Vor lauter Compliance nicht die IT-Security vergessen

Regierungen und zuständige Behörden auf der ganzen Welt legen immer mehr Wert auf nationale und supranationale Cyber-Resilienz. Der EU-Cyber Resilience Act baut auf der bestehenden EU-Cybersicherheitsrichtlinie aus dem Jahr 2016 auf und aktualisiert damit die Anforderungen an eine verbesserte Cybersicherheit der Mitgliedstaaten. Vor dem EU-Cyber-Resilience-Gesetz lag ein Großteil des Drucks in Bezug auf die Cybersicherheit bei den Nutzern dieser Produkte, sowohl bei Unternehmen als auch bei Privatpersonen. Nun werden auch die Hersteller einen größeren Teil dieser Verantwortung übernehmen. Die Rechenschaftspflicht kann viel dazu beitragen, Verbesserungen auf breiter Ebene zu erreichen.

Nachdem es nach den Ankündigungen im letzten Jahr etwas ruhiger um die Verordnung geworden ist, kam im Juli wieder Bewegung in die Materie. Das Council of the EU hat nun erste Positionen formuliert. Produkte mit digitalen Komponenten, wie vernetzte Heimkameras, intelligente Kühlschränke, Fernseher und Spielzeug, sollen beispielsweise abgesichert sein, bevor sie auf den Markt kommen. Aus diesem Grund haben die Vertreter der Mitgliedstaaten (AStV) einen gemeinsamen Standpunkt zu den vorgeschlagenen Rechtsvorschriften über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festgelegt. Im Anhang 5. dieses Dokuments ist unter anderem eine detaillierte Beschreibung der technischen Dokumentation von neuen IT-Produkten hinterlegt worden.

Die Mitgliedstaaten der Europäischen Union sind nicht die einzigen, die sich mit der Gesetzgebung zur Cyber-Resilienz befassen, sondern sie ist weit verbreitet. Großbritannien hat die Überprüfung der Anreize und Vorschriften für die Cybersicherheit im Jahr 2022 eingeleitet, um seine legislativen Maßnahmen zur Verbesserung der Cyber-Resilienz im Hinblick auf die Veränderungen des Cyberwarfare`s und die jüngsten technologischen Entwicklungen weiter zu verfeinern. Dies baut auf den bestehenden britischen Network and Information Systems Regulations 2018 (NIS Regulations) auf. Außerdem wird eine weitere Verschärfung in Bezug auf vernetzte Anlagen erwartet, wenn das geänderte Gesetz über Produktsicherheit und Telekommunikationsinfrastruktur verabschiedet wird.

Das europäische Gesetz folgt auch dem S.3600 - Strengthening American Cybersecurity Act of 2022 der USA sowie dem vorangehenden State and Local Government Cybersecurity und dem Federal Rotational Cyber Workforce Program of 2021, die von der Regierung von US-Präsident Biden erlassen wurden. Zu nennen ist in dieser Aufzählung auch noch der US Cyber Incident Reporting Act.

Das Aufkommen von Vorschriften zur Cyber-Resilienz ist aus Compliance-Sicht eine gute Initiative, aber es bleibt noch viel zu tun, um die kritischen Sicherheitslücken dann auch zu schließen. Um diese Herausforderungen zu bewältigen, hat die US-Regierung in Zusammenarbeit mit Partnern aus der Industrie, darunter Armis, ein neues freiwillige Initiative, das „U.S. Cyber Trust Mark Program“, ins Leben gerufen, das Hersteller dazu ermutigen soll, die Sicherheit ihrer Produkte zu verbessern, und das einen neuen Schwerpunkt auf die Stärkung der IoT-Sicherheit für Verbraucher setzt.

Letztlich müssen dann technische Maßnahmen getroffen werden, die durch die exponentielle Ausbreitung vernetzter Assets entstehen. Unternehmen sollten sich nicht ausschließlich auf die Gesetzgebung verlassen, sondern müssen die Dinge selbst in die Hand nehmen, um ihre wichtigen Daten und Infrastrukturen zu schützen. Dies beginnt damit, dass man das große Ganze im Blick hat, indem man alle vernetzten Assets identifiziert. Ihre Aktivitäten müssen kontextbezogen in Echtzeit überwacht und jedes kritische Risiko, das auftaucht, sofort eingedämmt werden.

Andy Norton, European Cyber Risk Officer bei Armis.