Anzeige

Schloss und Netzwerkkabel auf EU-Karte

Angriffe von Cyberkriminellen bedrohen nicht nur die Wirtschaft, sondern jeden von uns. Die geplante EU-Verordnung zur Standardisierung von Cybersicherheit soll die Sicherheit von Onlinediensten und vernetzen Geräten verbessern. „Das Problem der unsicheren Produkte wächst schneller als die Bürokratie nachkommt“, kommentiert Mirko Ross und warnt vor einer zahnlosen Verordnung.

Bei der Konferenz „EU Cybersecurity Act“ im November 2019 in Brüssel beschäftigten sich Experten mit dem aktuellen Stand der Umsetzung des Gesetzes. Ein Kernthema war dabei die Sicherheit von Produkten im Internet der Dinge (IoT). Konferenzteilnehmer Mirko Ross, bekannter IoT- & Cybersecurity-Experte, Entrepreneur und Influencer, erklärt im Interview, warum uns die Zeit davonläuft und weshalb die Experten nachbessern müssen.

Herr Ross, können wir uns zurücklehnen und darauf vertrauen, dass der Gesetzgeber uns zukünftig vor Cyberattacken schützen wird?

Mirko Ross: Schön wär’s! Fakt ist, dass wir dringend Regeln brauchen, aber der bürokratische Prozess der EU viel zu langsam verläuft. Bis entsprechende Verordnungen in Kraft treten, haben Cyberkriminelle ungehindert Zugriff auf IoT-Geräte – die Folgen lassen sich nicht abschätzen, können jedoch verheerend sein. So hatte bereits vor drei Jahren das Mirai Botnet hunderttausende von billigen, unsicheren Web-Kameras gekapert und damit eine Cyberwaffe zum Mieten aufgebaut. Mit Cyberwaffen kann man Staaten, Unternehmen oder öffentliche Infrastruktureinrichtungen angreifen – ich überlasse es der Fantasie des Einzelnen, sich auszumalen, was das für jeden von uns bedeuten kann.

Sie warnen davor, dass die geplante Verordnung zahnlos ist. Was genau meinen Sie damit?

Mirko RossMirko Ross: Wenn man die Sicherheit von IoT-Geräten verbessern will, muss man die Hersteller, also die Industrie, in die Pflicht nehmen. Es muss Vorgaben geben, um zu unterbinden, dass beispielsweise in IoT-Geräten ungesicherte Wifi-Module verbaut sind, die nicht mit Updates versorgt werden. Denn dadurch lädt man Angreifer sozusagen mit einer offenstehenden Tür ein. Mit den bisher vorgesehenen Regelungen wird das nicht wirklich möglich sein.

Können Sie das genauer erläutern?

Mirko Ross: Um die Cybersicherheit von Produkten im Internet der Dinge zu erhöhen, ist ein freiwilliges Gütesiegel für Produkte vorgesehen. Damit setzt man auf die Eigenverantwortlichkeit der Industrie und auf bewusste Verbraucher. Die unfassbar große Zahl der unsicheren Geräte, die momentan in Betrieb sind, sprechen für sich: Verbraucher und Industrie sind schon aktuell mit diesen Rollen überfordert. Denkbar ist aber, dass fehlende verbindliche Vorschriften durch Regelungen im europäischen Verbraucherschutz ergänzt werden, so dass wir dann ein kompliziertes Konstrukt hätten, das schließlich doch eine höhere Sicherheit für Consumer Products vorschreibt.

Wäre denn ein solches mehr oder weniger verbindliches Sicherheitssiegel tatsächlich die optimale Lösung?

Mirko Ross: Eher nicht: Einer meiner Kritikpunkte an der Zertifizierung ist die Skalierbarkeit dieses Ansatzes: Um eine sorgfältige Zertifizierung sicherzustellen, braucht man Menschen, die sie durchführen. Das Potenzial an verfügbaren Mitarbeitern in Unternehmen ist aber begrenzt und damit die Zahl der durchführbaren Zertifizierungen. Das Internet der Dinge wächst dagegen exponentiell – die Kapazitäten beim Zertifizieren sind damit schnell überschritten. Diese beiden Welten passen deshalb nicht zusammen.

Was wäre Ihrer Einschätzung nach ein besserer Ansatz, um die Sicherheit nachhaltig zu optimieren?

Mirko Ross: Es müssen mehr verpflichtende Regeln zur Absicherung der Produkte vorgegeben werden, ähnlich wie beim Datenschutz: Dort hat die DGSVO sehr deutliche Vorgaben gemacht, die von Unternehmen beim Umgang mit personenbezogenen Daten eingehalten werden müssen. Bei Produkten im Internet der Dinge muss der Hersteller verbindlich verpflichtet werden, während der Produktlaufzeit für eine ausreichende Sicherheit zu sorgen. Produkte dürfen nicht mit bekannten Sicherheitslücken in Verkehr gebracht werden; Sicherheitslücken, die sich später ergeben, müssen vom Hersteller für eine angemessenen Laufzeit über Updates und Patches geschlossen werden. Schließlich ist die Haftung ein starkes Instrument: Nur wenn Hersteller für unsichere Produkte in Haftung genommen werden können, haben sie ein Interesse daran, ihre Produkte sicherer zu gestalten. Vorher leider nicht.

Herr Ross, wir danken für das Gespräch!

Über Mirko Ross

Mirko Ross ist Gründer sowie CEO des Start-ups asvin und der digital worx GmbH. Für die Sicherheit im IoT engagiert er sich als Mitglied der Expertengruppe für Sicherheit im Internet der Dinge der Europäischen Agentur für Netzwerk- und Informationssicherheit ENISA. Darüber hinaus ist er Mitglied des Internet Of Things Council, einem weltweiten IoT-Think-Tank, und Projektkoordinator im eHealth-Forschungsprojekt MITASSIST.


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Industrie 4.0
Apr 04, 2019

Mehr Sicherheit für die vernetzte Industrie

Der TÜV-Verband hat eine neue Sicherheitsarchitektur für die digital vernetzte Industrie…
Richterhammer
Mär 13, 2019

Cybersecurity Act - Auf dem Weg zu höherer Cybersicherheit

Gestern stimmte das Europäische Parlament über den "Rechtsakt zur Cybersicherheit", den…

Weitere Artikel

Thunderbolt

Schutz von Thunderbolt-Anschlüssen vor Sicherheitslücken

Wie können sich Anwender vor den Schwachstellen namens Thunderspy schützen? Obwohl die Sicherheitslücken in der Thunderbolt-Technologie seit Mai 2020 bekannt ist, gibt es wenig Hilfestellungen, wie sich Anwender schützen können.
Bug

Kostenlose Bug-Bounty-Self-Hosting-Lösung für Hacker

YesWeHack startet mit „Pwning Machine“ eine Docker-basierte Umgebung, die ethischen Hackern eine selbst gehostete Bug-Bounty-Lösung bietet. Sie ist mit einer anpassbaren und erweiterbaren Palette von Diensten ausgestattet, darunter ein DNS-Server, ein…
Hacked

Cyberangriffe auf Unternehmen und Behörden in Österreich

Die Sicherheitsexperten des Cybersecurity-Unternehmens Proofpoint konnten im April dieses Jahres eine Malware-Kampagne gegen Unternehmen und Behörden in Österreich beobachten. Bei der Kampagne wurden E-Mails in deutscher Sprache verschickt, die angeblich von…
Hacker Fernglas

Über 248 Millionen persönliche Online-Zugangsdaten offengelegt

Laut der Untersuchungen von NordPass ist das Internet voll von exponierten Datenbanken und Deutschland steht dabei an vierter Stelle. Aufgefunden wurden 361 ungesicherte Datenbanken mit 248.252.244 Einträgen, darunter befinden sich auch persönliche Daten wie…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!