Schwerpunkte

Thomas Rosteck, Infineon Technologies

»Die Marktdynamik zum Laufen bringen«

27. September 2019, 10:33 Uhr   |  Iris Stroh


Fortsetzung des Artikels von Teil 1 .

"Wir brauchen Regularien und verbindliche Vorgaben"

Was heißt das?

Die Märkte regulieren sich noch nicht allein über Angebot und Nachfrage. Der Verbraucher kann kaum erkennen, wie sicher das Gerät oder die Anwendung ist, da Sicherheit von Herstellern oder Diensteanbietern noch wenig integriert oder beworben wird. Bis die Marktdynamik funktioniert, brauchen wir – zumindest übergangsweise – Regularien und verbindliche Vorgaben.

Lassen Sie mich ein Beispiel nennen: Ich habe mal versucht, eine Tastatur zu kaufen, die die Tastenanschläge verschlüsselt weitergibt. Im besten Fall stand auf der Verpackung „256 Bit AES - verschlüsselt“ – eine Angabe, mit der nur Experten etwas anfangen können. Verbraucher sind keine Sicherheitsexperten, sie brauchen ein einfaches System, um das Sicherheitsniveau der Geräte zu erkennen und darauf aufbauend eine bewusste Kaufentscheidung treffen zu können.

Das IT-Sicherheitskennzeichen, das vom deutschen Innenministerium für Router eingeführt wurde, ist bereits ein erster Schritt. Dabei handelt es sich noch um ein Label ohne Abstufung, wie das beispielsweise beim Energieeffizienz-Label der Fall ist, aber das kann sich ja noch entwickeln. Das Label gilt natürlich nur für eine bestimmte Zeit und umfasst ehrlicherweise erst einmal ein paar Basics, wie etwa die Möglichkeit, ein Software-Update am Gerät durchzuführen. Es sagt auch noch nichts über die eigentliche Wehrhaftigkeit des Produktes aus, aber zumindest ist schon einmal eine absolute Notwendigkeit in das Label eingeflossen.

Wenn wir schon auf der gesetzlichen Ebene sind: Für mich klingt der Cybersecurity Act etwas schwammig.

Europa hat mit dem Cybersecurity Act ein Referenzmodell verabschiedet, das erstmals EU-weite Regeln für die Zertifizierung von Produkten, Prozessen und Diensten und der Consumer-IT vorsieht. Die EU hat damit einen Rahmen geschaffen und wird im nächsten Schritt für die verschiedenen vertikalen Märkte Sicherheitsregeln und Vorgaben entwickeln.

Der Act sieht auch vor, Cybersecurity-Kompetenzzentren zu schaffen. Mit diesen Zentren stehen KMUs und Forschungsinstituten Anlaufstellen offen, um sich Know-how abzuholen.

Gibt es in Europa bereits Aktivitäten, ebenfalls eine Sicherheitskennzeichnung wie in Deutschland zu etablieren?

Ja, auch die Einführung eines Sicherheits-Labels wird im Rahmen des Cybersecurity Act diskutiert. Es ist sehr sinnvoll, dies auf europäischer und nicht nur auf nationaler Ebene einzuführen.

Ein einfach verständliches Label wie das EU-Energieeffizienz-Label würde Sicherheitsfunktionen erkennbar machen und Verbrauchern Orientierung geben. Die wenigsten von uns kennen den genauen Stromverbrauch der verschiedenen Elektrogeräte, aber dank der Abstufung beim Energieeffizienz-Label ist jeder in der Lage, energiesparende Produkte zu wählen. Das wäre auch für den Bereich Sicherheit möglich.

Wobei es einen ganz klaren Kritikpunkt an beidem gibt, sowohl am Cybersecurity Act als auch am Sicherheitskennzeichen: Derzeit beruht das Ganze auf Freiwilligkeit. Und Freiwilligkeit funktioniert genau dann, wenn der Markt funktioniert. Wir würden uns wünschen, dass man das zumindest für kritische Themen verpflichtend macht.

Was sind denn kritische Themen? Ein Angriff aus dem Netz auf ein Energieversorgungsunternehmen ist doch sowieso meldepflichtig.

Sie sprechen von kritischen Infrastrukturen – hier haben die Behörden bereits eine Regulierung eingeführt, da der Bevölkerung in Summe geschadet werden kann. Dazu zählen etwa Angriffe auf Stromnetze, die gravierende Folgen haben können. Ich spreche über den Consumer-Bereich.

Seite 2 von 4

1. »Die Marktdynamik zum Laufen bringen«
2. "Wir brauchen Regularien und verbindliche Vorgaben"
3. Botnet ist ein Problem für alle
4. Voraussetzungen für Digitalisierung

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Konferenz Internet of Things – vom Sensor bis zur Cloud 2019
ISO 26262 – »Einer der schwächsten Standards der letzten Jahre«
Neuer Hacking-Rekord stellt Online-Sicherheit in Frage
Nur was für die Großen?
Die KI denkt, der Mensch lenkt?
IoT-Konferenz in Stuttgart
1,2 Mrd. Dollar für Cypress-Übernahme
Immer mehr Ransomware-Angriffe festgestellt

Verwandte Artikel

INFINEON Technologies AG Neubiberg