EU: Kommt die Update-Pflicht für vernetzte Geräte?
Unternehmen und auch Verbraucher sind immer wieder Cyberangriffen ausgesetzt. Mögliche Einfallstore sind digital vernetzte Geräte wie z.B. smarte Haushaltsgeräte. Die EU-Kommission will Sicherheitslücken schließen - doch Verbraucherschützer sehen Schwächen.
Wer digital vernetzte Geräte besitzt, soll in der Europäischen Union künftig besser vor Cyberangriffen geschützt werden. Ein in Brüssel vorgestellter Gesetzesvorschlag der Europäischen Kommission umfasst etwa smarte Kühlschränke und Autos, intelligente Heimtechnologie, aber auch digitales Kinderspielzeug oder sogar Apps. Dadurch sollen Verbraucher etwa besser vor Eindringlingen in ihre Privatsphäre oder vor möglichem Datendiebstahl geschützt werden.
Margrethe Vestager (Dänemark) ist EU-Kommissarin für Wettbewerb.
Foto: Picture Alliance/dpa
Wettbewerbskommissarin Margrethe Vestager findet, "Wir verdienen es, uns mit den Produkten, die wir im Binnenmarkt kaufen, sicher zu fühlen".
Was ist geplant?
Konkret soll der Vorschlag Unternehmen nun dazu verpflichten, die Cybersicherheit ihrer Produkte von vornherein mitzudenken und bestimmte Standards zu erfüllen. Andernfalls dürfte das Gerät gar nicht erst in der EU verkauft werden. Zudem müssen Hersteller über die gesamte angedachte Nutzungsdauer für die Cybersicherheit ihrer Produkte sorgen - mindestens aber fünf Jahre lang. Dazu gehört beispielsweise, dass sie regelmäßige Sicherheitsupdates zu Verfügung stellen müssen. Verbraucher müssen zudem ausreichend über die Cybersicherheit ihrer Produkte informiert werden.
Verbraucherschützer begrüßten die Initiative der EU-Kommission. Sie werde den derzeit besorgniserregenden Zustand wesentlich verbessern, erklärte der europäische Verbraucherverband BEUC dazu.
Recht auf Entschädigung
Verbraucher sollten jedoch mehr Rechte etwa auf Entschädigung erhalten, wenn ein Produkt die Anforderungen nicht erfülle. Außerdem forderte der BEUC, dass mehr Produktarten von unabhängigen Stellen auf ihre Cybersicherheit überprüft werden sollten. Dazu sollten demnach sogenannte Smart-Home-Systeme gehören, da sie Verbraucher vor erhebliche Sicherheitsrisiken stellen könnten. Im Gesetzesvorschlag sollen mehr als 90 Prozent der Produkte von den Unternehmen selbst auf ihre Cybersicherheit geprüft werden.
Verbraucher und Wirtschaft schützen
Thierry Breton, EU-Kommissar für Binnenmarkt und Dienstleistungen war einst Chef der France Télécom (heute Orange) ist also vom Fach.
Foto: Picture Alliance/dpa/Pool AP
EU-Binnenmarkt-Kommissar Thierry Breton betonte, dass nicht nur Verbraucher, sondern auch Europas Wirtschaft und die kollektive Sicherheit mit dem Gesetzesvorschlag geschützt werde. Bislang unterlägen die meisten Hardware- und Softwareprodukte mit Blick auf die Cybersicherheit keinen Verpflichtungen. Kommissions-Vizepräsident Margaritis Schinas sagte, während der Corona-Pandemie sei die Zahl der Cyberangriffe gestiegen.
Deutsche Industrie dafür
Der Bundesverband der deutschen Industrie begrüßte den Vorschlag ebenfalls. Iris Plöger aus der Geschäftsführung forderte allerdings eine engere Zusammenarbeit mit staatlichen Stellen. Diese sollten Schwachstellen, die sie in digitalen Produkten feststellen, umgehend mit den betroffenen Unternehmen teilen.
Piratenpartei: Entwurf muss überarbeitet werden
Der EU-Abgeordnete Dr. Patrick Breyer (Piratenpartei) findet, dass im Zeitalter der digitalen Revolution Sicherheit und Leben von unsicherer Technik bedroht sind. Daher sei es überfällig, kommerzielle Hersteller endlich in die Pflicht zu nehmen. Es fehlt eine klare Verpflichtung kommerzieller Hersteller, bekannte Sicherheitslücken unverzüglich zu beheben. Für selbst verschuldete Sicherheitslücken müssten kommerzielle Hersteller haftbar gemacht werden, damit sich IT-Sicherheit am Ende finanziell lohne.
Andererseits sei die ehrenamtliche Entwicklung freier Software bedroht, weil an kommerzielle Hersteller dieselben Anforderungen gestellt werden sollen wie an ehrenamtliche Programmierer.
Wie geht es weiter?
Die EU-Staaten und das Europaparlament müssen sich nun jeweils auf eine Haltung zu dem Entwurf verständigen. Anschließend müssen beide Seiten miteinander über eine gemeinsame Position verhandeln. Die neuen Regeln müssen dann nach einer Übergangsfrist von zwei Jahren umgesetzt werden.
Eine Einschätzung (von Henning Gajek)
Wo immer mehr Geld digital verdient wird, werden auch die Verbrecher digitaler. Mag es noch ein "Spaß" sein, dem Nachbarn aus der Ferne die Heizung rauf oder runter zu drehen oder den Fernseher zu verstellen, wird es schon komplexer bis gefährlich, wenn der smarte Kühlschrank über einen Trojaner fleißig Spam-Mails verschickt oder eine Arztpraxis oder ein Industriebetrieb nicht mehr arbeiten können, weil Ransomware alles stillgelegt hat.
Die Forderung der Piratenpartei, für "ehrenamtliche Software" Ausnahmen zu machen, könnte "schlaue" Hersteller auf die Idee bringen, ihren Produkten nur noch "ehrenamtliche Software" (oder ein Link zum Download) beizulegen.
Verbraucher müssen sich - ob sie es wollen oder nicht - gewisse Grundkenntnisse aneignen, um beispielsweise klar zu erkennen, dass eine Bank X, bei der man gar nie Kunde war oder ist, keine wichtigen Sicherheitsmaßnahmen per Mausklick verschickt. Und sie müssen in der Lage sein zu erkennen, welche "Experten" es gut meinen und welche eher andere Ziele im Sinn haben.
Wer immer nach dem günstigsten Preis oder nach "kostenlos" schielt, muss wissen, dass die Gegenleistung eine Datensammlung ist, weil Daten heute bereits wertvoller als Öl sind.
Eine gute Idee: Die Roaming-Tarifregeln der EU sollen auf die Ukraine ausgedehnt werden.