Cyber Resilience Act : Ein beherzter Schritt für nachhaltige IT-Sicherheit

Die Menschen haben damit leben gelernt, dass IT nicht sicher ist. In der Luftfahrtindustrie würden ständige Abstürze kaum akzeptiert. „Auf- und Ausbau von IT-Sicherheitsinfrastrukturen“ und „Europäische IT-Sicherheitsgesetze für eine erhöhte Rechts- und Investitionssicherheit“ lauten elementare Forderungen in der IT-Sicherheitsagenda 2029 des Bundesverbandes IT-Sicherheit (Teletrust). „Wir brauchen die Regulierung. Unsichere IT darf nicht mehr verkauft werden. Hersteller müssen zur Verantwortung gezogen werden.“, heißt es in einem Vorstandsimpuls auf der Teletrust-Konferenz im Juni 2022. 

Impuls und Agenda bringen zum Ausdruck, dass Teletrust einen beherzten, starken regulatorischen Schritt auf europäischer Ebene für mehr und nachhaltige IT-Sicherheit in allen Bereichen, in denen IT eingesetzt wird, für zwingend notwendig erachtet. Der gestern von der EU-Kommission vorgestellte Entwurf für den Cyber Resilience Act hat das Potenzial, dieser Schritt zu sein. Mit ihm wird die IT-Sicherheit als der Erfolgsfaktor anerkannt, der er ist. Die Höhe der Bußgelder bei Verstößen ist ein klarer Indikator dafür, dass sich der Cyber Resilience Act nicht einfach ignorieren lässt. Konsequent angewendet könnte er eine ähnliche Flächenwirkung mit globalem Bekanntheitsgrad erlangen wie die Datenschutzgrundverordnung (DSGVO). Bei der DSGVO bestehen jedoch auch Jahre nach dem „Go-live“ immer noch Lücken. Beim Cyber Resilience Act gilt es, von Anfang an 100 Prozent zu liefern.

Umsetzung ist nicht nebenbei leistbar

Der Cyber Resilience Act hat einen großen Anwendungsbereich, da grundsätzlich jedes Unternehmen betroffen ist, das Software oder Hardware mit dazugehöriger Wartung anbietet. Alle Herstellerunternehmen der IT- und IT-Sicherheitsbranche müssen sich auf die veränderte Anforderungslage einstellen, die mit dem Cyber Resilience Act einhergeht. Produkte ohne Konformität sind in der EU praktisch nicht mehr verkaufbar. Unternehmen, die schon heute in Konzeption und Produktion den „Stand der Technik“ berücksichtigen und die das Prinzip „Security by Design“ leben, werden sich mit der Konformität zu den Anforderungen leichter tun. Zahlreiche Mitglieder aus der Kategorie „Herstellerunternehmen“ des Teletrust verpflichten sich selbst bereits auf die Vertrauenszeichen „IT Security made in Germany“ (ITSMIG, 231 Zeichenträger) oder „IT Security made in EU“ (ITSMIE, 107 Zeichenträger).

Nicht für alle Unternehmen wird es perspektivisch leistbar sein, das Konformitätsniveau für höhere Anforderungsklassen zu erreichen. Diese erfordern gegebenenfalls die Anpassungen der eigenen Prozesse inklusive Auditierung, eine entsprechende Compliance-Abteilung und den Ausbau der Zertifizierungen und Sicherheitsüberprüfungen. Das ist ein erheblich größerer Aufwand für Unternehmen, die so etwas für sich beziehungsweise ihre Produkte beanspruchen wollen. Das ist nicht nebenbei leistbar und wird zu höheren Produktpreisen führen. Ihnen steht jedoch der Markt für kritischere Bereiche offen. An IT-Betreiber in diesen liefern zu können, wird zum Differenzierungsfaktor werden.

Die gesamte Lieferkette muss betrachtet werden

Es muss eine proaktive Prüfung durch die IT-produzierenden Unternehmen erfolgen. Partnerschaften und externe Produzenten sind frühzeitig auf den Prüfstand zu stellen. Es gilt, die gesamte Lieferkette und alle Prozesse zu betrachten, auch über die Grenzen der eigenen Organisation hinaus. Es muss auch auf die Partner Compliance ausgeübt werden, Enthaftung darf kein eigener Rettungsanker werden zu Lasten der Endkonsumenten.

Es wird unumgänglich sein, Audits und Zertifizierungen zu nutzen, um Partner und Lieferanten zu qualifizieren. Der gesamte Lebenszyklus der Produkte ist in den Fokus zu nehmen. Die gegebenenfalls kurze Umsetzungsfrist von 24 Monaten ist zu beachten, um einen „Schock“ zu vermeiden und um sich von Anfang an als Vorreiter zu positionieren.

Lex generalis oder zunehmende Fragmentierung des Regulierungsrahmens?

Der Entwurf zum Cyber Resilience Act zeugt vom Willen der EU, einen notwendigen starken regulativen Schritt zu gehen. Dabei darf aber die Gefahr einer Fragmentierung des regulatorischen Rahmens nicht außer Acht gelassen werden. Es braucht ein einheitliches europäisches Bild für den digitalen Raum. Gerade die „vertikale Fragmentierung“ zwischen nationalen und europäischen Vorgaben ist zu vermeiden. Das Zusammenspiel der europäischen Verordnungen ist teilweise fraglich.

Unklar ist beispielsweise, ob der Cyber Resilience Act als lex generalis für die IT-Sicherheit in Europa gelten soll, insbesondere in Bezug auf den Cyber Security Act von 2019. Die Kommunikation und Koordination zwischen den Aufsichtsbehörden der Mitgliedsstaaten ist klar zu regeln. Für den Cyber Resilience Act sollten einheitliche internationale Standards mit harmonisierten Überprüfungsprozessen und Zertifizierungen festgelegt werden. Dabei sollten Normen einbezogen werden, um diese verbindlich zu machen.

Eine klare Definition von Kriterien ist notwendig, hilfsweise die Möglichkeit einer nachträglichen Definition durch Durchführungsrechtsakte. Als sehr konkrete Anforderung benennt Teletrust, dass Konformitätserklärungen und Zertifizierungen nur mit einer „Bill of Material“, das heißt stets aktueller genauer Angabe, welche Technologien in einem Produkt verbaut sind, sowie dem Nachweis automatisierter Sicherheitstests akzeptiert werden.

Grundsätzlich empfiehlt Teletrust in IT-Systemen eine strikte Komplexitätsreduktion. Gegebenenfalls automatische technische „Sweeps“ sind äußerst sensibel, da sie möglicherweise einen Eingriff in die Privatsphäre von Endnutzern darstellen. Ein Einwilligungsmanagement dürfte kaum realisierbar sein, entsprechende Implikationen sind zu berücksichtigen. Für jegliche IT-betreibende Organisationen wäre das Angebot eines übergreifenden Schutzes durch ein Security Operations Center (SOC), das durch Staat und Wirtschaft gemeinsam betrieben wird, wünschenswert. Dieses und die gegebenenfalls in größeren Unternehmen vorhandenen SOCs sollten international vernetzt sein, um ein globales Cyberlagebild zu erhalten und entsprechende Schutzvorkehrungen gezielt ausrollen zu können, in etwa vergleichbar mit der Flugsicherung.

André Kudra ist im Vorstand des Bundesverbandes für IT-Sicherheit Teletrust und CIO beim Digitalisierungsdienstleister esatus.