EU-Parlament beschließt "Gütesiegel" für vernetzte Geräte und warnt vor Huawei

Mit großer Mehrheit hat das EU-Parlament am Dienstag den Entwurf für einen "Cybersecurity Act" befürwortet, auf den sich Verhandlungsführer der Volksvertreter, des Ministerrats und der Kommission im Dezember geeinigt hatten. Mit der Verordnung wird es erstmals eine Grundlage für ein EU-weites Zertifizierungsschema für die IT-Sicherheit vernetzter Geräte, Systeme und Dienste geben. Um ein entsprechendes Gütesiegel zu erhalten, müssen die Hersteller Mindeststandards rund um die Cybersicherheit der Produkte und Angebote einhalten.

Die angestrebten Zertifikate sollen Verbrauchern zeigen, dass etwa Kühlschränke, Autos und Fernseher mit Internetanschluss zur Zeit des Prüfprozesses keine bekannten Schwachstellen enthielten und die Geräte internationale Standards und technische Spezifikationen berücksichtigen. Hersteller müssen dafür die Vertraulichkeit, Integrität, Verfügbarkeit und den Datenschutz der eingebauten Online-Services nachweisen. Sie sollen auch zeigen, dass eine Wartung nur durch autorisiertes Personal möglich und Prozesse zur raschen Reaktion auf Angriffsflächen verfügbar sind.

Sorge wegen Herstellern aus China

Zugleich hat sich das Parlament in einer Entschließung schwer besorgt gezeigt über Anschuldigungen, dass Ausrüstung für die kommenden 5G-Netze Hintertüren enthalte, über die sich chinesische Hersteller und Behörden unautorisiert Zugang zu privaten Telekommunikationsdaten verschaffen könnten. Allgemein sehen sie in Netzgeräten aus dem Ausland ein Sicherheitsrisiko. Die Kommission müsse daher klare Richtlinien für den Umgang damit erstellen und sich etwa für mehr Diversität in der Ausrüstung einsetzen. In diesem Bereich eingesetzte Geräte sollten zudem zertifiziert werden.

Risiken rund um potenzielle "Cybervorfälle" müssen die Anbieter laut der Verordnung generell minimieren und eine Zeitspanne angeben, in denen sie Sicherheitsupdates und Support liefern. Dazukommen sollen einfache Installationshinweise, um ein "Papperl" zu erhalten. Die Teilnahme an dem Zertifizierungsverfahren wird freiwillig sein. Das Parlament setzt so vor allem darauf, dass Hersteller etwa von Produkten für das Internet der Dinge mit einer entsprechenden Bestätigung werben können. Für kritische Infrastrukturen wie die Strom- oder Wasserversorgung sowie den Bankensektor gelten bereits strengere Vorschriften für IT-Sicherheit. Die Abgeordneten halten aber auch hier zusätzliche Gütesiegel für "besonders wichtig".

Unternehmen zertifizieren sich selbst

Im "Trilog" mit den anderen EU-Gremien hatten sich die Abgeordneten nicht voll gegen den Rat durchsetzen können: Sie wollen eigentlich Prüfverfahren für alle Betroffenen verpflichtend machen. Firmen können laut der Übereinkunft ihre Produkte zudem in Eigenregie zertifizieren, um Zeit zu sparen und kostspielige Tests in externen Labors zu vermeiden. Die Kommission soll bis 2023 prüfen, ob die neuen Vorgaben ausreichen.

Aufgabe der Europäische Agentur für Netz- und Informationssicherheit (ENISA) wird es sein, nationale Initiativen für das gewünschte Zertifizierungsverfahren zu koordinieren. Sie behält zudem ein dauerhaftes Mandat, um etwa die Mitgliedstaaten bei der Umsetzung der bereits bestehenden Richtlinie zur Netzwerksicherheit zu unterstützen oder jährliche Cybersecurity-Übungen durchzuführen. Mit diesen soll die Reaktionsfähigkeit der EU auf groß angelegte Hackerangriffe verbessert werden. Die Behörde wird zudem zum Anlaufpunkt für Bürger und Unternehmen rund um die IT-Sicherheit ausgebaut.

Verbraucherschützer kritisieren, dass die Zertifizierung freiwillig bleiben wird. Ohne verbindliche Anforderungen könnten Hersteller weiter vernetzte Produkte verkaufen, denen grundlegende Sicherheitsstandards fehlen. Der Chaos Computer Club (CCC) fordert seit Langem ein leicht erkennbares "Mindesthaltbarkeitsdatum" für Geräte im Internet der Dinge. Nach der Zustimmung des Rates wird die Verordnung zwanzig Tage nach der Veröffentlichung im EU-Amtsblatt in Kraft treten und unmittelbar in den Mitgliedsstaaten gelten. (axk)