EU: Jetzt kommt der Beipackzettel für IT-Produkte

Veröffentlicht am: 18. Juli 2019 Autor: Ralf Koenzen Veröffentlicht in Netzpolitik Keine Kommentare

Stellen Sie sich vor, dass Sie in Zukunft mit dem Kauf von Hard- oder Software auch einen „Beipackzettel“ des Herstellers erhalten, der Sie detailliert über die gewährleistete IT-Sicherheit informiert. Was für Arzneimittel heute schon Pflicht ist, könnte Ihnen in Zukunft immer häufiger auch bei ITK-Produkten begegnen. Mit dem Ende Juli in Kraft getretenen EU Cybersecurity Act sollen solche „Beipackzettel“ Realität werden – dank eines einheitlichen europäischen Zertifizierungsrahmens für ITK-Produkte. Damit kommen wir unserem gemeinsamen Ziel, das IT-Sicherheitsniveau in der EU signifikant zu erhöhen, ein gutes Stück näher.

Eine Zertifizierung für alle Länder

Der europäische Zertifizierungsrahmen bildet ein umfassendes Regelwerk aus technischen Vorgaben, Normen und Verfahren, die dabei helfen, EU-weit gültige Schemata für die sicherheitstechnische Bewertung von Hard- und Software zu entwickeln. Hersteller können ihre Produkte und Dienste dann für eine von drei Sicherheitsstufen zertifizieren lassen: niedrig, mittel und hoch. Zunächst geschieht das auf freiwilliger Basis. Die EU-Kommission hat sich aber vorbehalten, die Zertifizierungen zu einem späteren Zeitpunkt zur Pflicht zu machen. Über das jeweils gewährte IT-Sicherheitsniveau klärt der Hersteller den Anwender über den Beipackzettel auf. Ziel des Ganzen: Den Binnenmarkt weiter öffnen und für Anwender und Verbraucher mehr Transparenz in Sachen IT-Sicherheit schaffen. Bleibt zu hoffen, dass die Verbraucher das neue System annehmen und künftig ein genauso großes Augenmerk auf die IT-Sicherheit legen, wie sie es etwa bei Hausgeräten und der Energieeffizienzklasse bereits machen.

Weitere Puzzleteile: Mindeststandards und Update-Pflicht

Die Zertifizierungen sind ein wichtiges Puzzleteil, das, wenn sinnvoll umgesetzt und vom Markt akzeptiert, durchaus merklich zu mehr IT-Sicherheit in Europa beitragen kann. Doch damit alleine ist es nicht getan. Eine noch wirkungsvollere Maßnahme wäre die Einführung von verpflichtenden IT-Sicherheitsmindeststandards für internetfähige Produkte, die in der EU vertrieben werden. Nur so kann effektiv verhindert werden, dass Produkte, die nicht wenigstens über ein Mindestmaß an IT-Security verfügen, überhaupt in die Unternehmen und Haushalte gelangen. Die Konsequenz für die Unternehmen, die sich für die IT-Sicherheit ihrer Produkte nicht interessieren, wäre so simpel wie wirkungsvoll: Herstellern, die das nicht interessiert, bliebe künftig der Zugang zum europäischen Markt schlicht und ergreifend verschlossen.

Aber auch das greift erst so richtig, wenn man sich das nächste kritische Thema vornimmt: die Update-Pflicht! Hier hat die EU im April mit der Annahme der „sale of goods directive“ einen ganz entscheidenden Schritt gemacht. Denn die Details der Richtlinie haben es in sich! Erstmals werden schwarz auf weiß Sicherheitslücken in internetfähigen Produkten einem Sachmangel gleichgesetzt. Dem Verbraucher werden damit ganz neue Rechte eingeräumt, wenn er zum Beispiel vom Hersteller keinen Sicherheits-Patch für sein gerade erst gekauftes Smartphone erhält. Gleichzeitig erhöht die Richtlinie den Druck auf Hersteller immens. Jetzt ist es an den Verbrauchern, ihre neuen Rechte konsequent einzufordern, und an den Gerichten, diese bei etwaigen Auseinandersetzungen in die Waagschale zu werfen!

Starke Verschlüsselung schützen

Während sich jedoch auf der einen Seite durchaus etwas bewegt, gibt es auch immer wieder irritierende Momente in der europäischen Cybersicherheitspolitik.

Erst im Mai machte Bundesinnenminister Seehofer Schlagzeilen, als er die Entschlüsselung von Messenger-Diensten forderte. Natürlich ist es verständlich, dass sich die Sicherheitsbehörden im Kampf gegen die organisierte Kriminalität und den Terrorismus wirksame Mittel wünschen. Doch muss hier die Frage erlaubt sein, ob das Aufweichen von Verschlüsselung oder das verpflichtende Einbauen von Backdoors wirklich mehr Nutzen als Schaden birgt. Wir sagen ganz deutlich: Nein, Verschlüsselung muss unangetastet bleiben!

Unternehmen und auch private Anwender haben ein Recht darauf, ihre Daten vor den Augen Dritter zu schützen. Mehr noch: Dieser Schutz ist ein Grundrecht eines jeden Menschen und zudem in vielen Bereichen der Wirtschaft geschäftskritisch! Jede Schwächung verschlüsselter Dienste öffnet Kriminellen und Daten-Spionen Tür und Tor. Selbst die beste Verschlüsselungstechnik ist dann bloß noch eine Festung ohne Mauern.

Auch wenn es für die Politik verlockend ist, ein Aufweichen von Verschlüsselung zu fordern, muss die Haltung hier eindeutig sein: Eine starke Verschlüsselung ist nur von Wert, wenn sie zuverlässig und ohne Hintertüren arbeitet! Eine starke Verschlüsselung ist ein geradezu elementarer Bestandteil für ein schlüssiges und verlässliches IT-Sicherheitskonzept für Europa. Ganz so, wie es auch Zertifizierungsrahmen, Update-Pflicht und IT-Sicherheitsmindeststandards sind.

Verwandte Posts

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.