Anzeige

Anzeige

VERANSTALTUNGEN

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Schloss und Netzwerkkabel auf EU-Karte

Angriffe von Cyberkriminellen bedrohen nicht nur die Wirtschaft, sondern jeden von uns. Die geplante EU-Verordnung zur Standardisierung von Cybersicherheit soll die Sicherheit von Onlinediensten und vernetzen Geräten verbessern. „Das Problem der unsicheren Produkte wächst schneller als die Bürokratie nachkommt“, kommentiert Mirko Ross und warnt vor einer zahnlosen Verordnung.

Bei der Konferenz „EU Cybersecurity Act“ im November 2019 in Brüssel beschäftigten sich Experten mit dem aktuellen Stand der Umsetzung des Gesetzes. Ein Kernthema war dabei die Sicherheit von Produkten im Internet der Dinge (IoT). Konferenzteilnehmer Mirko Ross, bekannter IoT- & Cybersecurity-Experte, Entrepreneur und Influencer, erklärt im Interview, warum uns die Zeit davonläuft und weshalb die Experten nachbessern müssen.

Herr Ross, können wir uns zurücklehnen und darauf vertrauen, dass der Gesetzgeber uns zukünftig vor Cyberattacken schützen wird?

Mirko Ross: Schön wär’s! Fakt ist, dass wir dringend Regeln brauchen, aber der bürokratische Prozess der EU viel zu langsam verläuft. Bis entsprechende Verordnungen in Kraft treten, haben Cyberkriminelle ungehindert Zugriff auf IoT-Geräte – die Folgen lassen sich nicht abschätzen, können jedoch verheerend sein. So hatte bereits vor drei Jahren das Mirai Botnet hunderttausende von billigen, unsicheren Web-Kameras gekapert und damit eine Cyberwaffe zum Mieten aufgebaut. Mit Cyberwaffen kann man Staaten, Unternehmen oder öffentliche Infrastruktureinrichtungen angreifen – ich überlasse es der Fantasie des Einzelnen, sich auszumalen, was das für jeden von uns bedeuten kann.

Sie warnen davor, dass die geplante Verordnung zahnlos ist. Was genau meinen Sie damit?

Mirko RossMirko Ross: Wenn man die Sicherheit von IoT-Geräten verbessern will, muss man die Hersteller, also die Industrie, in die Pflicht nehmen. Es muss Vorgaben geben, um zu unterbinden, dass beispielsweise in IoT-Geräten ungesicherte Wifi-Module verbaut sind, die nicht mit Updates versorgt werden. Denn dadurch lädt man Angreifer sozusagen mit einer offenstehenden Tür ein. Mit den bisher vorgesehenen Regelungen wird das nicht wirklich möglich sein.

Können Sie das genauer erläutern?

Mirko Ross: Um die Cybersicherheit von Produkten im Internet der Dinge zu erhöhen, ist ein freiwilliges Gütesiegel für Produkte vorgesehen. Damit setzt man auf die Eigenverantwortlichkeit der Industrie und auf bewusste Verbraucher. Die unfassbar große Zahl der unsicheren Geräte, die momentan in Betrieb sind, sprechen für sich: Verbraucher und Industrie sind schon aktuell mit diesen Rollen überfordert. Denkbar ist aber, dass fehlende verbindliche Vorschriften durch Regelungen im europäischen Verbraucherschutz ergänzt werden, so dass wir dann ein kompliziertes Konstrukt hätten, das schließlich doch eine höhere Sicherheit für Consumer Products vorschreibt.

Wäre denn ein solches mehr oder weniger verbindliches Sicherheitssiegel tatsächlich die optimale Lösung?

Mirko Ross: Eher nicht: Einer meiner Kritikpunkte an der Zertifizierung ist die Skalierbarkeit dieses Ansatzes: Um eine sorgfältige Zertifizierung sicherzustellen, braucht man Menschen, die sie durchführen. Das Potenzial an verfügbaren Mitarbeitern in Unternehmen ist aber begrenzt und damit die Zahl der durchführbaren Zertifizierungen. Das Internet der Dinge wächst dagegen exponentiell – die Kapazitäten beim Zertifizieren sind damit schnell überschritten. Diese beiden Welten passen deshalb nicht zusammen.

Was wäre Ihrer Einschätzung nach ein besserer Ansatz, um die Sicherheit nachhaltig zu optimieren?

Mirko Ross: Es müssen mehr verpflichtende Regeln zur Absicherung der Produkte vorgegeben werden, ähnlich wie beim Datenschutz: Dort hat die DGSVO sehr deutliche Vorgaben gemacht, die von Unternehmen beim Umgang mit personenbezogenen Daten eingehalten werden müssen. Bei Produkten im Internet der Dinge muss der Hersteller verbindlich verpflichtet werden, während der Produktlaufzeit für eine ausreichende Sicherheit zu sorgen. Produkte dürfen nicht mit bekannten Sicherheitslücken in Verkehr gebracht werden; Sicherheitslücken, die sich später ergeben, müssen vom Hersteller für eine angemessenen Laufzeit über Updates und Patches geschlossen werden. Schließlich ist die Haftung ein starkes Instrument: Nur wenn Hersteller für unsichere Produkte in Haftung genommen werden können, haben sie ein Interesse daran, ihre Produkte sicherer zu gestalten. Vorher leider nicht.

Herr Ross, wir danken für das Gespräch!

Über Mirko Ross

Mirko Ross ist Gründer sowie CEO des Start-ups asvin und der digital worx GmbH. Für die Sicherheit im IoT engagiert er sich als Mitglied der Expertengruppe für Sicherheit im Internet der Dinge der Europäischen Agentur für Netzwerk- und Informationssicherheit ENISA. Darüber hinaus ist er Mitglied des Internet Of Things Council, einem weltweiten IoT-Think-Tank, und Projektkoordinator im eHealth-Forschungsprojekt MITASSIST.

Anzeige

Industrie 4.0
Apr 04, 2019

Mehr Sicherheit für die vernetzte Industrie

Der TÜV-Verband hat eine neue Sicherheitsarchitektur für die digital vernetzte Industrie…
Richterhammer
Mär 13, 2019

Cybersecurity Act - Auf dem Weg zu höherer Cybersicherheit

Gestern stimmte das Europäische Parlament über den "Rechtsakt zur Cybersicherheit", den…
GRID LIST
Hacker

3 Hacker, die Geschichte schrieben

Immer neue Cyberattacken halten uns Tag für Tag auf Trab. Bei der Analyse der Angriffe…
Bug

Shitrix: Sicherheitslücke bedroht tausende Unternehmensnetzwerke

Sicherheitsforscher sprechen bereits von einer der gefährlichsten Sicherheitslücken der…
Security Schloss

Digitale Geschäftsmodelle: Tipps für mehr Sicherheit

Die Digitalisierung hat weit reichende Auswirkung und verändert Geschäftsmodelle…
Hacker

Hackerangriff auf Mittelstandsunternehmen im Medizinsektor

Guardicore hat einen neuartigen Angriff auf ein mittelständisches Unternehmen im…
Update

Panikmache? Die zukünftige Sicherheit von Windows 7

Dass Microsoft den Support für Windows 7 einstellt, kommt für Experten nicht…
Tb W190 H80 Crop Int 9ee81ceb786e3f12cafd16c97e1fbd26

Microsoft schließt Windows-Schwachstelle nach NSA-Hinweis

Geheimdienste wie die amerikanische NSA, melden entdeckte IT-Sicherheitslücken nicht…