Smarte Gadgets wie intel­ligente Baby­phones sind in der Regel mit dem Internet verbunden. Die Hersteller achten aller­dings oft nicht darauf, die Geräte vernünftig abzu­sichern. Das soll sich nun ändern.

Vernetzte Geräte wie Smartwatches sollen sicherer werdenFoto: teltarif.de Vernetzte Geräte wie smarte Kaffee­maschinen, Compu­ter­uhren und intel­ligente Baby­phones sollen künftig besser gegen Cyber­angriffe geschützt werden. Der Rat der EU-Innen­minis­terinnen und Innen­minister hat in Luxem­burg dazu den soge­nannten Cyber Resi­lience Act (CRA) beschlossen. Die neuen Rege­lungen des CRA legen erst­mals verbind­liche Cyber­sicher­heits­anfor­derungen für alle vernetzten Geräte fest, teilte das Bundes­innen­minis­terium mit.

Bundes­innen­minis­terin Nancy Faeser (SPD) sagte: "Vernetzte Produkte erleich­tern unseren Alltag, können aber auch von Krimi­nellen ausge­nutzt werden. Deshalb müssen sie sicher sein." Sie betonte, dass man sich darauf verlassen können müsse, dass ein vernetztes Gerät, das man bei sich trägt oder zu Hause hat, kein Sicher­heits­risiko darstellt. Mit dem Cyber Resi­lience Act werde die Cyber­sicher­heit in Europa auf ein neues Niveau gehoben.

Cyber­sicher­heit auf einen Blick

Vernetzte Geräte wie Smartwatches sollen sicherer werdenFoto: teltarif.de Faeser hob hervor, dass sowohl Verbrau­che­rinnen und Verbrau­cher als auch die Wirt­schaft vom CRA profi­tieren werden. "In Zukunft können sie anhand des vertrauten CE-Kenn­zei­chens auf einen Blick erkennen, dass ein vernetztes Gerät wesent­liche Cyber­sicher­heits­anfor­derungen erfüllt. Das bewährte CE-Kenn­zei­chen steht damit nun auch für Sicher­heit gegen Cyber­bedro­hungen."

Die neue Rege­lung verpflichtet Hersteller, Impor­teure und den Handel. "Sie müssen künftig sicher­stellen, dass die von ihnen vertrie­benen Produkte den Cyber­sicher­heits­anfor­derungen genügen und mit einem CE-Kenn­zei­chen versehen sind", teilte das Innen­minis­terium mit. Zudem müssen Hersteller IT-Schwach­stellen und Cyber­vor­fälle an eine zentrale Melde­stelle melden und regel­mäßig Sicher­heits­updates anbieten.

Das Bundesamt für Sicher­heit in der Infor­mati­ons­technik (BSI) wertet die Verab­schie­dung des CRA als wich­tigen Schritt, um die Cyber­sicher­heit der vernetzten Hard- und Soft­ware­pro­dukte signi­fikant zu erhöhen. BSI-Präsi­dentin Claudia Plattner sagte, künftig müssten Hersteller über den gesamten Lebens­zyklus ihrer Produkte und Anwen­dungen die Verant­wor­tung für deren Cyber­sicher­heit über­nehmen. Damit würden die Sicher­heit digi­taler Produkte und das Vertrauen in die Digi­tali­sie­rung erheb­lich gestärkt. "Davon profi­tieren alle Anwen­derinnen und Anwender und letzt­lich auch die Hersteller, denn ihre Produkte werden quali­tativ hoch­wer­tiger und sicherer."

Drei Jahre Über­gangs­zeit

Für den Cyber Resi­lience Act ist ein Über­gangs­zeit­raum von drei Jahren vorge­sehen. Spätes­tens ab November 2027 müssen alle auf dem Markt vertrie­benen Produkte die neuen Cyber­sicher­heits­anfor­derungen erfüllen und dies mit einem CE-Kenn­zei­chen doku­men­tieren.

Die Digi­tal­branche begrüßte die Rege­lung. Sie sei ein zentraler Baustein für die Stär­kung der Cyber­sicher­heit in der EU, da Produkte mit digi­talen Elementen nun einheit­liche Sicher­heits­stan­dards erhalten, sagte Susanne Dehmel, Mitglied der Geschäfts­lei­tung im Bran­chen­ver­band Bitkom. Die 36-mona­tige Über­gangs­frist sei aber ange­sichts der großen Heraus­for­derungen nicht viel Zeit. "Daher ist es wichtig, dass die Politik die Unter­nehmen bei der Umset­zung aktiv unter­stützt." Die Unter­nehmen müssten Klar­heit darüber haben, welche Krite­rien sie erfüllen müssen.

Führer­schein und Perso­nal­aus­weis beim Amt über einen Messenger bean­tragen: Das soll bald Realität werden mit dem BundesMessenger. Das System­haus der Bundes­wehr holt dazu nun die Telekom ins Boot.