Aktueller Channel Fokus:

Systemhaus der Zukunft

Zertifizierung kritischer Infrastrukturen

EU-Parlament stimmt über Cybersecurity Act ab

| Redakteur: Julia Schmidt

Am 12.3.19 stimmte das Europäische Parlament über den Cybersecurity Act, ab. Bisher fehlende transnationale Richtlinien und Zertifizierungen erschweren diese Aufgabe. Der Cybersecurity Act soll nun die digitale Sicherheit in Europa stärken.
Am 12.3.19 stimmte das Europäische Parlament über den Cybersecurity Act, ab. Bisher fehlende transnationale Richtlinien und Zertifizierungen erschweren diese Aufgabe. Der Cybersecurity Act soll nun die digitale Sicherheit in Europa stärken. (Bild: © Artenauta - stock.adobe.com)

Das Europäische Parlament hat über den Cybersecurity Act abgestimmt und ihn mit überwältigender Mehrheit verabschiedet. EU-weit werden Produkthersteller damit aufgefordert, entsprechende Maßnahmen zu ergreifen, um ihre Systeme gegenüber Angriffen abzusichern.

Am Dienstag verabschiedeten die Abgeordneten die EU-Verordnung zur Cybersicherheit mit 586 Stimmen gegen 44 und bei 36 Enthaltungen. Die Abgeordneten äußern sich besorgt angesichts der in jüngster Zeit erhobenen Vorwürfe, dass 5G-Geräte, die von chinesischen Unternehmen entwickelt werden, eingebaute Hintertüren enthalten könnten, die es den Herstellern und den Behörden ermöglichen, unbefugt auf private und personenbezogene Daten sowie auf die Telekommunikation in der EU zuzugreifen.

Sie befürchten auch, dass Anbieter von Ausrüstungen aus Drittländern ein Sicherheitsrisiko für die EU darstellen könnten, da die Gesetze ihres Herkunftslandes alle Unternehmen verpflichten, zum Schutz der Staatssicherheit mit dem Staat zusammenzuarbeiten, wobei der Begriff „Staatsicherheit“ sehr weit gefasst ist. Insbesondere die chinesischen Staatssicherheitsgesetze haben in verschiedenen Ländern Reaktionen ausgelöst, die von der Durchführung von Sicherheitseinschätzungen bis hin zu völligen Verboten reichen.

Die nächsten Schritte

In dem „Rechtsakt zur Cybersicherheit“, der bereits informell mit den Mitgliedstaaten vereinbart wurde, wird die Bedeutung der Zertifizierung kritischer Infrastrukturen unterstrichen. Dazu gehören Energienetze, die Wasser- und Energieversorgung und Bankensysteme sowie Produkte, Verfahren und Dienstleistungen.

Bis 2023 prüft die Kommission, ob eines der neuen freiwilligen Systeme verpflichtend gemacht werden sollte. Der Rechtsakt zur Cybersicherheit sieht auch ein ständiges Mandat und mehr Mittel für die EU-Cybersicherheitsagentur ENISA vor.

Der Rat muss nun den Rechtsakt zur Cybersicherheit förmlich billigen. Die Verordnung tritt 20 Tage nach ihrer Veröffentlichung in Kraft. Die Entschließung zur zunehmenden technologischen Präsenz Chinas in der EU wird der Kommission und den Mitgliedstaaten übermittelt.

Originalnachricht vom 12.3.2019:

Die Abstimmung über den „Rechtsakt zur Cybersicherheit“, den Cybersecurity Act, ist für Dienstag, den 12. März, zwischen 12:30 und 14:30 Uhr geplant (zur Tagesordnung). Das Plenum des Europäischen Parlaments wird live übertragen.

Mit der zunehmenden Verbreitung von Smart-Home-Geräten und professionellen vernetzten Systemen hat sich das Thema Cybersicherheit zu einer ernsten Herausforderung für Privatanwender und Unternehmen entwickelt. Hersteller stehen in der Pflicht, für die Security ihrer Produkte Rechnung zu tragen. Der Cybersecurity Act birgt Chancen, das Thema EU-weit anzugehen. Das könnte auch die Wettbewerbsposition heimischer Hersteller verbessern.

Maßnahmen der EU sollen Cybersicherheit stärken

Die Hersteller von Produkten sind aufgefordert, Maßnahmen zu ergreifen, um ihre Systeme gegenüber Angriffen abzusichern. Bisher fehlende transnationale Richtlinien und Zertifizierungen erschweren diese Aufgabe, zumal die Cyberkriminellen längst in internationalen Netzwerken arbeiten. Diese Situation hat die EU-Kommission auf den Plan gerufen: Der Cybersecurity Act soll die digitale Sicherheit in Europa stärken. Er umfasst im Kern zwei wichtige politische Entscheidungen:

1. Eine EU-Agentur für Cybersicherheit soll die Mitgliedstaaten dabei unterstützen, Cyberangriffen wirksam vorzubeugen und zu begegnen. Dafür wird das Mandat der bestehenden EU-Agentur für Netz- und Informationssicherheit (ENISA) erweitert und die Agentur mit zusätzlichen finanziellen und personellen Mitteln ausgestattet. Zu den Aufgaben der ENISA gehören bisher jährliche europaweite Cybersicherheitsübungen und eine Verbesserung des europaweiten Informationsaustauschs.

2. EU-weit einheitliche Cybersecurity-Zertifizierungen sollen die Sicherheit von Onlineservices und vernetzten Geräten verbessern. Die EU legt Zertifizierungsschemata für Produkte, Prozesse und Dienste fest. Existiert ein solches für z. B. ein Produkt, dann dürfen nationale Programme für dieses Produkt nicht mehr verwendet werden.

Die Zertifizierungen sind in allen Mitgliedstaaten der EU gültig, um den Verwaltungsaufwand und die Kosten für die Unternehmen zu senken. Grundsätzlich ist die Zertifizierung freiwillig, aber ein Zertifizierungsschema kann verbindlich werden, wenn das EU-Recht dies erfordert. Die Europäische Kommission wird bis 2023 eine Liste verbindlicher Zertifizierungsschemata vorlegen.

Die wichtigste Maßnahme ist der Aufbau des einheitlichen EU-Zertifizierungssystems, das so bisher nicht existiert. Zur Zertifizierung von Prozessen, Produkten und Diensten im Bereich der Informationssicherheit werden heute in den Ländern der EU bei der Mehrzahl der Zertifizierungen unterschiedliche Normen oder Zertifizierungsprogramme verlangt. Dies hat zur Konsequenz, dass zum Beispiel Hersteller von Computerhardware für jedes Land, in dem sie eine Zertifizierung benötigen, jeweils einmal den Zertifizierungsprozess durchlaufen müssen. Der Hersteller muss die Kosten auf das Produkt umlegen, was bedeutet, dass der Käufer die Mehrkosten trägt. Die Zeit, ein Produkt in einem Land in den Markt bringen zu können, wird größer, oder es wird auf eine Produkteinführung überhaupt verzichtet, weil die technische Entwicklung weiter vorangeschritten ist. Die EU möchte diese Situation ändern und einen gemeinsamen, digitalen Binnenmarkt (Digital Single Market) schaffen, indem einheitliche Kriterien für Cybersicherheit und Anerkennung von Produkten, Prozessen und Diensten gelten.

Drei Vertrauensgrade ermöglichen eine differenzierte Bewertung von Sicherheit

Für Produkte, Prozesse und Dienste werden drei Vertrauensgrade festgelegt. Diese drücken aus, inwieweit zum Beispiel der Hersteller gegenüber dem Käufer oder Anwender Sicherheit versprechen kann.

Der Vertrauensgrad „grundlegend“ bedeutet, dass man der in dem Zertifikat oder der Selbsterklärung (z. B. der Konformität) beschriebenen Sicherheit eingeschränkt vertrauen kann und dass Maßnahmen mit dem Ziel getroffen wurden, das Risiko von Zwischenfällen zu senken.

Beim Vertrauensgrad „werthaltig“ spricht man von einem wesentlichen Maß an Vertrauen und wesentlich gesenkten Risiken.

Der Vertrauensgrad „hoch“ soll den höchsten Grad von Vertrauen darstellen, wobei Maßnahmen zu dem Zweck getroffen wurden, dass Zwischenfälle überhaupt vermieden werden. Um einen Vertrauensgrad zu erreichen, müssen entsprechende Maßnahmen getroffen werden, zu deren Auswahl ein Risikomanagement eingesetzt wird, um die Anwendung, die Umgebung und mögliche Auswirkungen zu betrachten.

Verbraucher und Anwender profitieren von zertifizierter Sicherheit

„Der Vertrauensgrad ‚grundlegend‘ wird gelegentlich mit dem CE-Kennzeichen verglichen. Es stimmt zwar, dass beide auf einer Selbsteinschätzung des Herstellers aufbauen. Allerdings ist bei Cybersecurity zu beachten, dass der Hersteller die getroffenen Maßnahmen belegen muss, mit denen er das Risiko eines erfolgreichen Angriffs auf Werte des Anwenders oder Werte Dritter gemindert hat. Das ist in der Praxis nicht trivial. Um dieses zu bewerten, benötigen die Hersteller die notwendige Kompetenz, die in der Praxis meistens durch die Nutzung der Cybersecurity-Expertise von Vertragspartnern erreicht wird. Allein dieser Umstand stellt schon einen wesentlichen Unterschied zum CE-Zeichen dar,“ erläutert Alexander Köhler, Cybersecurity BD Manager weltweit im Bereich für Industrie 4.0, ICS und Energie bei UL. UL ist umfassender Spezialist für Softwaresicherheit von der Prüfung über die Zertifizierung, und vieles mehr.

Zertifizierungsprogramme gründen sich auf Normen, bevorzugt auf internationalen oder harmonisierten. Im Bereich der Industrieautomation ist zum Beispiel die Normenfamilie IEC 62443 führend. Für Internet-verbundene Produkte jeglicher Art besteht etwa die Norm ANSI/CAN/UL 2900-1. Welche Normen im Rahmen des Cybersecurity Acts zum Einsatz kommen werden, wird sich in der weiteren Entwicklung zeigen.

Die Umsetzung ist geregelt. Zertifizierungen zu den Vertrauensgraden „grundlegend“ und „werthaltig“ dürfen nur von akkreditierten, privatwirtschaftlichen Zertifizierungsstellen durchgeführt und nur von ihnen Zertifikate ausgestellt werden – nur in besonders zu begründenden Fällen von anderen. In jedem Land muss eine Behörde für die Überwachung der Zertifizierung vorhanden sein. In Deutschland werden diese Aufgaben von der Deutsche Akkreditierungsstelle (DAkkS) für die Kompetenzprüfung mittels Akkreditierung und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Überwachung der Zertifizierung übernommen. Zertifikate zu dem Vertrauensgrad „hoch“ werden grundsätzlich vom BSI ausgestellt.

„Dadurch bekommen die Verbraucher und Anwender die notwendigen Informationen, die sie bei einer Kaufentscheidung in Bezug auf Cybersicherheit unterstützen”, kommentiert Alexander Köhler. „Unternehmen und Behörden profitieren sogar noch stärker, da sie beim Kauf von Produkten mit dem höchsten Vertrauensgrad davon ausgehen können, dass die Security-Maßnahmen so ausgelegt sind, dass mit hoher Wahrscheinlichkeit ein Angriff nicht erfolgreich sein wird.“

Nur zertifizierte, sichere Produkte im Handel

Die Hersteller sind gefordert, entsprechende Maßnahmen zu treffen. Da diese an vielen verschiedenen Stellen beginnen können, bietet UL alle Dienstleistungen an, die dazu notwendig sind, beginnend bei der Sicherheitsarchitektur eines Produktes bis hin zu der Entsorgung. UL deckt den gesamten „Secure Product Development & Lifecycle“ ab. Der Kunde kann genau das Sicherheitsniveau auswählen, das er benötigt und erreicht damit effektive, also tatsächlich wirksame, und effiziente, also kostengünstige Sicherheit.

„Im Sinne des Lebenszyklusmodells sollte noch vor ‚Security-by-Design‘ das Konzept ‚Security-by-Decision‘ gesetzt werden: Ein Produktmanager sollte bereits bei der Konzeption eines Produkts entscheiden, ob er genügend Mittel in seiner Kalkulation zur Sicherstellung der Cybersecurity über den gesamten Lebenszyklus hinweg eingeplant hat, und ob anschließend noch der angestrebte Gewinn erwirtschaftet werden kann. Ist die Antwort ‚nein‘, so riskiert das Unternehmen viel Geld, die Reputation und gegebenenfalls sogar die Existenz, wenn er es trotzdem auf den Markt bringt,“ führt Alexander Köhler weiter aus.

Ziel müsse es sein, Produkte ohne jede zertifizierte oder erklärte Sicherheit im Handel nicht mehr zu vertreiben. Kunden sollten ihre Kaufentscheidung vom Grad der Sicherheit abhängig machen. Ein Kraftfahrzeug ohne Sicherheitsgurt, Airbag oder ESP (Elektronisches Stabilitätsprogramm) wird in Europa als minderwertig angesehen und bekommt keine Zulassung. Vernetzte Produkte ohne relevante und geprüfte Sicherheit sind gleichermaßen problematisch und können Schäden in der direkten Umgebung oder sogar über große Entfernungen verursachen. Hersteller von minderwertigen Produkten wälzen das Risiko auf den Kunden oder die Allgemeinheit ab. Damit entsteht ein Marktvorteil gegenüber den Anbietern, die Aufwand treiben. Der Cybersecurity Act definiert die Spielregeln: Hersteller, die auf billige und minderwertige Produkte setzen, werden vom Markt verdrängt. Somit bekommen beispielsweise heimischen Hersteller, die den genannten Aufwand treiben, durch den Cybersecurity Act jetzt einen Marktvorteil.

Allerdings bildet der Cybersecurity Act zunächst nur das rechtliche Rahmenwerk, das es in der Praxis mit Leben zu füllen gilt. Diese Aufgabe kann nun in gemeinschaftlicher Arbeit vorangetrieben werden. UL arbeitet aktiv an der Entwicklung entsprechender Inhalte mit und stellt Unternehmen die notwendige Kompetenz bereit, um von der Einführung des Cybersecurity Acts zu profitieren.

Dieser Beitrag stammt von unserem Partnerportal Elektronikpraxis.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45799784 / IT-Security)