Cybersicherheit von Hard- und Software bald Standard?

Ob Kommunen, Konzerne oder kleine Unternehmen: Cyberattacken nehmen seit Jahren massiv zu. Erschreckend wird es, wenn sogar Energieversorgungs-einrichtungen wie Windkraftanlagen und Atomkraftwerke oder nicht zuletzt Satelliten Hackerangriffen unterliegen, wie jüngste Vorkommnisse gezeigt haben. Allein bei Unternehmen verursachen hierzulande die Attacken nach Schätzungen jährlich einen finanziellen Schaden in einer dreistelligen Milliardenhöhe. Der verstärkte Trend zum dezentralen Arbeiten hat dieser Situation zudem in die Karten gespielt. Für Firmen und speziell IT-Verantwortliche stellt das eine enorme Herausforderung dar, um den Datenfluss sowie die Portale und damit die Hard- und Softwareeinrichtungen sicher schützen zu können. Allessamt eine Situation, die Unmengen Kapital sowie personellen Aufwand kostet und die die Sicherheit von Daten und letztlich Menschen gefährden kann. Doch eine Änderung der Lage ist nun europaweit in Sicht.

Ein wichtiger und sehr großer Schritt für mehr Cybersicherheit ist von der EU-Kommission Mitte September gemacht worden, mit dem Entwurf des sogenannten „Cyber Resilience Act“ – kurz CRA. Dahinter verbirgt sich das Bestreben, erstmals verbindliche Cybersicherheitsanforderungen für Hersteller und Anbieter von „Produkten mit digitalen Elementen“ in Europa zu formulieren. Der Verordnungsvorschlag erfasst Hard- und Software, die als Endprodukte oder als Komponenten auf den Markt kommen. Hersteller sollen digitale Sicherheit künftig bereits bei der Produktentwicklung berücksichtigen („Security by Design“), während der Lebensdauer des Produkts auftretende Schwachstellen beheben und entsprechende Sicherheitsupdates dafür bereitstellen. Wenn dieses Vorhaben so zur Umsetzung kommt, dann werden aller Voraussicht nach Behörden, Unternehmen und letztlich Bürgerinnen und Bürger in einem gewissen Umfang zukünftig besser vor Cyberangriffen geschützt sein.

Aber auch hier gibt es eine Kehrseite der Medaille. So sollen z. B. notwendige Sicherheitsupdates nur über einen Zeitraum von bis zu fünf Jahren bereitgestellt werden müssen. Ob dies jedoch mit den tatsächlichen, jeweils individuellen Nutzungszeiträumen der Hard- und Softwarekomponenten übereinstimmt, bleibt anzuzweifeln. Zudem ist laut dem Kommissionsvorschlag beabsichtigt, dass Produkte in unterschiedliche Risikoklassen eingeteilt werden. Dabei sollen viele Produkte mit erhöhtem Risiko im Regelfall auf Basis einer reinen Herstellerselbsterklärung auf den Markt gebracht werden dürfen. Diesen Ansatz hält z. B. der TÜV-Verband für verfehlt, weil er nicht geeignet sei, das notwendige Cybersicherheitsniveau zu gewährleisten. Der Verband sieht daher eine konsequente Einbindung unabhängiger Prüfstellen bei kritischen Produkten als zwingend erforderlich.

Mit dem Gesetzesentwurf werden sich nun die EU-Mitgliedsstaaten und das Europaparlament befassen müssen. Es wäre wünschenswert, wenn es dann in 24 Monaten bereits zu einer Umsetzungspflicht kommt. Doch es bleibt erstmal abzuwarten, dass hier Einigkeit zu den vielen Regularien hergestellt wird. Daher gilt es nach wie vor, die Portale und digitalen Wege des eigenen Unternehmens zu schützen. Hierzu empfiehlt sich u. a. eine Cybersicherheitsberatung durchzuführen, wie sie z. B. die Institution für Unternehmenssicherheit, VdS Schadenverhütung, anbietet. Eine solche Beratung zielt darauf ab, geeignete Maßnahmen im Unternehmen zu identifizieren und exakt aufeinander abzustimmen, um so die Personal- und Kostenstrukturen zu optimieren.

Beste Grüße und viel Erfolg für Ihre Cybersicherheit wünscht Ihnen

Markus Münzfeld

Chefredakteur COMPUTER SPEZIAL

Ihr Ansprechpartner
in der Redaktion:
Markus Münzfeld
Tel.: 05241/2151-3232
markus.muenzfeld@bauverlag.de