Cyber Security - Pflicht oder Kür?

Viele interpretieren das Fehlen eines verbindlichen Zertifizierungsprogramms als Fehlen von verbindlichen Anforderungen. Das ist natürlich nicht so, und wir können die Niederspannungsrichtlinie in Europa als Beispiel nehmen. Es gibt keine Zertifizierungspflicht, dennoch sind die Richtlinie und die darin aufgeführten Normen für ein Produkt zwingend einzuhalten.

Schauen wir uns die verschiedenen Regionen an:

Europa

DSGVO - Datenschutzgrundverordnung

Hier denkt man nicht zuerst typischerweise an "Cybersicherheit", aber Datensicherheit ist ein integraler Bestandteil der Cybersicherheit. Für den Schutz z. B. personenbezogener Daten ist Cybersicherheit eine Voraussetzung und Cybersicherheitsstandards wie die europäische Norm für Consumer IoTs spezifizieren eine Reihe von Anforderungen bezüglich des Umgangs mit verschiedenen Arten von personenbezogenen Daten. Die Verwendung eines Produkts, das diese Anforderungen nicht erfüllt, würde Ihre DSGVO-Einhaltung gefährden.

RED - Funkgeräte-Richtlinie

Auch diese Richtlinie ist nicht das, was sich viele unter Cybersicherheit vorstellen, aber die RED enthält Bestimmungen zum Schutz von Netzwerken und persönlichen Daten. Diese Bestimmungen wurden jedoch noch nicht in Kraft gesetzt, aber die Arbeit ist im Gange.

EU Cyber Security Act

Dieses Gesetz beschreibt Zertifizierungssysteme für Produkte, Dienstleistungen und Prozesse. Ein Entwurf des Regelwerks für die Produktzertifizierung wurde im Juli 2020 veröffentlicht und eine endgültige Version wird demnächst erwartet. Die Zertifizierung wird zunächst freiwillig sein, die Anforderungen dafür jedoch nicht. Für Verbraucher IoTs ist der erwartete Standard die ETSI/EN 303 645, der bereits von Nemko verwendet wird.

UK

Das Vereinigte Königreich führt eine verpflichtende Cybersicherheitsverordnung ein, die für alle in Großbritannien erhältlichen vernetzten Konsumgüter gelten wird. Die Produkte müssen bestimmte Sicherheitsbestimmungen erfüllen, die in der Gesetzgebung durch Sicherheitsvorschriften oder Normen beschrieben werden. Die kürzlich veröffentlichte
EN 303 645 ist eine solche Norm auf der "designierten Liste" und es wird erwartet, dass die Liste im Laufe der Zeit wachsen wird, um Unternehmen bei ihren Aktivitäten zu unterstützen. Ironischerweise entspricht die britische Verordnung - in Anbetracht des Brexit - weit mehr den üblichen Richtlinien als es der EU Cyber Security Act tut. Die britische Verordnung bietet zwei alternative Wege, entweder die Umsetzung der Sicherheitsanforderungen, wie sie im Gesetz beschrieben sind oder die Erfüllung der Anforderungen eines gelisteten Standards. Da das Vereinigte Königreich maßgeblich an der Entwicklung der ETSI/EN 303 645 beteiligt war, wird diese Norm besonders erwähnt. Außerdem wird eine Kontrollinstanz mit entsprechenden Befugnissen ausgestattet, um die Einhaltung zu überwachen und ggf. Maßnahmen zu ergreifen.

Finnland

Die finnischen Behörden, vertreten durch Traficom, haben ein Kennzeichnungssystem für IoT-Konsumgüter eingeführt. Dies geschieht sowohl um deren Sicherheit zu dokumentieren, als auch um das allgemeine Bewusstsein zu schärfen. Das Kennzeichnungsschema nutzt die ETSI/EN 303 645 mit einigen Ergänzungen. Nemko schließt derzeit ein Pilotprojekt für Traficom ab, um das Nemko IoT-Cyber-Zertifizierungsschema als Grundlage für das finnische Cybersicherheitslabel zu akzeptieren.

USA

IoT Cybersecurity Improvement Act

Im Dezember 2020 unterzeichnete der US-Präsident den IoT Cybersecurity Improvement Act, der Anforderungen für IoTs festlegt, die von Bundesorganisationen genutzt werden. Da Bundesorganisationen grundsätzlich jedes IoT nutzen können, wird dies eine De-facto-Anforderung für die USA sein. Die Verordnung steht nun nur noch aus, bis das NIST (National Institute of Standards and Technology) die Standards und Richtlinien fertiggestellt hat. Das bedeutet, dass wir in den USA Cyber-Anforderungen in der gleichen Weise erwarten können, wie wir heute Sicherheitsanforderungen haben.

Kalifornien

Als fünftgrößte Volkswirtschaft der Welt hat Kalifornien am 1. Januar 2020 Anforderungen für vernetzte Konsumgüter eingeführt. Die Cyber-Zertifizierung von Nemko, die den Standard ETSI/EN 303 645 verwendet, wird dieses Gesetz abdecken.

Oregon

Der Bundesstaat Oregon hat ähnliche Anforderungen an IoT-Produkte eingeführt, ebenfalls zum 1. Januar 2020. Genau wie für das kalifornische Gesetz, wird das Nemko Programm auch diese Anforderungen abdecken.

Asien

Singapore

Am 12. April 2021 wurden von der Infocomm Media Development Authority (IMDA) verbindliche Anforderungen für alle neuen Residential Gateways/Router in Singapur eingeführt. Ab dem 12. Oktober 2021 müssen alle derartigen Produkte auf dem Markt diese Anforderungen erfüllen, IMDA TS RG_SEC. Diese Produkte wurden ausgewählt, weil sie in puncto Sicherheit besonders wichtig sind, da sie die erste Sicherheitslinie darstellen, die direkt mit dem Internet verbunden ist. Diese Geräte waren das Ziel mehrerer bösartiger und weltweiter Angriffe, zum Beispiel des berüchtigten Mirai-Wurms.

Das Regelwerk von Singapur hat Ähnlichkeiten mit der europäischen Norm ETSI/EN 303 645.

China

In China gibt es eine Reihe von Systemen, sowohl verpflichtende als auch freiwillige, die von den Produkten, ihren Spezifikationen und ihrer Verwendung abhängen. Ein verpflichtendes System ist CNCA-CCIS-2018, "The Safety Certification implementation rule for Network Key equipment and cybersecurity specialized product", das von der chinesischen Akkreditierungsbehörde CNCA durchgeführt wird. Dieses Programm umfasst wesentliche Sicherheitskomponenten wie Router und Schalter, Firewalls und IDS/IPS's, um nur einige zu nennen und trägt auch das ISCC-Zertifizierungszeichen.

Was also sollten Hersteller tun?

Der Stellenwert von Cybersicherheit und das Wissen darüber ist von Hersteller zu Hersteller sehr unterschiedlich, aber die große Mehrheit erfüllt nicht die heutigen Cybersicherheitsrichtlinien. Diese Standards sind heute nicht überall verpflichtend, werden aber in den meisten Märkten innerhalb der Lebensdauer von Produkten, die jetzt entwickelt werden, gefordert werden.

Je nach Reifegrad der Hersteller gibt es mehrere Einstiegsmöglichkeiten in die strukturierte Arbeit an Cybersicherheitsnormen. Diejenigen, die neu auf dem Gebiet sind, könnten sich für einfache Einführungen in die Normen entscheiden oder vielleicht für Workshops, bei denen ihre Produkte die Grundlage für die Präsentation der Norm sind.

Erfahrenere Hersteller können sich dafür entscheiden, ihr Produkt direkt nach der Norm zu evaluieren. Bei der Durchführung einer solchen Bewertung ist es von Vorteil, einen Experten wie Nemko einzubeziehen. Dies dient sowohl dazu, sachkundige Experten mit Erfahrung in der Bewertung nach den Normen zu haben, als auch um den Kunden zeigen zu können, dass die Bewertung von einer unabhängigen Stelle durchgeführt wird.

In diesem Zusammenhang freuen wir uns auch, mit unseren Kollegen Marco Könen und Kevin Heneka gleich zwei Cyber Security Experten bei Nemko Deutschland zu haben. 

Weitere Informationen entnehmen Sie auch unserer Broschüre oder Sie kontaktieren unser Team bei Nemko Deutschland!

Wir freuen uns auf Sie!