EU: Höhere Sicherheitsanforderungen für vernetzte Geräte treten in Kraft
Drahtlos vernetzte Geräte müssen in der EU ab August 2024 neuen Sicherheitsauflagen entsprechen – und es drohen neue Schranken für freie Betriebssoftware.
Die EU hat am Mittwoch eine nachgeordnete Verordnung zur umstrittenen Richtlinie über Funkanlagen in ihrem Amtsblatt veröffentlicht. Sie soll helfen, Datenpannen bei drahtlos vernetzten Geräten wie Smartphones und anderen tragbaren Computersystemen zu vermeiden. Hersteller der darin erfassten Gerätekategorien müssen bis spätestens 1. August 2024 dafür sorgen, dass die Produkte den Sicherheitsanforderungen genügen, bevor sie in der EU auf den Markt kommen. Die Verordnung kann in Kraft treten, da der Ministerrat und das EU-Parlament keine Einwände erhoben hatten.
Die Ergänzung der Verordnung über Funkanlagen (Radio Equipment Directive, RED) hatte die EU-Kommission Ende Oktober vorgeschlagen. Artikel 3(3)d, e und f der RED schreiben vor, dass bestimmte Netzgeräte "weder schädliche Auswirkungen auf das Netz oder seinen Betrieb" haben dürfen, noch "eine missbräuchliche Nutzung von Netzressourcen" bewirken und sie zudem den Datenschutz gewährleisten müssen. Ferner müssen sie "Funktionen zum Schutz vor Betrug" wie Zweifaktor-Authentifizierung möglich machen.
Neue Geräteklassen
In der neuen Verordnung, die am 1. Februar wirksam wird und nach einer Übergangsfrist von 30 Monaten anzuwenden ist, legt die Kommission neue Geräteklassen fest, für die diese Regeln gelten. Dabei handelt sich vor allem um vernetzte Funkanlagen wie Mobiltelefone, Laptops, Dongles, Alarmanlagen, Kameras und Hausautomatisierungssysteme. Bei diesen besteht laut Kommission eine große Gefahr, "dass sie gehackt werden und dass Datenschutzprobleme entstehen, wenn sie mit dem Internet verbunden sind".
Auch "intelligente" Spielsachen, bei denen es immer wieder Sicherheitsprobleme gibt, und Kinderbetreuungsgeräte wie Babymonitore werden von der Verordnung erfasst. Die Vorgaben gelten zudem für Wearables wie Smartwatches und Fitness-Tracker, die eine Reihe sensibler Daten des Nutzers etwa zu Standort, Temperatur, Blutdruck und Herzfrequenz über einen längeren Zeitraum überwachen und registrieren. Solche sensiblen Informationen werden dabei bisher teils auch über unsichere Kommunikationstechnologien für den Nahbereich transferiert.
Ausnahme Auto
Kraftfahrzeuge, elektronische Mautsysteme, Geräte zur Fernsteuerung unbemannter Luftfahrzeuge wie Drohnen sowie nicht bordspezifische Funkgeräte, die in Flugzeuge eingebaut werden können, sind von den erhöhten Auflagen zum Schutz der Privatsphäre und vor Betrug ausgenommen. Für sie gelten im Bereich Cybersicherheit bereits spezielle EU-Vorschriften.
Aus gleichem Grund bleiben medizinische Geräte außen vor. Implantate gelten laut der Verordnung grundsätzlich nicht als tragbare Funkanlagen, "da sie weder am Körper noch an der Kleidung getragen, festgeschnallt oder befestigt werden". Einbezogen werden die eingepflanzten Apparate aber, "wenn sie selbst in der Lage sind, über das Internet zu kommunizieren, unabhängig davon, ob sie direkt oder über ein anderes Gerät" mit der Außenwelt in Verbindung treten.
Um es auch kleinen Unternehmen zu erleichtern, die Auflagen zu befolgen, will die Kommission einen Normungsauftrag an die zuständigen europäischen Organisationen richten. Harmonisierte Standards sollen dann helfen, die Vorschriften zu befolgen. Sobald feststeht, dass die in diesen Normen beschriebenen spezifischen technischen Lösungen mit den rechtlichen Anforderungen übereinstimmen, sollen entsprechend gefertigte Produkte als rechtskonform gelten. Hersteller können eine entsprechende Selbstbewertung durchführen oder auf eine Einschätzung einer unabhängigen Prüfstelle setzen.
Open Source ist raus?
Die Kommission hat zudem bereits erste Schritte unternommen, bestimmte Geräte einer weiteren Klausel zu unterwerfen, die sicherstellen soll, "dass nur solche Software geladen werden kann, für die die Konformität ihrer Kombination mit der Funkanlage nachgewiesen wurde". Das führt laut Kritikern dazu, dass Geräte in Funknetzen nur noch mit einer vom Produzenten autorisierten Software zugelassen wären. Die Folge wären eine "Funkabschottung" und der Ausschluss der Open-Source- und Maker-Szene aus der Technik.
Die Kommission hat dazu bereits eine Folgenabschätzung veranlasst. Darin ist auch von potenziellen "erheblichen Nebenwirkungen in Form von Verzögerungen bei der Konformitätsprüfung und damit verbundenen Kosten" die Rede. Vom Tisch ist die Verordnung damit aber noch nicht.
(vbr)