23. Januar 2025
Jeder smarte Fernseher, jede kluge Steckdose und jeder Internetrouter wird zehnmal pro Tag von Hackerinnen und Hackern angegriffen, so das Ergebnis einer aktuellen Studie. Und die Zahl vernetzter Hard- und Software wächst und wächst. Um diese widerstandsfähiger gegen Cyberattacken zu machen, hat die EU im Oktober 2024 den Cyber Resilience Act (CRA) beschlossen. Wie der CRA welche Geräte und Software künftig sicherer machen soll, erklärt Jacques Kruse Brandao von TÜVIT.
Herr Kruse Brandao, was ist der Cyber Resilience Act, und welchen Nutzen hat er?
Jacques Kruse Brandao: Der Cyber Resilience Act (CRA) legt erstmals verbindliche Cyber-Sicherheitsanforderungen für quasi sämtliche vernetzten Geräte und Software fest, die in der EU auf dem Markt sind: angefangen bei Apps und Onlinespielen über Internetbrowser, Smart-Home-Geräte bis hin zu den Sicherheitschips unserer Bankkarten. Neben den Herstellern dieser digitalen Produkte nimmt der CRA aber auch Händler und Importeure in die Pflicht. Er komplementiert so weitere EU-Regulierungen zur Cybersicherheit wie die neue NIS-2-Richtlinie, die schärfere IT-Sicherheitsanforderungen an die Betreiber kritischer Infrastrukturen stellt.
Und welche konkreten Anforderungen an die IT-Sicherheit stellt der CRA?
Alle vom CRA erfassten digitalen Produkte sollen künftig nach dem Prinzip Security by Design und Privacy by Design entwickelt werden. Das heißt, IT-Sicherheit und Datenschutz müssen bereits im Entwicklungsprozess vollumfänglich berücksichtigt werden. Und die vernetzten Geräte müssen nach dem Prinzip Security by Default an die Nutzenden ausgeliefert werden. Sie müssen also so konfiguriert sein, dass man sie sofort sicher betreiben kann. Das bedeutet etwa, dass Sicherheitsupdates automatisch installiert werden, dementsprechend gar nicht mehr vergessen werden können. Und dass ab Werk ein sicheres Passwort eingerichtet ist beziehungsweise die Geräte es gar nicht erst erlauben, selbst unsichere und damit hackerfreundliche Passwörter wie „12345“ festzulegen. Die Hersteller müssen gewährleisten, dass ihre IT-Produkte beim Marktstart keine bekannten Sicherheitslücken enthalten.
Und was, wenn Sicherheitslücken entdeckt wurden oder es zu anderen Cyberattacken kommt?
Dann müssen die Hersteller die Nutzenden informieren und die Vorfälle innerhalb von 24 Stunden der europäischen Agentur für Cybersicherheit (ENISA) melden. Sie sind außerdem dazu verpflichtet, auftretende Sicherheitslücken über fünf Jahre wirksam zu beheben und ihre Hard- und Softwareprodukte über mindestens fünf Jahre mit Sicherheitsupdates zu versorgen.
Der CRA unterteilt die vernetzten Geräte in unterschiedliche Gruppen. Um welche handelt es sich dabei?
Die erste Gruppe bilden die „nicht kritischen Produkte“, dazu zählen beispielsweise Festplatten, Smartphone-Apps und PC-Spiele. Schätzungen zufolge fallen etwa 90 Prozent der Hard- und Software in diesen Bereich. In der zweiten Gruppe werden „wichtige Produkte“ erfasst, die Sicherheitsfunktionen enthalten, wobei zwei Klassen unterschieden werden: Unter Klasse 1 fallen Internetbrowser, Passwortmanager oder Antivirensoftware ebenso wie Smart-Home-Geräte, Smartwatches oder vernetztes Spielzeug. Zur Klasse 2 werden dann etwa Firewalls für Unternehmen gezählt. Die letzte und kleinste Gruppe sind die „kritischen Produkte“, zu denen etwa die Sicherheitschips unserer Bank- und Kreditkarten und Smart-Meter-Gateways gehören, die die sichere Kommunikation smarter Stromzähler mit Netzbetreibern und Stromanbietern gewährleisten.
© Adobe StockVernetzte Geräte werden täglich von Hackerinnen und Hackern angegriffen. Der Cyber Resilience Act (CRA) soll smarte Fernseher, Router & Co. sicherer machen.
© Adobe StockDer CRA unterteilt vernetzte Geräte in unterschiedliche Gruppen. Bank- und Kreditkarten etwa gehören zu den „kritischen Produkten“.
Welche Anforderungen gelten für die jeweilige Gruppe?
Die Anforderungen sind in den Grundsätzen für die Geräte aller Gruppen gleich. Allerdings unterscheiden sich die Kriterien, nach denen die Hersteller nachweisen müssen, ob sie den Anforderungen genügen: Während bei nicht kritischen Produkten eine Selbsterklärung der Hersteller ausreicht, müssen wichtige Produkte der Klasse 1 entweder harmonisierte EU-Standards erfüllen, die aktuell noch definiert werden. Oder sie müssen durch unabhängige Dritte wie TÜVIT geprüft werden. Bei wichtigen Produkten der Klasse 2 ist eine solche externe Prüfung dann verpflichtend. Kritische Produkte wie die Chips für Bankkarten und Personalausweise müssen ein strenges Zertifizierungsverfahren durchlaufen, das in Deutschland allerdings bereits obligatorisch ist.
Ab wann greift der CRA, und vor welche Herausforderungen stellt er Unternehmen?
Der CRA ist am 11. Dezember 2024 in Kraft getreten. Damit sich die Hersteller auf die neuen Anforderungen einstellen können, wurden entsprechende Übergangsfristen vereinbart: Ab dem 11. September 2026 müssen sie ausgenutzte Sicherheitslücken und andere Cyberattacken melden. Ab dem 11. Dezember 2027 gelten dann alle Anforderungen des CRA. Hersteller, die sich bislang nicht oder wenig mit Cybersecurity beschäftigt haben, sollten sich also baldmöglichst daran machen, ihre Entwicklungsprozesse auf Security by Design und Privacy by Design umzustellen und etwa über entsprechende Analysetools die eigene Software systematisch auf Sicherheitslücken zu untersuchen. Denn die Aufsichtsbehörden werden überprüfen, ob die Anforderungen des CRA eingehalten wurden. Und bei Verstößen drohen empfindliche Strafen von bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des weltweiten Jahresumsatzes.
Jacques Kruse Brandao ist Global Head of Advocacy bei TÜVIT. Der Diplom-Ingenieur beschäftigt sich seit 20 Jahren mit Identifikationsverfahren und Cybersecurity und operiert dabei oft als „Übersetzer“ zwischen der technischen und der regulativen Seite der IT-Sicherheit.
