Kommentar zur EU-Cybersicherheit Schritt in die richtige Richtung, aber Wirksamkeit fraglich

Rüdiger Stroh, NXP Semiconductors
Rüdiger Stroh, NXP Semiconductors

Rüdiger Stroh, Executive Vice President und General Manager des Geschäftsbereichs Security & Connectivity bei NXP Semiconductors, begrüßt das Cybersicherheits-Paket der EU-Kommission. Insbesondere »Security by design« als Grundprinzip festzulegen, ist ein wichtiger Schritt in die richtige Richtung.

Rüdiger Stroh von NXP Semiconductors erklärt: »Dadurch stellt die Kommission sicher, dass zu erwartende Angriffsszenarien und Risiken sowie die geeigneten Gegenmaßnahmen bei der technischen Entwicklung von Anfang an eine zentrale Rolle spielen. Derzeit mangelt es Unternehmen und Verbrauchern noch weitgehend an Vertrauen in vernetzte Geräte, was das Wachstum und die Schaffung neuer Arbeitsplätze in diesem Sektor behindert. Das neue Cybersicherheits-Paket, das auch einen Gesetzesvorschlag zur Cybersicherheitszertifizierung und weitreichende Zuständigkeiten für die Europäische Agentur für Netz- und Informationssicherheit (ENISA) beinhaltet, ist ein wichtiger Schritt hin zu mehr Sicherheit im europäischen digitalen Binnenmarkt und zu größerem Vertrauen in das Internet der Dinge.

Der Einsatz von „Security by design“ und zertifizierten Cybersicherheits-Systemen in kostengünstigen, digitalen, vernetzten Massenprodukten – das ist für Unternehmen und Verbraucher eine gute Nachricht. Mittlerweile gibt es einen weitreichenden Konsens, dass „Security by design“ besonders für den Datenschutz im Internet der Dinge (IoT) unerlässlich ist.

Die vorgeschlagenen EU-Zertifizierungsverfahren zur Cybersicherheit sind allerdings freiwillig. Dass sie nicht mit unmittelbaren gesetzlichen Vorgaben für Hersteller, Händler und Serviceanbieter verknüpft sind, stellt ihre Wirksamkeit stark in Frage. Effektive Verschlüsselungsverfahren und Lösungen für Hard- und Softwaresicherheit sind bereits seit längerer Zeit verfügbar. Doch nur die wenigsten Unternehmen setzen diese in ihren Produkten tatsächlich ein.

Wenn wir IoT-Sicherheit wollen, dann müssen wir auch bereit sein zu handeln. Ohne ein Zertifizierungsverfahren, das „Security by design“ für Hersteller anhand von konkreten Spezifikationen verbindlich macht, wird die Regulierung nur wenig Einfluss haben. Was wir brauchen ist eine verpflichtende Zertifizierung, und hierfür gibt es bereits gute praktische Ansätze. Nur dann werden wir tatsächlich signifikante Verbesserungen bei Sicherheit und Datenschutz von vernetzten Geräten sehen.

Der sich daraus ergebende einheitliche Wettbewerbsrahmen schafft Vertrauen und ist die Grundlage für eine wirksame Zusammenarbeit der handelnden Akteure. Die Aufnahme des SOG-IS MRA (Senior Officers Group for Information Systems, Mutual Recognition Agreement) in einen gemeinsamen europäischen Rahmenplan wäre ein erster Schritt, um in allen Mitgliedsstaaten gültige Richtlinien zur Zertifizierung einzuführen und den Cyberspace so aktiv sicherer zu gestalten.

Gerade für den geplanten Aufbau einer gemeinsamen sicheren Datenwirtschaft spielt die EU Cybersicherheits-Strategie eine entscheidende Rolle: Cybersicherheit ist eine Grundvoraussetzung für die sichere Datenverarbeitung und -speicherung im Netz, besonders im Hinblick auf die Einführung der neuen EU-Datenschutzgrundverordnung (GDPR), die ab 25. Mai 2018 gelten wird. Wirksame Cybersicherheit muss das gesamte Ökosystem umfassen, beginnend bei Forschung, Entwicklung, Aus- und Fortbildung, und muss gleichzeitig Mindestsicherheitsanforderungen an die ITK-Systeme und Infrastrukturen des Internets der Dinge stellen. Sie muss sowohl auf der Ebene der Systemarchitektur als auch bei den einzelnen Geräten greifen.

Die dringendste Aufgabe besteht darin, ein zuverlässiges EU-Zertifizierungsverfahren zu entwickeln, das auf etablierten Sicherheitsanforderungen und anerkannten technischen Spezifikationen basiert. Dieses Verfahren muss verschiedene Sicherheits- und Qualitätslevel umfassen und die Orientierung an bereits erprobten Best Practices erlauben. NXP hofft, dass die EU-Kommission dem aktuellen Stand der Technik entsprechende Sicherheitstechnologien als elementare Bausteine ihrer Regulierung bindend festlegt.«