Startseite > Halbleiter > Verschärft sich die Bedrohungslage?

Cybersecurity

Verschärft sich die Bedrohungslage?

30. Oktober 2023, 15:30 Uhr | Iris Stroh

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 1

»Im Automotive-Bereich ist Cybersecurity ein wesentlicher Bestandteil der Entwicklung«

Wir hatten das letzte Mal darüber gesprochen, dass Security kein Merkmal ist, das vermarktet werden kann. Da scheint sich laut Ihrer Aussage etwas geändert zu haben.

Solange Cybersecurity nicht in jedem Produkt gegeben ist, funktioniert es natürlich auch als Werbemittel, wie zum Beispiel das neu vorgestellte »U. S. Cyber Trust Mark«. Generell gilt: Hat ein Label genug Dynamik entwickelt und ein Produkt besitzt keine solche Kennzeichnung, stellt dies eine Negativ-Differenzierung dar. Das motiviert auch weitere Unternehmen, ihre Produkte ebenfalls mit dem Label zu kennzeichnen.

Wir hatten uns damals auch über sogenannte Sicherheits-Levels unterhalten, und Sie hatten erklärt, dass es wichtig wäre, wenn der Käufer anhand dieser Sicherheits-Levels einfach beurteilen kann, wie sicher das Gerät ist.

Ja, ich bin überzeugt, dass eine entsprechende Kennzeichnung sehr sinnvoll ist. Nicht alle sind Security-Expertinnen und Experten, und selbst diese können nicht in das Produkt hineinschauen und das Level an Sicherheit auf einen Blick erkennen. Folglich ist eine Kalibrierung mithilfe eines Security-Labels wichtig.

Außerdem haben solche Label oft noch einen weiteren positiven Effekt: Geräte, die nur die Minimalanforderungen erfüllen, werden irgendwann unverkäuflich. Hinzu kommt, dass die Kennzeichnungen auch flexibel an neue Anforderungen angepasst werden können; beides hat das Energielabel für Hausgeräte bereits gezeigt.

Früher war ich überzeugt, dass freiwillige Labels nicht allzu sinnvoll sind. Das würde ich heute nicht mehr so sehen, denn wenn freiwillige Labels ein Momentum erzeugen, um Cybersecurity voranzubringen, sind sie im Prinzip genauso gut wie bindende staatliche Vorgaben. Das konnten wir bereits in einigen Ländern sehen, die durch die Einführung von freiwilligen Labels das Thema Cybersecurity erfolgreich vorangetrieben haben.

Sie waren dabei, als in den USA der U. S. Cyber Trust Mark der Öffentlichkeit präsentiert wurde. Wie beurteilen Sie diese Aktion?

Es war eine sehr beeindruckende Veranstaltung. Das Label wurde von hochrangigen US-Regierungsvertreterinnen wie Anne Neuberger, Deputy National Security Advisor, Jessica Rosenworcel, Federal Communications Commission Chairwoman, und Laurie E. Locascio, Direktorin bei NIST (National Institute of Standards and Technology), vorgestellt. Auch eine Vielzahl an Unternehmen war anwesend, die sich ebenso wie wir dazu verpflichtet haben, Cybersecurity ernst zu nehmen und die Einführung dieses Labels zu unterstützen.

Bei der Entwicklung des Standards ließ sich die US-Regierung von der CSA, der Connectivity Standard Alliance, beraten. Innerhalb derer gibt es die »Product Security Working Group«, die von Infineon geleitet wird. Infineon ist sehr stark engagiert, wenn es um Standardisierung geht. Wir besitzen nicht nur viel Expertise auf diesem Gebiet, uns ist es auch wichtig, dass mithilfe eines Standards Entwickler dazu gebracht werden, Security bereits am Anfang ihrer Entwicklung zu bedenken und nicht erst am Ende, also »Security by Design«.

Aber warum waren Sie überhaupt als Vertreter des deutschen Unternehmens Infineon bei der Vorstellung dabei?

Ein Grund ist das große Engagement von Infineon beim Thema Cybersecurity. Wir sind nicht nur bei der CSA aktiv, sondern auch bei der TCG (Trusted Computing Group) und bei ENISA (EU Cyber Security Agency), die den Cyber Security Act in Europa vorantreiben. Außerdem hat Infineon bei der Entwicklung des Cybersecurity-Labels in Singapur mitgearbeitet. Wir waren darüber hinaus der erste Halbleiterhersteller, der dieses Label bekommen hat.

Der zweite Grund, warum ich persönlich vor Ort war: Für mich war es wichtig zu sehen, wie man das Thema Cybersecurity für Verbraucherinnen und Verbraucher sichtbar und bewertbar machen kann.

Ein entsprechendes Security-Label für Europa gibt es immer noch nicht.

Nein, allerdings muss man fairerweise hinzufügen, dass auch das U. S. Cyber Trust Mark bisher nur angekündigt wurde. Die Umsetzung wird noch ein paar Monate dauern. In Europa sind wir leider noch nicht so weit, das könnte meiner Ansicht nach etwas schneller gehen.

Die Tatsache, dass es diese Security-Labels in vielen Teilen der Welt gibt, zeigt mir dennoch, dass die Regierungen das Thema sehr ernst nehmen. Schade finde ich, dass Europa hier als großer Absatzmarkt eine gewichtige Rolle spielen könnte, da alle angebotenen Produkte die Sicherheitsstandards diesen großen Marktes erfüllen müssten.

Von Europa mal abgesehen dürften Sie mit den Entwicklungen schon zufrieden sein?

Ja, in den letzten Jahren haben Deutschland, Singapur, Finnland und jetzt die USA ein Cybersecurity-Label initiiert, und die Europäer arbeiten daran. Das heißt: Ich sehe eine größere Dynamik und mittlerweile auch mehr Schwung hinter den Security-Bemühungen. Außerdem gibt es Zertifizierungsverfahren wie zum Beispiel PSA Certified oder die Standardisierungsverfahren der CSA mit Matter, also alles, was mit dem Smart Home zusammenhängt. Bei all diesen Anstrengungen spielt Cybersecurity von Anfang an eine wichtige Rolle und ist dementsprechend mittlerweile Teil der Protokolle. Security bietet jedoch nicht sofort einen sichtbaren Mehrwert.

Deshalb ist es wichtig, dass diese Regulierungen kommen, auch wenn sie auf freiwilliger Basis aufsetzen. Dies erhöht einerseits das Bewusstsein der Konsumentinnen und Konsumenten dafür, andererseits steigt auch der Druck auf Firmen, das Thema ernsthaft anzugehen, weil es irgendwann zu einer Negativ-Differenzierung wird.

Sind in Hinblick auf Branchen Unterschiede zu erkennen? Ich gehe mal davon aus, dass im Automotive-Bereich das Thema Security sehr hoch aufgehängt ist.

Im Automotive-Bereich ist Cybersecurity ein ganz wesentlicher Bestandteil der Entwicklung. Aber auch in dieser Branche kommen stetig neue Hersteller hinzu. Und deshalb sind Standards so wichtig: Sie helfen auch den Newcomern, sich am State of the Art zu orientieren. Und das gilt für alle anderen Branchen im gleichen Maße – insbesondere in der Industrie, im Smart-Home-, Smart-City- oder Smart-Grid-Bereich, denn dort gibt es deutlich mehr Newcomer als im Automotive-Segment. Und auch wenn sich schon etwas verbessert hat: Sicherheit ist kein absoluter Zustand, es ist immer ein Rennen, deshalb dürfen wir nicht nachlassen.