Cybersicherheitsverordnung
Cyber Resilience Act für Sicherheit im IoT
Cyberrisiken bedrohen die vernetzte Welt. Immer wieder kommt es auch zu Blackouts im Mobilfunk. Die Ausfälle dauern Stunden bis Wochen. Diese Bedrohung ist eine akute Gefahr für das IoT. Man ist ihr aber nicht wehrlos ausgeliefert.
Der Cyber Resilience Act (CRA) der Europäischen Union ist die Antwort auf Angriffe, die der Netzwerkinfrastruktur gelten. Die Schaffung des CRA zeigt, dass man sich der Gefahren bewusst ist. Denn Sicherheit im IoT ist nicht nur eine technologische Notwendigkeit – sie ist eine entscheidende Säule unserer modernen Gesellschaft.
Der CRA ist eine Verordnung der Europäischen Union, die die Sicherheit digitaler Produkte regelt. Sie wurde im Jahr 2019 verabschiedet und ist seit Mai 2021 in Kraft. Die Verordnung soll die Sicherheit digitaler Produkte erhöhen. Gleichzeitig soll das Vertrauen von Verbrauchern und Unternehmen in digitale Produkte gestärkt werden. Die Anforderungen des CRA sind:
➔ Security by Design: Die Sicherheit von Produkten muss von Anfang an berücksichtigt werden.
➔ Meldepflichten für Vorfälle: Die Hersteller müssen Cyberangriffe an die zuständigen Behörden melden.
➔ Bewertung der Kritikalität: Produkte werden nach ihrer Bedeutung für die Gesellschaft bewertet.
Ausfälle zellulärer Funknetze
Den wahrscheinlich ersten Cyberangriff der Welt gab es im Jahr 1982. Die Kompressorstation der Tscheljabinsk-Pipeline in Russland explodierte. Diese katastrophale Situation wurde durch nicht autorisierte Steuerbefehle ausgelöst. Ventile wurden geschlossen. Als direkte Folge stieg der Druck in der Pipeline an. Die Katastrophe nahm ihren Lauf. In Tscheljabinsk begann ein globales Wettrüsten. Das erste Hauptquartier des KGB richtete eine Schule für digitale Spionage ein. Dort wurden Spezialisten für digitale Angriffe auf das US-Militär ausgebildet. Ein neuer Berufszweig war geboren, der sich mit Cyberspionage, Sabotage und der Abwehr digitaler Angriffe beschäftigte.
Ganz aktuell dagegen, genauer im vierten Quartal 2023, kam es zu mehreren Zwischenfällen bei Mobilfunkbetreibern. Ende Oktober blieben im Vereinigten Königreich Zehntausende von LTE-M-Geräten im Netz von O2 einfach stehen. LTE funktionierte weiterhin, aber es gab Probleme mit LTE-M. Eine mittlere zweistellige Zahl von Mobile Network Operators (MNOs) und Mobile Virtual Network Operators (MVNOs) waren betroffen. Auf Linked-in wurden Briefe von MVNOs veröffentlicht, in denen erklärt wurde, dass ausländische SIM-Karten auf der Insel blockiert würden. Diese Aussage ist nicht ganz korrekt. Bei O2 wurde vermutlich nur 3GPP LTE Release 14 aktiviert. Bei Release 14 wird zwischen SIM-Karten für LTE und LTE-M unterschieden. Bei Release 13 gibt es keine Unterscheidung. Dass IoT-Geräte mit LTE-M-Modul und LTE-SIM-Karten den Dienst unter Release 14 einstellen, war seit mindestens 3 Jahren bekannt.
Ebenfalls im Oktober 2023 kam es in Australien zu einem großflächigen Ausfall. Der australische Provider Optus hatte nach eigenen Angaben große technische Probleme. Es kam zu einem neunstündigen Totalausfall der Internet- und Mobilfunkverbindungen. Mehr als zehn Millionen Menschen waren davon betroffen. Selbst Notrufe konnten nicht getätigt werden. Bezahlterminals funktionierten nicht mehr. In Melbourne war der Nahverkehr betroffen. Die Kunden wurden aufgefordert, sich an Nachbarn oder andere Personen zu wenden, welche den Zugang des Wettbewerbs benutzten.
Die Verbindungen zum Optus-Netz wurden automatisch getrennt. Ursache für den Ausfall war ein Software-Update. Die Systeme interpretierten die Veränderungen als Angriff. Sie trennten die Router physikalisch (mechanisch) vom Netz. Die Verbindung zum Netz musste vor Ort manuell wiederhergestellt werden. Dies führte dazu, dass die technischen Teams mehrere Standorte in ganz Australien anfahren mussten. Dadurch verzögerte sich die Wiederherstellung des Netzes erheblich. Die Geschäftsführerin Kelly Bayer Rosmarin musste dazu vor dem australischen Senat aussagen.
Und im Dezember 2023 ereignete sich der wohl größte Cyberangriff auf einen Mobilfunkanbieter weltweit. Die 24 Millionen Kundinnen und Kunden des größten ukrainischen Anbieters Kyivstar waren von der Außenwelt abgeschnitten. Sie hatten plötzlich keinen Zugang mehr zum Mobilfunknetz und zum Internet. Raketenwarnsysteme fielen aus. Die Bezahlterminals in Apotheken und Supermärkten funktionierten nicht. Die Straßenbeleuchtung fiel teilweise aus. Es gab Schwierigkeiten beim Geldabheben. Die Wiederherstellung erfolgte schrittweise. Das Telefonnetz wurde nach und nach wieder in Betrieb genommen. Danach folgten die Internetdienste. Nach Angaben von Kyivstar waren die Basisdienste nach einigen Tagen verfügbar. Es dauerte mehrere Wochen, bis alle Dienste des Anbieters funktionsfähig waren.
Angriffe und menschliche Fehler als Ursache
Ein Cyberangriff ist nur eine mögliche Ursache für den Ausfall eines Mobilfunknetzes. Eine Umstellung wie in UK von 3GPP Release 13 auf Release 14 reicht aus. Das Problem war bekannt. Trotzdem wurden von vielen MNO und MVNO weiterhin LTE SIM-Karten an Unternehmen mit LTE-M-Endgeräten verkauft. In Australien reichte ein Software-Update aus, um das Netz lahmzulegen.
Das Thema Software-Updates im Netz mit anschließenden Problemen gab es zum Beispiel auch in den 90er-Jahren in Dänemark. Tausende von IoT-Geräten mit GPRS fielen nach dem Update aus. Die Verbindung zu Taxis, Liefer- und Rettungsdiensten fiel aus, weil das Funknetz fehlte. Das Update des Netzbetreibers wurde nach einigen Tagen wieder rückgängig gemacht und das Problem damit gelöst. Solche Probleme dringen oft nicht an die Öffentlichkeit. Es passiert immer wieder und es kann sich jederzeit irgendwo wiederholen. Ausfälle weltweit sind beispielsweise dokumentiert auf der Website https://netblocks.org.
Anforderungen des Cyber Resilience Act
Importeure, die Produkte in der EU in Verkehr bringen, müssen sicherstellen, dass diese die festgelegten Anforderungen erfüllen. Gleiches gilt für Händler, die ebenfalls die Einhaltung der Anforderungen sicherstellen müssen. Dies soll Verkäufer von kritischen IoT-Geräten davon abhalten, unsichere Geräte auf den Markt zu bringen. Nicht-kritische Produkte sind nicht betroffen. Hier bleibt die Tür offen. Hinzu kommt, dass es keine Maßnahmen für Importe von Endkunden für Produkte aus dem Ausland gibt.
Abwasser und Frischwasser beispielsweise gelten als kritischer Bereich. Es wird gefordert, dass für jedes Produkt alle Aspekte einschließlich bekannter Schwachstellen und Drittkomponenten dokumentiert werden. Den Nutzern müssen klar verständliche Informationen über die Aspekte der Cybersicherheit des Produkts zur Verfügung stehen. Gleiches gilt für die Handlungsempfehlungen. Auch dieser Teil muss mit mehr Details unterlegt werden. Als Beispiel sei ein Wasserzähler genannt. Die Dokumentation muss dann so klar sein, dass die Entscheidungsträger in den Wasserwerken sie verstehen. Der Betreiber des Wasserwerkes wird zum Sicherheitsexperten. So werden alle Produkte mit LPWAN durch den Cyber Resilience Act teurer.
Verpflichtende Sicherheitsupdates
Nach dem Verkauf müssen Schwachstellen für die Lebensdauer des Produkts oder höchstens fünf Jahre, je nachdem, welcher Zeitraum kürzer ist, angemessen behandelt werden. Dies schließt die Bereitstellung von Sicherheitsupdates ein. Interessant wird das wiederum beim Beispiel der Wasserzähler. Diese Produkte sind sehr preissensitiv. Für Updates muss eine Schnittstelle vorhanden sein. Wasserzähler werden nach der Produktion jedoch wasserdicht vergossen. Einige Protokolle für LPWAN bieten keine Option für ein Update über die Luftschnittstelle. Und ein Update des Zählers über eine drahtlose Schnittstelle vor Ort kann teurer sein als der Kaufpreis des Zählers.
Der Hersteller ist zudem verpflichtet, ausgenutzte Schwachstellen und Sicherheitsvorfälle innerhalb von 24 Stunden an die European Union Agency for Cybersecurity (ENISA) zu melden. Importeure und Händler müssen den Hersteller über Unregelmäßigkeiten informieren. Darüber hinaus obliegt es dem Hersteller, die Verwender über Sicherheitsvorfälle zu informieren. Gegen einen Cyberangriff hilft diese Vorschrift nicht. Wenn Hunderttausende von Zählern betroffen sind, sind diese nicht mehr zu retten.
- Cyber Resilience Act für Sicherheit im IoT
- Gegenmaßnahmen bei Cyberangriffen und -Störungen
Lesen Sie mehr zum Thema
