:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security-Blick nach Berlin und Brüssel Was man von der Updatepflicht erwarten kann und was nicht
Es klingt verlockend: Anbietern von digitalen Produkten soll eine Updateverpflichtung auferlegt werden. Haben Verbraucher ein digitales Produkt erworben, schuldet der Unternehmer auch die Bereitstellung von funktionserhaltenden Updates und Sicherheitsupdates. Doch hilft dies wirklich der Security? Oder greift die Updatepflicht zu kurz? Verbraucherschützer melden Kritik an.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Mitte Januar 2021 hatte die Bundesregierung den von der Bundesministerin der Justiz und für Verbraucherschutz vorgelegten Regierungsentwurf zur Umsetzung der Richtlinie über digitale Inhalte beschlossen.
Bundesjustizministerin Christine Lambrecht erklärte dazu: „Mit der Neuregelung sorgen wir für deutlich mehr Rechtssicherheit und Transparenz in der digitalen Welt. Künftig ist klar: Wenn eine Software fehlerhaft ist oder eine App nicht richtig funktioniert, hat der Kunde die gleichen Rechte wie beim Kauf jedes anderen Produkts. Außerdem muss gewährleistet sein, dass das digitale Produkt durch laufende Updates funktionsfähig bleibt und dass Sicherheitslücken geschlossen werden.“
Ganz zufrieden zeigen sich die Verbraucherschützer damit jedoch nicht. „Die Digitale-Inhalte-Richtlinie ist ein wichtiger Baustein, um den Verbraucherschutz im digitalen Zeitalter zu stärken“, so Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands (vzbv). „Für Verbraucherinnen und Verbraucher ist es sehr hilfreich, dass Verkäufer ihnen künftig Software-Updates anbieten müssen, weil dadurch Smartphones oder Laptop wahrscheinlich besser und länger einwandfrei funktionieren werden. Gut ist zudem, dass Verbraucher Gewährleistungsansprüche bei mangelhaften Apps, Betriebssystemen oder anderen digitalen Inhalten bekommen.“
Aber Klaus Müller sieht Bedarf für Nachbesserungen: „Die Update-Pflicht darf nicht nur für Verkäufer gelten, sondern auch für die Hersteller“. Es sei nicht praxistauglich, warum dafür möglicherweise Saturn, Kaufhof oder ein kleiner Kiezladen statt Microsoft, Apple und Co. zuständig sein sollten.
Darüber hinaus sei auch eine Trennung von verschiedenen Update-Arten wie funktionsändernden Updates und Sicherheitsupdates wichtig. Wo dies technisch möglich und sinnvoll ist, sollten Verbrauchern verschiedene Update-Arten getrennt bereitgestellt werden, so der Verbraucherschützer. Verbraucher müssten Informationen dazu erhalten, was genau sich dadurch am Produkt ändert, insbesondere sollten sie wissen, ob es sich um ein Sicherheitsupdate handelt.
Schon wieder der falsche Adressat?
Der Entwurf zur Umsetzung der Richtlinie über digitale Inhalte besagt: „Den Unternehmer (Anmerkung: hier der Händler) trifft die Pflicht, „sicherzustellen“, dass der Verbraucher nach den Vorgaben der Richtlinie informiert wird und dass ihm die Aktualisierungen bereitgestellt werden. In diesem Zusammenhang kann der Unternehmer auch Dritte wie zum Beispiel Hersteller in die Erfüllung seiner Pflicht einbeziehen.“
Dabei stellt sich die Frage, ob der Händler hier überhaupt eine Wahl hat. Sicherlich wird er auf den Hersteller zurückgreifen müssen.
Auch an anderer Stelle wurden bereits rechtliche Forderungen aufgestellt, ohne jedoch die Hersteller als zentrale Stelle zur Umsetzung direkt zu berücksichtigen. So sei an die Verpflichtung zu Privacy by Design aus der Datenschutz-Grundverordnung (DSGVO) erinnert.
Die Forderung nach Datenschutz durch Technikgestaltung (Privacy by Design) hat eine zentrale Bedeutung in der Datenschutz-Grundverordnung (DSGVO). Leider richtet sich die DSGVO aber gar nicht an die Hersteller, sondern an die Anwender, also die Verantwortlichen in Unternehmen und an Auftragsverarbeiter.
Offensichtlich kann man als Anwenderunternehmen Privacy by Design bei den Herstellern einfordern, selbst dafür sorgen kann man aber nicht. Ähnlich erscheint auch die Updatepflicht, die der Händler einhalten muss, der aber ohne die Hersteller dazu nicht in der Lage sein wird.
Ohne Updates der Hersteller kann ein Unternehmen kein Patching durchführen, und ohne Updates der Herstellerunternehmen kann auch kein Händler für Updates sorgen. Möglich ist auch hier nur eine entsprechende Lieferantenbedingung, die besagt, dass ein Zulieferer Updates anbieten muss. Doch je nach Hersteller erscheint es nicht sehr wahrscheinlich, dass ein Händler den Lieferanten nicht listen will, weil der marktführende Hersteller der vertraglich vereinbarten Updatepflicht nicht nachkommt. Aus rechtlicher Sicht jedoch müsste der Händler genau dies tun, also eine Auslistung des womöglich marktführenden Herstellers.
Tun dies alle Händler, wäre dies natürlich ein Druckmittel. Doch wäre es nicht sinnvoller, die Hersteller selbst stärker in die Pflicht zu nehmen?
Die Frage nach der Dauer einer Updatepflicht
Eine weitere Frage muss noch besser geklärt werden: So schreibt das Bundesjustizministerium, bei fortlaufenden Vertragsbeziehungen gelte die Update-Verpflichtung über die gesamte Vertragsdauer, bei einmalig zu erfüllenden Verträgen wie Kaufverträgen gelte sie für einen Zeitraum, den die Verbraucherinnen und Verbraucher vernünftigerweise erwarten können.
Hierzu schreibt der Digitalverband Bitkom: „Der beschlossene Kabinettsentwurf lässt aber noch viele Fragen offen. Es bleibt völlig unklar, wie lange smarte Geräte künftig aktualisiert werden müssen. Die Erwartungshaltung der Verbraucher muss hier mit Angebotsvielfalt und Preisstabilität in Balance gebracht werden. Lebenslange Updateverpflichtungen etwa würden zu deutlichen Preissteigerungen bei Produkten und Anwendungen führen. Letztlich würden viele günstige Produkte aus dem Markt verschwinden, die Anzahl der Hersteller abnehmen. Das könnte Verbrauchern enorm schaden.“
Bereits 2019 schrieb der Deutsche Bundestag zur Dauer einer Updateverpflichtung: Dieser „Zeitraum der vernünftigen Verbrauchererwartung“ ist flexibel und wird „für ein hochwertiges langlebiges Produkt länger sein als beispielsweise für ein günstiges Produkt für den einmaligen Gebrauch“.
Allerdings darf man sich fragen, ob alleine der Preis eines Produktes darüber entscheidet, ob Sicherheitsupdates für eine längere Zeit notwendig sind oder nicht. Wahrscheinlicher ist es, dass die Art und Verwendung des Produktes ebenfalls eine Rolle spielen. Selbst kostenlose Produkte, die eine Sicherheitslücke in sich tragen, können bekanntlich schwerwiegende Risiken in sich tragen.
Die Frage nach dem Aufwand
Interessant sind auch die Annahmen, die bei der Bestimmung des sogenannten Erfüllungsaufwandes gemacht werden. So geht man zum Beispiel davon aus:
- Für die Schätzung wird angenommen, dass die Wirtschaft, zumeist der Hersteller des Produkts, auch nach bisheriger Rechtslage im Schnitt bereits für zwei Jahre nach dem Erscheinungsjahr eines Gerätetyps mit digitalen Elementen alle notwendigen Updates zur Verfügung gestellt hat.
- Es ist davon auszugehen, dass Sicherheitsupdates derzeit nur dann zur Verfügung gestellt werden, wenn sie für nötig erachtet werden. Es wird von 2 Updates pro Jahr ausgegangen, um Sicherheitslücken zu schließen.
Diese Annahmen wirken nicht wirklich praxisgerecht, denn „alle notwendigen Updates“ werden sicherlich in vielen Fällen nicht bereits heute zur Verfügung gestellt. Ebenso scheint die Zahl der notwendigen Sicherheitsupdates pro Jahr nicht sehr realitätsnah. Bereits hier zeigt sich, dass sich der Erfüllungsaufwand in der Praxis anders darstellen könnte.
Es wäre also wünschenswert, die so wichtige Updatepflicht weiter zu überarbeiten und auf breitere Füße zu stellen.
(ID:47141902)
:quality(80)/images.vogel.de/vogelonline/bdb/1929500/1929508/original.jpg "Interessierte können die Inhalte des IT-Sicherheitskongresses noch bis Anfang März abrufen. (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1887700/1887730/original.jpg "Der gemeinnützige Verein Deutschland sicher im Netz e.V. (DsiN) ist für Verbraucher und Unternehmen ein Ansprechpartner für Fragen der IT-Sicherheit. (gemeinfrei)")