EU: Kommt die Update-Pflicht für vernetzte Geräte?

Unter­nehmen und auch Verbrau­cher sind immer wieder Cyber­angriffen ausge­setzt. Mögliche Einfalls­tore sind digital vernetzte Geräte wie z.B. smarte Haus­halts­geräte. Die EU-Kommis­sion will Sicher­heits­lücken schließen - doch Verbrau­cher­schützer sehen Schwä­chen.

Wer digital vernetzte Geräte besitzt, soll in der Euro­päi­schen Union künftig besser vor Cyber­angriffen geschützt werden. Ein in Brüssel vorge­stellter Geset­zes­vor­schlag der Euro­päi­schen Kommis­sion umfasst etwa smarte Kühl­schränke und Autos, intel­ligente Heim­tech­nologie, aber auch digi­tales Kinder­spiel­zeug oder sogar Apps. Dadurch sollen Verbrau­cher etwa besser vor Eindring­lingen in ihre Privat­sphäre oder vor mögli­chem Daten­dieb­stahl geschützt werden. Margrethe Vestager (Dänemark) ist EU-Kommissarin für Wettbewerb.
Foto: Picture Alliance/dpa Wett­bewerbs­kom­mis­sarin Margrethe Vestager findet, "Wir verdienen es, uns mit den Produkten, die wir im Binnen­markt kaufen, sicher zu fühlen".

Was ist geplant?

Konkret soll der Vorschlag Unter­nehmen nun dazu verpflichten, die Cyber­sicher­heit ihrer Produkte von vorn­herein mitzu­denken und bestimmte Stan­dards zu erfüllen. Andern­falls dürfte das Gerät gar nicht erst in der EU verkauft werden. Zudem müssen Hersteller über die gesamte ange­dachte Nutzungs­dauer für die Cyber­sicher­heit ihrer Produkte sorgen - mindes­tens aber fünf Jahre lang. Dazu gehört beispiels­weise, dass sie regel­mäßige Sicher­heits­updates zu Verfü­gung stellen müssen. Verbrau­cher müssen zudem ausrei­chend über die Cyber­sicher­heit ihrer Produkte infor­miert werden.

Verbrau­cher­schützer begrüßten die Initia­tive der EU-Kommis­sion. Sie werde den derzeit besorg­nis­erre­genden Zustand wesent­lich verbes­sern, erklärte der euro­päi­sche Verbrau­cher­ver­band BEUC dazu.

Recht auf Entschä­digung

Verbrau­cher sollten jedoch mehr Rechte etwa auf Entschä­digung erhalten, wenn ein Produkt die Anfor­derungen nicht erfülle. Außerdem forderte der BEUC, dass mehr Produktarten von unab­hän­gigen Stellen auf ihre Cyber­sicher­heit über­prüft werden sollten. Dazu sollten demnach soge­nannte Smart-Home-Systeme gehören, da sie Verbrau­cher vor erheb­liche Sicher­heits­risiken stellen könnten. Im Geset­zes­vor­schlag sollen mehr als 90 Prozent der Produkte von den Unter­nehmen selbst auf ihre Cyber­sicher­heit geprüft werden.

Verbrau­cher und Wirt­schaft schützen

Thierry Breton, EU-Kommissar für Binnenmarkt und Dienstleistungen war einst Chef der France Télécom (heute Orange) ist also vom Fach.
Foto: Picture Alliance/dpa/Pool AP EU-Binnen­markt-Kommissar Thierry Breton betonte, dass nicht nur Verbrau­cher, sondern auch Europas Wirt­schaft und die kollek­tive Sicher­heit mit dem Geset­zes­vor­schlag geschützt werde. Bislang unter­lägen die meisten Hard­ware- und Soft­ware­pro­dukte mit Blick auf die Cyber­sicher­heit keinen Verpflich­tungen. Kommis­sions-Vize­prä­sident Marga­ritis Schinas sagte, während der Corona-Pandemie sei die Zahl der Cyber­angriffe gestiegen.

Deut­sche Indus­trie dafür

Der Bundes­ver­band der deut­schen Indus­trie begrüßte den Vorschlag eben­falls. Iris Plöger aus der Geschäfts­füh­rung forderte aller­dings eine engere Zusam­men­arbeit mit staat­lichen Stellen. Diese sollten Schwach­stellen, die sie in digi­talen Produkten fest­stellen, umge­hend mit den betrof­fenen Unter­nehmen teilen.

Pira­ten­partei: Entwurf muss über­arbeitet werden

Der EU-Abge­ord­nete Dr. Patrick Breyer (Pira­ten­partei) findet, dass im Zeit­alter der digi­talen Revo­lution Sicher­heit und Leben von unsi­cherer Technik bedroht sind. Daher sei es über­fällig, kommer­zielle Hersteller endlich in die Pflicht zu nehmen. Es fehlt eine klare Verpflich­tung kommer­zieller Hersteller, bekannte Sicher­heits­lücken unver­züg­lich zu beheben. Für selbst verschul­dete Sicher­heits­lücken müssten kommer­zielle Hersteller haftbar gemacht werden, damit sich IT-Sicher­heit am Ende finan­ziell lohne.

Ande­rer­seits sei die ehren­amt­liche Entwick­lung freier Soft­ware bedroht, weil an kommer­zielle Hersteller dieselben Anfor­derungen gestellt werden sollen wie an ehren­amt­liche Program­mierer.

Wie geht es weiter?

Die EU-Staaten und das Euro­papar­lament müssen sich nun jeweils auf eine Haltung zu dem Entwurf verstän­digen. Anschlie­ßend müssen beide Seiten mitein­ander über eine gemein­same Posi­tion verhan­deln. Die neuen Regeln müssen dann nach einer Über­gangs­frist von zwei Jahren umge­setzt werden.

Eine Einschät­zung (von Henning Gajek)

Wo immer mehr Geld digital verdient wird, werden auch die Verbre­cher digi­taler. Mag es noch ein "Spaß" sein, dem Nach­barn aus der Ferne die Heizung rauf oder runter zu drehen oder den Fern­seher zu verstellen, wird es schon komplexer bis gefähr­lich, wenn der smarte Kühl­schrank über einen Trojaner fleißig Spam-Mails verschickt oder eine Arzt­praxis oder ein Indus­trie­betrieb nicht mehr arbeiten können, weil Ransom­ware alles still­gelegt hat.

Die Forde­rung der Pira­ten­partei, für "ehren­amt­liche Soft­ware" Ausnahmen zu machen, könnte "schlaue" Hersteller auf die Idee bringen, ihren Produkten nur noch "ehren­amt­liche Soft­ware" (oder ein Link zum Down­load) beizu­legen.

Verbrau­cher müssen sich - ob sie es wollen oder nicht - gewisse Grund­kennt­nisse aneignen, um beispiels­weise klar zu erkennen, dass eine Bank X, bei der man gar nie Kunde war oder ist, keine wich­tigen Sicher­heits­maß­nahmen per Maus­klick verschickt. Und sie müssen in der Lage sein zu erkennen, welche "Experten" es gut meinen und welche eher andere Ziele im Sinn haben.

Wer immer nach dem güns­tigsten Preis oder nach "kostenlos" schielt, muss wissen, dass die Gegen­leis­tung eine Daten­samm­lung ist, weil Daten heute bereits wert­voller als Öl sind.

Eine gute Idee: Die Roaming-Tarif­regeln der EU sollen auf die Ukraine ausge­dehnt werden.