Schon bereit? IT-Sicherheitsgesetz CSA kommt in Fahrt

Jeder der IT anbietet, oder Waren verkauft, die IT enthalten, wird sich früher oder später mit dem IT-Sicherheitsgesetz CSA auseinandersetzen müssen. Durch den EU Cybersecurity Act (CSA) sollen erstmals „Security by Design" und „Security by Default" als Regelungsprinzipien über Zertifikate für sicherheitsrelevante Produkte in ganz Europa verbindlich festgeschrieben werden. Noch sind die Zertifikate freiwillig, doch das muss nicht so bleiben. Für Hersteller kann der CSA teuer werden. Die USA tun sich schwer, vergleichbares zu verabschieden und beobachten die Entwicklung aufmerksam. Niemand sollte den Act ignorieren, auch wenn er nicht primär in die EU liefert, denn zahlreiche Staaten wollen sich an ihm orientieren.

Seit April 2019 gilt in der gesamten Europäischen Union der EU Cybersecurity Act, kurz CSA. Dabei handelt es sich um einen europäischen Rechtsakt zur Cybersicherheit, der von allen EU-Staaten umgesetzt werden muss. Der Act dient auch zur Stärkung des permanenten Mandats der europäischen Cybersicherheitsagentur „Enisa“ (European Union Agency for Cybersecurity). Durch diesen Gesetzgebungsrahmen wird für die IT-Sicherheitszertifizierung von Produkten, Dienstleistungen und Prozessen erstmals eine zentrale Anlaufstelle etabliert, die mittelfristig alle nationalen Gesetzgebungen innerhalb der EU ablösen soll. Aktuell offen sind Übergangsfristen und die Rolle Großbritanniens, das nun als nicht EU-Mitgliedsstaat dem CSA folgt.

Zahlreiche IT-Probleme, von Viren bis zu den Verschlüsselungstrojanern ebneten dem CSA den Weg. Die Initiative soll das Übel an der Wurzel bekämpfen – an der schlechten Software. Jeder, der das Desaster der Boing 737 Max Flugzeuge verfolgt hat, deren Abstürze durch fehlerhafte Software verursacht wurde, kann ermessen, warum man auch jenseits des Atlantiks aufmerksam verfolgt, wie die Europäer das Problem angehen, und was die Resultate sind.

Zunächst einmal führt der CSA zu mehr Bürokratie. Zu seinem Wesen zählt, dass das Pferd von hinten aufgezäumt wird. Die Produzenten erfahren zunächst nichts über die Mindestanforderungen an ihre Produkte, sondern nur über die Mindestanforderungen an jene Methoden, nach denen die Prüfprozesse zugelassen werden sollen. Es geht also um ein Verfahren, das jene Verfahren beschreibt, nach denen schließlich zertifiziert werden soll. Wer zertifiziert, steht noch auf einem anderen Blatt. Der Gesetzgeber wusste, dass es bereits zahlreiche etablierte Normen und Prüfverfahren gibt. So weit wie möglich sollen diese mit einfließen. Normenoffenheit (Agnostizität) ist das Ziel, es macht die Prozesse aber auch unübersichtlich.

Zu den Besonderheiten des CSA gehört, dass er zwar ein rein technisches Feld bearbeitet, aber in einem politisch-juristischen Umfeld entstand, in dem Einstimmigkeit und Konsens das höchste Gut sind. Daher enthält der CSA auch keinerlei technische Vorgaben, die sofort konkret umsetzbar wären. Er enthält nicht einmal konkrete Verfahren, wie solche Vorgaben zu erstellen sind. Der CSA versteht sich eher als Regelwerk, wie solche Verfahren - die CSA Schemata - zu gewinnen sind. Dabei sollen, soweit möglich, die bereits erprobten Mechanismen mit einbezogen werden. Im CSA wurde also ganz bewusst darauf verzichtet, konkrete Cybersicherheitszertifizierungsschemata zu beschreiben, stattdessen wurden Anforderungen an sie geregelt. Am Ende steht für jede „abgenommene“ Leistung ein Zertifikat. Zertifiziert werden Produkte, Dienstleistungen und Prozesse.

Aktuell existieren drei Vertrauenswürdigkeitsstufen, und zwar: "niedrig“ (basic), „mittel“ (substantial) oder „hoch“ (high) erfolgen. Die letzte Stufe kann nur von staatlichen Stellen zertifiziert werden, bei den Stufen "Niedrig" und "Mittel" können auch privatwirtschaftliche Stellen die Zertifikate ausstellen. Voraussetzung ist eine Akkreditierung der ausstellenden Stelle. Die Regeln dazu werden aktuell für immer mehr Bereiche der Cybersecurity von eigens dazu eingesetzten Expertengremien erarbeitet.  

Für welche Normen, Bereiche oder Produktgruppen europäische Zertifizierungs-Schemata entwickelt werden, legt der CSA nicht fest. Er definiert wie erwähnt nur ein Verfahren, wie potenzielle Schemata ausgesucht und entwickelt werden, und von wem. Standardmäßig wird dazu ein sogenanntes „Union Rolling Work Programme” (URWP) von der EU-Kommission aufgelegt, in dem mögliche Zertifizierungsschemata mit ihrer jeweiligen Priorität aufgeführt werden. Dieses Programm wird mit Hilfe von Industrievertretern in der „Stakeholder Cyber Certification Group” (SCCG) ausgestaltet. 

In der zweiten Stufe erfolgt die eigentliche Produktprüfung, bei der die Funktionalität beziehungsweise der Einsatzzweck betrachtet wird. Basis sind hierbei erneut die SCAS-Dokumente. Mit ihrer Hilfe wird belegt, dass das Produkt wie vom Hersteller bekundet entwickelt und erstellt wurde. Deren Einhaltung wird später zertifiziert. Dieses Zertifikat ist das eigentliche Ziel des Prozesses. Es dient als Nachweis der erfolgreichen CSA gerechten Prüfung.

Im Entwurf ist vorgesehen, dass diese beiden Komponenten, Audit und Produktprüfung, zusammen bei einer Stelle zertifiziert werden. Diese zertifiziert auch die Auditoren. Die eigentliche Produktprüfung erfolgt in akkreditierten und von der Zertifizierungsstelle lizenzierten Prüfstellen.

Die „Enisa“ ist trotz ihre zahlreichen Aufgaben personell mit rund 50 Mitarbeitern eher schlecht aufgestellt. Vergleichbare Behörden in Deutschland und Frankreich kommen jeweils auf über 1000 Mitarbeiter. Trotzdem kann sie die Aufgabe stemmen, glaubt ihr früherer Chef Prof. Helmbrecht: „Per Definition soll Enisa auf die Ressourcen der Mitgliedsstaaten zurückgreifen", so Helmbrecht. Es sind dann die Experten aus Deutschland, Frankreich und den anderen großen Mitgliedsstaaten, welche die Hauptlast der Arbeit tragen und so auch das Gesetz ausgestalten.

Der CSA gilt als alternativlos. Selbst die aus der EU ausgetretenen Briten machen weiter mit, und die USA beobachten aufmerksam die weitere Entwicklung. Das zeigt nach Meinung von Beobachtern, wie dringend der Markt eine einheitliche Regelung wünscht. Eine Pflicht zur Zertifizierung ist in der EU bis jetzt nicht geplant, obwohl es im EU-Parlament auch andere Stimmen gibt.

In der November-Ausgabe von PROTECTOR erfahren Sie, welche Bedeutung der CSA zukünftig haben wird und welche Voraussetzungen für eine Zertifizierung erfüllt werden müssen (Anmerkung der Redaktion).