenmarkt erhältlich. Gerade wenn Unternehmen die Möglichkeit der Selbsterklärung (Self-Declaration of Conformity) gegeben wird, muss eine nachgeschaltete Marktüberwachung sicherstellen, dass die Unternehmen den Anforderungen tatsächlich gerecht werden. Der Cybersecurity Act schenkt dem Aspekt der Marktüberwachung jedoch praktisch keinerlei Beachtung – statt aus den Fehlern und Schwierigkeiten der CE-Kennzeichnung zu lernen, wird schlicht darauf gehofft, dass sich die teilnehmenden Unternehmen von alleine an die Vorgaben halten. Durch die unklare Marktüberwachung und intransparente Sanktionen besteht die Gefahr, dass der Cybersecurity Act zwar zu einer Masse an "zertifizierten" oder konformen IoT-Geräten führen wird, Konsument:innen aber schnell merken, dass die Unternehmen weiterhin nicht halten, was sie versprechen.
Ohne aktuelle Informationen kann man die Vertrauenswürdigkeit nicht beurteilen
Letztlich ist die entscheidende Frage daher nicht, ob es zukünftig verpflichtende Mindeststandards für die IT-Sicherheit von IoT-Geräten durch den Cybersecurity Act geben wird. Oder wie offen und transparent der Standardisierungsprozess für solche EU-weit gültigen Standards aussehen wird. Die zentrale Frage ist stattdessen, ob die EU und die Mitgliedsstaaten es schaffen, eine effektive und effiziente Marktüberwachung für IT-Sicherheit im Rahmen des Cybersecurity Acts auf die Beine zu stellen. Danach sieht es derzeit leider nicht aus.
Fehlt eine solche Marktüberwachung, sind nicht nur die Konsument:innen die Leidtragenden, sondern auch die Unternehmen selbst. Es ist sehr wahrscheinlich, dass es im Zuge des Cybersecurity Acts bald ein Zertifizierungsschema für Internet-Router geben wird. Nehmen wir an, in drei Jahren testet eine renommierte Zeitung zehn "zertifizierte" Internet-Router auf ihre Sicherheit und bei dem Test wird klar, dass die meisten dieser Router trotz "EU-Siegel" deutliche Sicherheitsmängel aufweisen. Dadurch würden Konsument:innen direkt das Vertrauen in das Siegel, bzw. in die dahinterliegende Zertifizierung verlieren. Daher sollten vor allem Qualitätshersteller ein Interesse an einer effektiven Marktüberwachung haben. Nur wie sähe diese für IT-Sicherheit aus?
IT-Sicherheit ist kein Zustand, sondern ein Prozess, den es ständig zu verbessern gilt. Durch Updates von Softwarebibliotheken und neuen Angriffsvektoren verliert jede Produktzertifizierung schnell ihre Aussagekraft: Wie viel ist eine Produktzertifizierung für den Softwarestand 1.2 wert, wenn die Entwicklung ein halbes Jahr später bei 1.7 angelangt ist? Konsument:innen und Marktüberwachung benötigen aktuelle, sicherheitsrelevante Informationen, um die Vertrauenswürdigkeit eines Produktes einschätzen zu können.
- Wann wurde das Produkt das letzte Mal zertifiziert?
- Welchen Status hat das Zertifikat (aktuell, veraltet, ungültig)?
- Wie lange erhält das Produkt (noch) Sicherheitsupdates?
- aktuelle Firmware-Verion und Changelog-Historie?
- Kontaktadresse um gefundene Schwachstellen zu melden?
- Gibt es in der aktuellen Firmware nicht-adressierte, relevante CVEs?
Warum Marktüberwachung neu gedacht werden muss
Diese Daten könnten über einen QR-Code am Produkt leicht abrufbar sein – entweder von einer zentralen Datenbank oder einem "lebenden Dokument" vom Hersteller selbst. Ähnliche Systeme entstehen derzeit in anderen Bereichen der Regulierung (bspw. Energie-Effizienz). Letztlich würden so Informationsflüsse und Kommunikation besser abgebildet werden: Sicherheitsforscher:innen müssten nicht mehr lange suchen, um irgendwann eine relevante Mail-Adresse zum Melden von Schwachstellen zu finden. Kund:innen könnten vor dem Kauf erkennen, wie lange das Gerät mit Sicherheitsupdates versorgt werden wird. Zeitungen, Online-Magazine und Prüflabore könnten aufgrund der Changelogs und Historie der Firmware nachvollziehen, ob Hersteller die Geräte tatsächlich für X Jahre mit Sicherheitsupdates versorgen. Außerdem könnten Unternehmen direkter mit den Kund:innen kommunizieren.
Letztlich braucht der Markt effektive Indikatoren, um die tatsächliche Vertrauenswürdigkeit eines Produktes einschätzen zu können. Bei physischer Sicherheit hat das in der Vergangenheit recht passabel durch Marktüberwachung und relativ starre technische Standards funktioniert. Für IT-Sicherheit muss man neue Wege finden, da eine Produktzertifizierung alleine nicht mehr ausreichen wird. Vor allem muss die Kommunikation zwischen verschiedenen Akteuren am Markt erleichtert werden und Hersteller müssen aktuelle, leicht zugängliche Meta-Informationen über ihre Produkte zur Verfügung stellen. Beides könnte über einen datenbankbasierten Ansatz erreicht werden.
Über den Autor: Jan-Peter Kleinhans ist Leiter des Projekts IT-Sicherheit im Internet der Dinge bei der Stiftung Neue Verantwortung – einem überparteilichen, gemeinnützigen Think Tank in Berlin. Das Projekt analysiert ökonomische Anreize für IoT-Hersteller Security-by-Design bei der Produktentwicklung umzusetzen. In Workshops werden verschiedene Konzepte, wie Produkthaftung, verpflichtende Mindeststandards oder freiwillige Gütesiegel bewertet.
(ID:45574041)
:quality(80)/p7i.vogel.de/wcms/44/13/441308ff843586c1023b6d993a9ba077/0112599838.jpeg "Ob CRA, NIS-2 oder die CER-Richtlinie: Halten sich Unternehmen nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen. Umso wichtiger ist eine strukturierte und ganzheitliche Cybersecurity-Strategie. (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/fb/07fb1a577f1ab39471358757c2eaa9be/0113341659.jpeg "Der von der Europäischen Kommission geplante Cyber Resilience Act birgt neue Herausforderungen für kommerzielle Open-Source-Lösungen. (Bild: © BillionPhotos.com - stock.adobe.com)")