Veröffentlicht inNews

EU will IoT-Produkte sicherer machen

IoT-Produkte sollen sicherer werden. Die Europäische Kommission hat dazu den Cyber Resilience Act verabschiedet.

Ein kleines Kind schaut auf ein Tablet.
Die EU will IoT-Produkte mit dem Cyber Resilience Act sicherer machen. © Pixabay / twinquinn84

IoT-Produkte sind alltägliche Gegenstände mit Internetanschluss. Die Rede ist vom Internet der Dinge, auf Englisch: Internet of things (IoT). Sei es beispielsweise der Wlan-Toaster, das sprechende Plüschtier mit Internetanschluss oder auch Sexspielzeuge, die sich aus der Ferne steuern lassen. Die Bandbreite ist groß und wächst mit der Entwicklung ganzer Smart Homes noch weiter. Dabei wird diesen Dingen nicht immer die nötige Beachtung geschenkt. Denn was Internetzugang hat, kann auch gehackt werden.

Cyber Resilience Act für sicherere IoT-Produkte

Um den Missbrauch von IoT-Produkten einzuschränken, hat die Europäische Kommission im September 2022 den Cyber Resilience Act (CRA) verabschiedet, auf deutsch: EU-Gesetz zur Cyberresilienz. Hersteller werden dabei verpflichtet, Cyber-Sicherheit in allen Schritten zu beachten, die ein Produkt durchläuft, korrekt in der Planungsphase, der Entwurfsphase, der Entwicklung, wie auch der Produktion und bei der Lieferung. Zudem müssen Wartungen angeboten werden, etwa Updates, die die fortwährende Sicherheit gewährleisten sollen. Sie müssen mindestens innerhalb der ersten fünf Jahre zur Verfügung stehen.

Für erkannte Schwachstellen der Geräte besteht eine Meldepflicht sowie die Verpflichtung, potenzielle Sicherheitsmängel während der angenommenen Produktlebensdauer zu beseitigen. Diese beträgt maximal fünf Jahre.

Außerdem müssen Hersteller IoT-Produkte mit einer verständlichen Anleitung liefern, die über den sicheren Gebrauch informieren.



Effizienz des CRA fraglich

Die EU Kommission unterscheidet innerhalb des CRA zwischen IoT-Produkten der Kategorien “Standard”, “erste, kritische Klasse” sowie “Hochrisikoklasse”. Unter die Standard-Kategorie fallen dann unter anderem Bildbearbeitungsprogramme, digitale Lautsprecher wie auch Kinderspielzeuge. Alle diese Produkte kommen mit sehr persönlichen und sensiblen Daten in Berührung, allerdings besteht in dieser Kategorie keine Verpflichtung zu einer externen Prüfung. Die Unternehmen unterziehen sich dabei lediglich einer Selbstprüfung auf Konformität zum CRA.

Mit einem Tablet, einem Haus, einer Glühbirne und diversen anderen stilisierten Symbolen wird ein Smart Home angedeutet.
Smart Home-Produkte fallen in den IoT-Bereich und müssen geschützt werden. © Pixabay / geralt

In der ersten, kritischen Klasse befinden sich unter anderem Firewalls und Passwortmanager. Hier gilt für Unternehmen: Entweder müssen sie selbst einen Standardprüfungsprozess aufsetzen – sprich wieder Eigenverantwortung der Unternehmen – oder sie müssen sich von einem Drittunternehmen – keinem staatlichen Akteur – überprüfen lassen.

Auch in der dritten Kategorie, der Hochrisikoklasse gibt es keine offizielle Prüfstelle, Industrie-Firewalls, Betriebssysteme und CPUs beispielsweise müssen Drittanbieter testen. Dabei sind diese Produkte besonders relevant für die allgemeine und wirtschaftliche Sicherheit. Hacker können hier entsprechend großen Schaden anrichten.

Avatar photo

Maja-Lina Lauer arbeitet seit Oktober 2022 als Volontärin für IMTEST. Zuvor studierte sie Sozial- und Kulturwissenschaften in Fulda mit Schwerpunkt interkulturelle Beziehungen. Vor ihrem Volontariat engagierte sie sich zudem ehrenamtlich in den Bereichen Bildungsarbeit und Naturschutz. Entsprechend liegen ihr Fairness und Nachhaltigkeit sehr am Herzen. Ob alternative Mobilität, Foodsharing-Apps oder langlebige Recyclingprodukte – sie kann sich für vieles begeistern, Hauptsache es ist sinnvoll, nachhaltig und erschwinglich.