Im Jahr 2022 hat die EU ein Regelwerk vorgeschlagen, dass die Hersteller vernetzter Technik im EU-Raum zu mehr IT- Sicherheit verpflichten soll. Das Cyber-Resilienzgesetz steht noch immer im Schatten der „großen“ Gesetze „Digital Service Act“ und „Digital Markets Act“, soll aber den Verbrauchern mehr Sicherheit geben, wenn sie vernetzte Produkte für den Haushalt kaufen. Das Gesetz wird demnächst final vom Europaparlament und dem Europäischen Rat verabschiedet.
IoT- Internet of Things: ohne Schutz für Kunden und Nutzer?
Das Internet of Things ( IoT) wurde vor ein paar Jahren als das neue Zeitalter des Internets gefeiert. Mittels Vernetzung können Nutzer jederzeit auf Geräte daheim oder in der Firma zugreifen, Heizungen und Licht an- und ausstellen oder auch per Webcam sehen, wer gerade vor der Tür steht. Vernetzte Kühlschränke senden Einkaufslisten an den zuständigen Versand oder erstellen Shoppinglisten.
Das alles sehen die Nutzer – und auch Hacker, denn die Hersteller dieser Produkte haben ihre Verantwortung für die Absicherung jahrelang von sich geschoben und sträflich vernachlässigt. Keine Absicherung ab Werk, kein Service, keine Updates und veraltete Technik – so sieht die IoT-Gerätelandschaft in der EU aus.
Shodan: Suchmaschine für Hacker
Shodan ist eine spezielle Suchmaschine für das IoT, kann alle vernetzten,ungeschützten Geräte auffinden. Sie war für Sicherheitsexperten und Fachleute als „Supergoogle“ gedacht, ist aber zu einem Werkzeug für Cyberkriminelle geworden.
Experten haben bereits vor längerer Zeit mittels Shodan gezeigt, wie schlecht diese vernetzten Geräte gegen Hacker, Spione und andere kriminelle Subjekte geschützt sind. Mehrere Millionen ungeschützter Geräte dieser Art werden mittlerweile in Unternehmen und Haushalten genutzt und für Hacker ist es so einfach, sie über Shodan zu finden und zu manipulieren.
Hersteller müssen nachrüsten: mehr Sicherheit für Verbraucher
Das neue Gesetz schreibtImporteuren und Vertreibern vernetzter Geräte jetzt Mindestfristen von fünf Jahren vor, in denen sie für ihre Technik Sicherheitsupdates bereitstellen müssen. Kundenservices sind obligatorisch und es muss ein Nachweis vorliegen, dass die Komponenten über den „gesamten Lebenszyklus der Technik“ sicher sind.
Gut für die Verbraucher, doch es gibt einen Haken. Nachdem das Gesetz in Kraft tritt, haben die Hersteller, der Handel und Importeure noch 36 Monate Zeit, die Regelungen umzusetzen. Das Gesetz gilt sowieso nur für neue Produkte, also müssen die Besitzer dieser Geräte selbst aktiv werden und sie absichern oder durch neue Technik ersetzen.
Das alles ist sicher für den normalen EU-Bürger unverständlich, nachdem die Kommission schon Jahre gebraucht hat, ein verabschiedungsreifes Gesetz zu erstellen. Man würde sich etwas mehr Geschwindigkeit bei der Erstellung und Vehemenz bei der Durchsetzung solch wichtiger Regelungen wünschen.