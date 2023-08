Cyber-Angriffe auf Geräte zu Hause: So will uns die EU schützen

Von: Falk Steiner

Verrückt spielende elektrische Geräte: Ein Smart Home kann zum Alptraum werden, wenn es gehackt wird. © M. Litzka/Midjourney (maschinell erstellt*)

Der Cyber Resilience Act (CRA) soll vernetzte Produkte sicherer machen — vom vernetzten Heim bis zu industriellen Anwendungen.

Nachdem Europaparlament und Mitgliedstaaten ihre Positionen festgeklopft haben, regt sich deutliche Kritik an den vorgeschlagenen Rechtstexten.

Diese Analyse liegt IPPEN.MEDIA im Zuge einer Kooperation mit dem Europe.Table Professional Briefing vor – zuerst veröffentlicht hatte sie Europe.Table am 27. Juli 2023.

Nachdem vergangene Woche sowohl der Rat als auch der federführende ITRE-Ausschuss ihre Positionen zum Cyber Resilience Act (CRA) offiziell festgezurrt haben, geht damit das nächste Gesetz auf die Zielgerade, das die digitale Resilienz vergrößern und Angriffe künftig erschweren soll. Doch die ersten Streitpunkte für den Trilog und mit anderen Akteuren zeichnen sich bereits ab.

Einer der großen Streitpunkte der kommenden Monate wird die Frage sein, inwiefern cloudbasierte Dienste vom CRA erfasst werden. Im Kommissionsentwurf hieß es noch, dass „Software as a Service“ vom CRA ausgenommen sein solle. In Erwägungsgrund 9 der Ratseinigung ist hingegen vorgesehen, dass der Rechtsakt auf „Datenverarbeitungslösungen in Verbindung zu einem Produkt mit digitalen Elementen“ Anwendung finden solle, wenn ohne diese eine Funktionalität des Produkts nicht zur Verfügung stehe. In diese Richtung geht auch die Position des Industrieausschusses (ITRE) des Europaparlaments.

ZVEI und Verbraucherverbände mit Kritik

Der Verband der Elektro- und Digitalindustrie (ZVEI) sieht einige Verbesserungen, wünscht sich aber noch deutliche Änderungen am CRA. „Der Anwendungsbereich ist weiterhin zu groß und sollte dringend auf Produkte mit einem tatsächlich relevanten Risikopotenzial verkleinert werden“, sagt Sarah Bäumchen, Mitglied der Geschäftsleitung des ZVEI. Sowohl nach Rats- als auch nach ITRE-Vorschlag würde eine Vielzahl neuer Produkte mit digitalen Elementen erfasst werden.

Kritik an den vorgesehenen Produkteinstufungen kommt auch von Verbraucherseite – allerdings aus gegenteiliger Richtung. Die Verbraucherverbände fordern, dass das Zurverfügungstellen von Updates weiter gefasst wird als in den ITRE- und Ratspositionen derzeit vorgesehen. Produkte sollten nicht deshalb unbenutzbar oder zum Sicherheitsrisiko werden, weil das Ende der verpflichtenden Mindestdauer der Unterstützung erreicht werde – hier müssten die Unterhändler nachbessern.

Zertifizierung durch Prüfstellen

Außerdem müssten bestimmte Produkte wie vernetzte Spielzeuge nicht nur, wie derzeit vorgesehen, mit Konformitätserklärungen der Hersteller versehen werden. Sie sollten stattdessen einer echten Zertifizierung durch Prüfstellen unterliegen.

Der ZVEI will zudem die Unterschiede in Geschäftsmodellen besser berücksichtigt sehen: Die unterschiedlichen Endverbraucher- und Geschäftskunden-Modelle müssten sich auch im Recht widerspiegeln.

Das Hauptproblem für die Elektro- und Digitalindustrie aber sind die Übergangszeiten. Diese sind „weiterhin deutlich zu kurz, um die umfassenden Maßnahmen zur Umsetzung treffen zu können“, bemängelt Bäumchen. „Für diese werden mindestens 48 Monate benötigt.“ Doch sowohl Parlament als auch Mitgliedstaaten wollen kürzere Fristen.

Open Source als großer Streitpunkt

Ein weiterer Streitpunkt ist die Frage, inwieweit Open-Source-Software ebenfalls in die Pflichten des CRA eingebunden wird oder nicht. Hier ist die Schwierigkeit, dass quelloffene Software nach sehr unterschiedlichen Modellen gepflegt wird: Zwar setzen fast alle, auch selbst proprietäre Software entwickelnden Unternehmen wie Microsoft, in Teilen auf weitverbreitete und standardisierte Open-Source-Software. Einige Anbieter stellen zudem Entwicklungskapazitäten für Open-Source-Software bereit, verdienen ihr Geld jedoch mit den Dienstleistungen, die rund um diese Kategorie möglich sind.

Doch Teile dieser digitalen Standards werden auch weiterhin von Freiwilligen oder vollständig gemeinnützigen Akteuren entwickelt. Hier hatte sich bereits zu Beginn der Debatte um Update- und Qualitätsprüfungspflichten abgezeichnet, dass eine trennscharfe Regulierung entlang der unterschiedlichen Akteure kompliziert würde.

Nutzungsgebühren als Kriterium

Der Rat hat in seiner Positionierung nun vorgesehen, dass „kommerzielle Aktivität“ das maßgebliche Kriterium dafür sein soll, ob etwas unter den CRA fallen soll. Ausdrücklich sieht die Ratsposition vor, dass auch die Entrichtung von Nutzungsgebühren dazu gehören kann.

Doch in vielen Fällen ist genau das ein Modell, wie die Entwicklung querfinanziert wird: Die Software wird entwickelt und allgemein zur Verfügung gestellt, zugleich aber werden Services wie etwa Hosting betreuter Instanzen der Software angeboten. In einem Brief wenden sich daher Vertreter der großen freien Content-Management-Systeme Wordpress, Joomla, Drupal und Typo3 an die Unterhändler und fordern deutliche Nachbesserungen am vorgesehenen Erwägungsgrund 10.

Viel Diskussionsstoff also für die Zeit nach der Sommerpause, wenn Parlament und Rat schnellstmöglich in den Trilog übergehen wollen.

*Dieses Bild wurde mithilfe maschineller Unterstützung erstellt. Dafür wurde ein Text-to-Image-Modell genutzt. Auswahl des Modells, Entwicklung der Modell-Anweisungen sowie finale Bearbeitung des Bildes: Art Director Nicolas Bruckmann.