Anzeige

Schloss und Netzwerkkabel auf EU-Karte

Angriffe von Cyberkriminellen bedrohen nicht nur die Wirtschaft, sondern jeden von uns. Die geplante EU-Verordnung zur Standardisierung von Cybersicherheit soll die Sicherheit von Onlinediensten und vernetzen Geräten verbessern. „Das Problem der unsicheren Produkte wächst schneller als die Bürokratie nachkommt“, kommentiert Mirko Ross und warnt vor einer zahnlosen Verordnung.

Bei der Konferenz „EU Cybersecurity Act“ im November 2019 in Brüssel beschäftigten sich Experten mit dem aktuellen Stand der Umsetzung des Gesetzes. Ein Kernthema war dabei die Sicherheit von Produkten im Internet der Dinge (IoT). Konferenzteilnehmer Mirko Ross, bekannter IoT- & Cybersecurity-Experte, Entrepreneur und Influencer, erklärt im Interview, warum uns die Zeit davonläuft und weshalb die Experten nachbessern müssen.

Herr Ross, können wir uns zurücklehnen und darauf vertrauen, dass der Gesetzgeber uns zukünftig vor Cyberattacken schützen wird?

Mirko Ross: Schön wär’s! Fakt ist, dass wir dringend Regeln brauchen, aber der bürokratische Prozess der EU viel zu langsam verläuft. Bis entsprechende Verordnungen in Kraft treten, haben Cyberkriminelle ungehindert Zugriff auf IoT-Geräte – die Folgen lassen sich nicht abschätzen, können jedoch verheerend sein. So hatte bereits vor drei Jahren das Mirai Botnet hunderttausende von billigen, unsicheren Web-Kameras gekapert und damit eine Cyberwaffe zum Mieten aufgebaut. Mit Cyberwaffen kann man Staaten, Unternehmen oder öffentliche Infrastruktureinrichtungen angreifen – ich überlasse es der Fantasie des Einzelnen, sich auszumalen, was das für jeden von uns bedeuten kann.

Sie warnen davor, dass die geplante Verordnung zahnlos ist. Was genau meinen Sie damit?

Mirko RossMirko Ross: Wenn man die Sicherheit von IoT-Geräten verbessern will, muss man die Hersteller, also die Industrie, in die Pflicht nehmen. Es muss Vorgaben geben, um zu unterbinden, dass beispielsweise in IoT-Geräten ungesicherte Wifi-Module verbaut sind, die nicht mit Updates versorgt werden. Denn dadurch lädt man Angreifer sozusagen mit einer offenstehenden Tür ein. Mit den bisher vorgesehenen Regelungen wird das nicht wirklich möglich sein.

Können Sie das genauer erläutern?

Mirko Ross: Um die Cybersicherheit von Produkten im Internet der Dinge zu erhöhen, ist ein freiwilliges Gütesiegel für Produkte vorgesehen. Damit setzt man auf die Eigenverantwortlichkeit der Industrie und auf bewusste Verbraucher. Die unfassbar große Zahl der unsicheren Geräte, die momentan in Betrieb sind, sprechen für sich: Verbraucher und Industrie sind schon aktuell mit diesen Rollen überfordert. Denkbar ist aber, dass fehlende verbindliche Vorschriften durch Regelungen im europäischen Verbraucherschutz ergänzt werden, so dass wir dann ein kompliziertes Konstrukt hätten, das schließlich doch eine höhere Sicherheit für Consumer Products vorschreibt.

Wäre denn ein solches mehr oder weniger verbindliches Sicherheitssiegel tatsächlich die optimale Lösung?

Mirko Ross: Eher nicht: Einer meiner Kritikpunkte an der Zertifizierung ist die Skalierbarkeit dieses Ansatzes: Um eine sorgfältige Zertifizierung sicherzustellen, braucht man Menschen, die sie durchführen. Das Potenzial an verfügbaren Mitarbeitern in Unternehmen ist aber begrenzt und damit die Zahl der durchführbaren Zertifizierungen. Das Internet der Dinge wächst dagegen exponentiell – die Kapazitäten beim Zertifizieren sind damit schnell überschritten. Diese beiden Welten passen deshalb nicht zusammen.

Was wäre Ihrer Einschätzung nach ein besserer Ansatz, um die Sicherheit nachhaltig zu optimieren?

Mirko Ross: Es müssen mehr verpflichtende Regeln zur Absicherung der Produkte vorgegeben werden, ähnlich wie beim Datenschutz: Dort hat die DGSVO sehr deutliche Vorgaben gemacht, die von Unternehmen beim Umgang mit personenbezogenen Daten eingehalten werden müssen. Bei Produkten im Internet der Dinge muss der Hersteller verbindlich verpflichtet werden, während der Produktlaufzeit für eine ausreichende Sicherheit zu sorgen. Produkte dürfen nicht mit bekannten Sicherheitslücken in Verkehr gebracht werden; Sicherheitslücken, die sich später ergeben, müssen vom Hersteller für eine angemessenen Laufzeit über Updates und Patches geschlossen werden. Schließlich ist die Haftung ein starkes Instrument: Nur wenn Hersteller für unsichere Produkte in Haftung genommen werden können, haben sie ein Interesse daran, ihre Produkte sicherer zu gestalten. Vorher leider nicht.

Herr Ross, wir danken für das Gespräch!

Über Mirko Ross

Mirko Ross ist Gründer sowie CEO des Start-ups asvin und der digital worx GmbH. Für die Sicherheit im IoT engagiert er sich als Mitglied der Expertengruppe für Sicherheit im Internet der Dinge der Europäischen Agentur für Netzwerk- und Informationssicherheit ENISA. Darüber hinaus ist er Mitglied des Internet Of Things Council, einem weltweiten IoT-Think-Tank, und Projektkoordinator im eHealth-Forschungsprojekt MITASSIST.


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Industrie 4.0
Apr 04, 2019

Mehr Sicherheit für die vernetzte Industrie

Der TÜV-Verband hat eine neue Sicherheitsarchitektur für die digital vernetzte Industrie…
Richterhammer
Mär 13, 2019

Cybersecurity Act - Auf dem Weg zu höherer Cybersicherheit

Gestern stimmte das Europäische Parlament über den "Rechtsakt zur Cybersicherheit", den…

Weitere Artikel

Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…
Cybercrime

eCrime nimmt an Volumen und Reichweite weiter zu

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab heute die Veröffentlichung des CrowdStrike Falcon OverWatchTM 2020 Threat Hunting Report bekannt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!