Cybersicherheit: Warum wir international denken müssen

Veröffentlicht am: 7. Dezember 2017 Autor: Ralf Koenzen Veröffentlicht in Allgemein Keine Kommentare

Im November ging es mal wieder hoch her in Sachen Cybersicherheit. „TeleTrusT schlägt Alarm und warnt vor zunehmender Cyberkriminalität“ war da zu lesen. „BSI: Die IT-Sicherheit in Deutschland ist weiterhin angespannt“, und: „Cybercrime kostet deutsche Unternehmen 42 Prozent mehr als im Vorjahr“. Die Ticker-Meldungen überschlugen sich förmlich.

Blicken wir tiefer in die Materie, wird schnell klar, woran es krankt. Während einerseits immer noch viele Unternehmen umfangreiche Investitionen in IT-Sicherheit scheuen, stehen sie – und Millionen von Privatanwendern – gleichzeitig vor einer schier unlösbaren Aufgabe: sichere von unsicheren Lösungen zu unterscheiden.

Was ist schon sicher?

Beim Automobil ist es einfach. Vor der Zulassung müssen neue Modelle zahlreiche Sicherheitstests durchlaufen und internationale Standards erfüllen – von der Qualität der Bremsscheiben bis zur elektronischen Wegfahrsperre. So kommt heute in der EU kein Wagen mehr auf den Markt, der nicht mindestens elektronische Stabilitätskontrolle und Reifendrucksensor aufweist. Crashtests sind eine zusätzliche, wichtige Orientierungshilfe.

Ganz anders in der Informationstechnik. Während Produkte beispielsweise klare Vorgaben zur elektromagnetischen Verträglichkeit (EMV) oder physischen Sicherheit erfüllen müssen – ein Beispiel ist der Schutz vor Stromschlägen -, gibt es für normale Consumer- und Business-Produkte keinerlei Vorgaben an die IT-Sicherheit.

Chancen und Risiken

Genau das möchte die Europäische Kommission nun ändern. Mit ihrem Cybersecurity Act will sie das Grundniveau der IT-Sicherheit in Europa erhöhen. Helfen sollen dabei Zertifzierungsschemata, die von der europäischen Agentur für Netzwerk- und Informationssicherheit, kurz ENISA, kommen. Doch was genau verbirgt sich hinter den Plänen der Politiker in Brüssel?

Neben dem Streben nach mehr IT-Sicherheit in Europa hat die EU-Kommission vor allem auch die Hersteller im Blick. Sie sieht das Wachstum europäischer IT-Anbieter vor allem dadurch gebremst, dass es innerhalb der EU keine einheitlichen Sicherheitszertifizierungen gibt, die das Vertrauen der Nutzer in den europäischen Märkten stärken. Der neue Ansatz soll es Unternehmen ermöglichen, schneller und kostengünstiger IT-Produkte mit Sicherheitszertifikat innerhalb der EU zu verkaufen.

Dass dieser Ansatz für die Unternehmen attraktiv ist, steht außer Frage. Sie könnten mit den – freiwilligen – Sicherheitszertifikaten werben und sicher den einen oder anderen neuen Kunden gewinnen. Ein guter, erster Schritt – aber eben auch nicht mehr.

Will die EU-Kommission jedoch ihr selbstgestecktes Ziel erreichen und das IT-Sicherheitsniveau in ganz Europa für internetfähige Produkte aller Art – von der smarten Glühbirne bis zum Breitband-Router – effektiv erhöhen, muss sie ihren Cybersecurity Act deutlich ausweiten und über freiwillige Zertifizierungen hinausgehen. Wir brauchen klare Mindeststandards für die IT-Sicherheit aller internetfähigen Produkte. Nur so lassen sich effiziente Markteintrittsbarrieren für Billig-Anbieter mit mangelnder IT-Sicherheit schaffen und Verbraucher und Unternehmen besser vor unüberschaubaren Risiken schützen.

Mit dieser Kombination – freiwillige Zertifikate und verbindliche Mindeststandards – hätte die EU-Kommission die Chance, einen echten Binnenmarkt für alle Hersteller zu etablieren und gleichzeitig das IT-Sicherheitsniveau nachhaltig zu steigern. Europäische Hidden Champions könnten deutlich schneller und kostengünstiger neue Märkte in anderen EU-Ländern erschließen, „Schwarzen Schafen“ wiederum würde der Marktzugang deutlich erschwert. Für Anwender, die sich nicht aktiv mit IT-Sicherheit auseinandersetzen können oder wollen, würde ein deutliches Plus an IT-Sicherheit entstehen.

Cybersicherheit: Können Hersteller-Haftung und Update-Pflicht helfen?

Ein weiterer Hebel, von dem sich die Politik mehr IT-Sicherheit verspricht, ist eine Verschärfung der Hersteller-Haftung. Ob ein Mehr an Haftung tatsächlich auch mehr Sicherheit nach sich zöge, ist allerdings zweifelhaft. Einerseits sind die Haftungsregeln hierzulande bereits sehr umfassend und decken mit dem Produkthaftungsgesetz und der Produzentenhaftung viele Schäden ab. Wichtiger ist jedoch, dass Haftung immer nur nachgelagert wirkt und zudem das Problem der Beweislast für den Geschädigten mit sich bringt. Der wiederum dürfte nur in den seltensten Fällen in der Lage sein, einem Hersteller sein Verschulden tatsächlich nachzuweisen. Die stetig zunehmende Komplexität heutiger IT-Systeme macht das Ganze nicht einfacher.

Höhere Markteintrittsbarrieren – also verhindern, dass unsichere Produkte auf den Markt kommen – hingegen würden präventiv wirken. Ein Ansatz, der allen nützen würde.

Ebenso effektiv auf das Sicherheitskonto einzahlen würden gesetzlich geregelte Update-Pflichten. Nicht erst die jüngsten Sicherheitslücken haben gezeigt, dass Freiwilligkeit oft die Anwender im Regen stehen lässt. Während einige Hersteller beim Bekanntwerden von Schwachstellen vorbildlich schnell Security-Updates liefern, bleiben in anderen Fällen die Nutzer auf ihren Sicherheitslücken sitzen.

Leider fehlt auch dieser Ansatz in dem EU-Papier gänzlich.

Hand in Hand mit den Mitgliedsstaaten

Wie es mit dem European Cybersecurity Act weitergeht, werden wir in den nächsten Monaten erfahren. Dass das Thema angegangen wird, ist richtig und konsequent. Allerdings wird der Erfolg in hohem Maße von der genauen Ausgestaltung abhängen. Zudem ist wichtig, dass die Kommission die Mitgliedsstaaten mit an den Tisch holt und auch mit der Wirtschaft eng kooperiert. So könnten – soweit vorhanden – bewährte Zertifizierungsansätze aus einzelnen Ländern schnell und effektiv europaweit ausgerollt werden, statt in langwierigen Prozessen neu entwickelt zu werden.

Für ein schnelles Mehr an IT-Sicherheit in Europa wäre das der beste Weg.

Verwandte Posts

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.