In was für tollen Zeiten leben wir eigentlich? Wenn wir nach Hause kommen, geht automatisch das Licht an, der Staubsaugerroboter fährt gerade noch rechtzeitig zurück in seine Dockingstation und der intelligente Kühlschrank wurde fast von alleine befüllt mit dem, was wir brauchen. Die Pakete liegen im Flur, der Postbote konnte sich selbst hinein lassen.

In was für besorgniserregenden Zeiten leben wir eigentlich? Während viele „falsche Götter“ versuchen wollen, uns täglich als digitale Assistenten zu unterstützen, funktioniert nichts – im Gegenteil, wir stellen uns die digitalen Wanzen sogar noch freiwillig in die Wohnung. Hinter jedem „smart“ steckt immer eine Sicherheitslücke mehr. Früher wurden DDOS-Attacken mit großer Rechenleistung gefahren, heute reichen Millionen smarter Glühbirnen dafür. Und am Ende möchten uns sogar unsere Elektroroller töten. Zwar wissen viele Hersteller darüber Bescheid, Updates gibt es jedoch keine. Einmal verkauft ist die Hardware vergessen.

Zwei Darstellungen eines Themas, die Wahrheit liegt am Ende irgendwo in der Mitte. Zwei Dinge bleiben aber Fakt: Die Anzahl der vernetzten Geräte steigt, trotzdem legen viele Hersteller sehr wenig wert auf Service in Form von Updates.

Das EU-Parlament möchte jetzt dagegen vorgehen und beschloss am Dienstag den „Cybersecurity-Act“. Auf diesen hatten sich Volksvertreter, der Ministerrat und die Kommission vergangenen Dezember geeinigt. Hauptsächlich sollen damit Grundlagen für ein EU-weites IT-Sicherheits-Zertifikat geschaffen werden. So sollen vernetzte Geräte, Systeme und Dienste künftig ein eigenes Siegel erhalten, ebenso sollen gewisse Mindeststandards eingehalten werden.

Wird jetzt alles sicher oder zumindest besser? Eigentlich nicht, denn bisher reicht das Siegel nicht besonders weit. Hersteller müssen im Rahmen eines Prüfprozesses beweisen, dass keine bekannten Sicherheitslecks in den Geräten verbaut wurden – in meiner Naivität gehe ich davon aus, dass dies ohnehin nicht der Fall sein sollte. Interessanter wird es dann beim Thema Datenschutz, auch hier müssen die Hersteller gewisse Standards, Stichwort DSGVO, nachweisen. Ebenso muss belegt werden, dass ausreichend kompetentes Personal bereitsteht, um rasch auf Sicherheitslücken und Angriffe reagieren zu können.

Zertifizieren wir uns einfach selbst

Leider konnte der Gesetzesvorschlag im Trilog nicht ganz überzeugen, daher wurde der Entwurf weiter entschärft. So sollen Firmen ihre Produkte künftig selbst zertifizieren dürfen, um Geld zu sparen und kostspielige Tests in externen Labors zu vermeiden. Die Kommission darf bis 2023 immerhin prüfen, ob diese Vorgaben so dann auch ausreichen. Ein Umstand, der von Verbraucherschützern selbstredend erheblich kritisiert wird, selbiges gilt für den Chaos Computer Club, der seit langem ein Mindesthaltbarkeitsdatum für IoT-Geräte fordert.

Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) bekommt weitgehende Mandate, sie soll Mitgliedsstaaten bei der Umsetzung der Richtlinie helfen und in Zukunft auch jährliche Cybersecurity-Übungen durchführen.

Die große Sorge vor China

Am Ende zeigt sich das Parlament auch skeptisch was Hardware, vor allem im Bereich 5G, aus dem Ausland – speziell China – betrifft. Damit geht die EU indirekt auch auf das lang anhaltende Thema rund um Huawei ein. Auch diese Hardware soll dementsprechend zertifiziert werden und die Ausrüstung sollte über möglichst viele Hersteller angeschafft werden.

Ob eine weitere Industrie-freundliche Regelung reichen wird, um die Demonstranten auf der Straße zu beruhigen? Sicherlich nicht. Am Ende verspielt die EU eine wichtige Chance, Hersteller in ihre Pflicht zu nehmen.

Via Heise.de