Weltweit gibt es schätzungsweise 7,74 Milliarden IoT-verbundene Geräte, und diese Zahl wird bis 2030 voraussichtlich auf 29 Milliarden ansteigen. In den letzten Monaten gab es einige große Ankündigungen, die darauf abzielen, verbundene Geräte widerstandsfähiger gegen Cyberkriminalität zu machen. Dazu gehören der neue globale Standard der Connectivity Standards Alliance (CSA) und der Vorschlag der Europäischen Union (EU) zum Cyber Resilience Act. Aber wie sollen diese Bemühungen dazu führen, dass die Geräte gegen Cyberangriffe geschützt werden?
Wie wird die Connectivity Standards Alliance (CSA) die Sicherung von Geräten weltweit vereinheitlichen?
Bislang gab es keinen vereinfachten, weltweit akzeptierten Standard für die Verbindung von IoT-Geräten. Das hat dazu geführt, dass die Verbraucher für die Verbindung mehrere, verwirrende Methoden nutzen können bzw. müssen. Die Connectivity Standards Alliance (CSA) will dies ändern und gleichzeitig durch einen neuen globalen Standard gewährleisten, dass neue Geräte sicher sind. Dieser als „Matter“ bezeichnete Standard fördert die Interoperabilität zwischen Geräten und Plattformen und entwickelt so die Zukunft der Smart Homes weiter.
Lesen Sie dazu auch: GlobalSign wird Mitglied der Connectivity Standards Alliance
Erfahren Sie mehr über die IoT-Gerätesicherheit
Was ist der Cyber Resilience Act?
Der Vorschlag für den Cyber Resilience Act wurde von der EU im September 2022 veröffentlicht. Diese Verordnung zielt darauf ab, durch die Stärkung der Cybersicherheitsvorschriften die Sicherheit der auf dem EU-Markt angebotenen Hardware- und Softwareprodukte zu gewährleisten.
Hardware- und Softwareprodukte werden immer häufiger Opfer von Cyberangriffen, deren Kosten weltweit auf 5,5 Billionen Euro geschätzt werden. Der EU-Rechtsrahmen deckt bisher die Cybersicherheit von nicht eingebetteter Software nicht ab, weshalb in dem Vorschlag zwei Hauptziele genannt werden:
- Hardware- und Softwareprodukte mit weniger Schwachstellen auf den Markt bringen, indem die Voraussetzungen für die Entwicklung sicherer Produkte mit digitalen Elementen geschaffen werden und sichergestellt wird, dass die Hersteller die Sicherheit während des gesamten Produktlebenszyklus ernst nehmen
- den Nutzern die Möglichkeit geben, bei der Auswahl und Nutzung von Produkten mit digitalen Elementen das Thema Cybersicherheit zu berücksichtigen
Wie kann der vorgeschlagene Cyber Resilience Act Geräte sicherer machen?
Als erste EU-Rechtsvorschrift dieser Art wird der Cyber Resilience Act verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen während ihres gesamten Lebenszyklus einführen. Dabei wird erwartet, dass dies sowohl für Verbraucher- als auch für Industrieprodukte gelten wird. Die vorgeschlagenen Maßnahmen umfassen einen Rahmen, der sich über die gesamte Wertschöpfungskette von der Planung, dem Entwurf und der Entwicklung bis hin zur Wartung und dem laufenden Support erstreckt.
Quelle: Cyber Resilience Act factsheet
Welche Verpflichtungen hat der Hersteller im Rahmen des vorgeschlagenen Cyber Resilience Act??
- Die Cybersicherheit wird in allen Phasen berücksichtigt: Planung, Entwurf, Entwicklung, Produktion, Lieferung und Wartung
- Alle Cybersicherheitsrisiken werden dokumentiert
- Aktiv ausgenutzte Schwachstellen und Zwischenfälle sind meldepflichtig
- Nach dem Verkauf müssen die Hersteller sicherstellen, dass während der erwarteten Produktlebensdauer oder während eines Zeitraums von fünf Jahren (je nachdem, welcher Zeitraum kürzer ist) Schwachstellen wirksam beseitigt werden
- Erstellung klarer und verständlicher Anweisungen für die Nutzung von Produkten mit digitalen Elementen
- Sicherheits-Updates müssen mindestens fünf Jahre lang zur Verfügung gestellt werden
Wann kann mit dem Inkrafttreten des Cyber Resilience Act gerechnet werden?
Der Cyber Resilience Act wird derzeit vom Europäischen Parlament und vom Rat überprüft. Wenn der Vorschlag angenommen wird und in Kraft tritt, haben die Wirtschaftsbeteiligten und die Mitgliedstaaten zwei Jahre Zeit, sich an die neuen Anforderungen anzupassen.
Dabei wird darauf hingewiesen, dass die Verpflichtung zur Meldung aktiv ausgenutzter Schwachstellen und Vorfälle bereits nach einem Jahr in Kraft treten wird.
Wie können verbundene Geräte schon jetzt gesichert werden?
Obwohl der vorgeschlagene CRA eine bedeutende Entwicklung darstellt, gibt es Schritte, die Sie unternehmen können, um Ihre Geräte schon jetzt mit der Public Key Infrastructure (PKI)-Technologie zu sichern.
PKI sorgt für eine vertrauenswürdige IoT-Erfahrung, die durch sichere digitale Zertifikate unterstützt wird. Und mit GlobalSigns IoT Identity Platform wird die Gerätesicherheit skalierbar, flexibel und interoperabel.
