Die EU hat mit einem Gesetzentwurf zur Cyber Resilience verpflichtende gesetzliche Anforderungen für die Cybersicherheit von Hardware- und Software-Produkten vorgeschlagen. Ziel ist, Verbraucher und Unternehmen vor Produkten mit schlechter IT-Sicherheit besser zu schützen.
Wie das gehen soll und was der Cyber Resilience Act genau ist, erfahren Sie hier.
Unser Beitrag über Cyber Resilience im Überblick:
Cyber Resilience – eine Definition
Im Zusammenhang mit den Themen IT-Sicherheit und Cyberkriminalität taucht immer wieder der Begriff Cyber Resilience oder zu Deutsch Cyber-Resilienz auf. Doch was genau ist damit eigentlich gemeint? Welche Auswirkungen hat eine schwache Cyber Resilience auf Unternehmen und Endverbraucher?
Die Resilienz beschreibt ganz allgemein die Widerstandsfähigkeit. Und die Cyber-Resilienz? Cyber-Resilienz im Unternehmenskontext beschreibt die Widerstandsfähigkeit eines Betriebes im Hinblick auf
- die Gefahren aus dem Netz,
- den Ausfall von Systemkomponenten
- und die Herausforderungen der Zukunft.
Generell legt Cyber-Resilienz den Schwerpunkt auf Sicherheitsaspekte. Sie ist ein Indikator dafür, wie gut Unternehmen auf einen Cyberangriff vorbereitet sind, ihn überstehen und wie schnell sie sich davon erholen können. Cyber-Resilienz beruht auf der Fähigkeit, jedes Cyber-Ereignis zu identifizieren, zu schützen, zu erkennen, darauf zu reagieren und sich schnell davon zu erholen.
Angriffe auf die IT von Unternehmen nimmt immer mehr zu. die IT-Sicherheit steigt mit dem Cyber Resilience Act. Bild: Pexels/MART PRODUCTION
Warum ist Cyber Resilience so wichtig?
Schon vor dem Angriffskrieg von Russland auf die Ukraine gehörten gegen sie in Auftrag gegebene Cyberangriffe zum Alltag für Firmen. Daraus resultierte bereits das IT-Sicherheitsgesetz. Dennoch sind zahlreiche Unternehmen auf Cybercrime nicht vorbereitet. Der Krieg gegen die Ukraine verschärft die Lage, sodass bereits von Cyberwar gesprochen wird.
Das Thema Widerstandsfähigkeit von IT, also Cyber Resilience, ist also wichtiger denn je – und betrifft nicht nur Firmen und Betriebe, sondern jeden in der Gesellschaft, der in irgendeiner Form mit dem Internet zu tun hat. Denn über das Internet kommunizieren nicht nur Firmen-PCs und Diensthandys, sondern auch das privat genutzte Tablet, Handy und der PC. Aber auch IoT-Geräte wie das digitale Türschloss, der internetfähige Fernseher, die sprechende Puppe im Kinderzimmer, smarte Rollos, das Auto oder auch Sprachassistenten. Die Automatisierung der eigenen vier Wände und des Büros schreitet voran – oft allerdings nicht mit der notwendigen Sicherheit.
In Sachen IT-Sicherheit sind also nicht nur Firmen darauf angewiesen, das die Technik stets auf dem neuesten Stand ist. Allerdings galt die IT-Sicherheit vor allem im privaten Bereich bislang wenig, weshalb auch vernetzte IoT-Geräte immer häufiger zum Ziel von Cyberkriminellen werden. Und auch Firmen unterschätzen das Sicherheitsrisikos smarter Geräte oft. Der dringend notwendige Handlungsbedarf findet im Cyber Resilience Act einen ersten Vorschlag.
Was ist der Cyber Resilience Act?
Beim Cyber Resilience Act handelt es sich um einen Gesetzentwurf der Europäischen Kommission, um die Cyber-Resilienz, also die Widerstandskraft gegen Cyberangriffe, zu erhöhen. Das soll erreicht werden durch einen globalen Standard an europaweit verbindlichen Cybersicherheitsanforderungen für Hersteller und Anbieter von „Produkten mit digitalen Elementen“. Dabei geht es um Hardware und Software, die als Endprodukte oder als Komponenten auf den Markt kommen.
Ziel ist, dass die Hersteller digitale Sicherheit künftig bereits bei der Produktentwicklung berücksichtigen („Security by Design“), während der Produkt-Lebensdauer auftretende Schwachstellen beheben und entsprechende Sicherheitsupdates bereitstellen. Verbraucher und Firmen sollen dadurch besser vor Cyber-Attacken geschützt werden. Denn: Jedes Gerät, das eine Internetverbindung hat, ist ein mögliches „Einfallstor für einen Cyberangriff“, so EU-Binnenmarktkommissar Thierry Breton.
Sollte es dennoch einmal zum erfolgreichen Cyberangriff kommen, ist PC-SPEZIALIST vor Ort für Sie da. Damit Sie möglichst schadlos aus diesem Angriff hervorgehen, hilft im Vorfeld ein Backup, bzw. die Datensicherung. Nehmen Sie Kontakt zu uns auf und lassen Sie sich beraten.
Auch Kinder sind heutzutage selbstverständlich im Internet unterwegs – auch sie und vor allem ihre Geräte werden durch die Cyber Resilience geschützt. Bild: Pexels/Ron Lach
Lob und Kritik am Cyber Resilience Act
Der Bundesverband der Verbraucherzentralen äußerst sich klar positiv zum neuen Gesetz. Die Hersteller können damit nicht mehr die Verantwortung für Cybersicherheit auf die Verbraucher abwälzen. Diese „unzumutbaren Risiken und Gefahren“ werden mit dem Cyber Resilience Act gebannt. Der Branchenverband Bitkom und der TÜV-Verband sehen das ähnlich.
Worauf es aber noch ankommt – da sind sich die Experten einig – ist Folgendes: Eine unabhängige Instanz muss die Einhaltung der Vorschriften überprüfen. Ansonsten ist das neue Gesetz nämlich das Papier nicht wert, auf dem es geschrieben steht. Für die Herstellerverbände ist vor allem die Security-by-Design-Pflicht eine große Herausforderung.
Eine weitere Schwierigkeit liegt in der Frist zur Umsetzung. Hersteller haben nämlich gerade mal zwei Jahre Zeit dafür – und damit deutlich weniger als gängige Entwicklungszyklen für Hard- und Software andauern. Ein weiteres Problem liegt laut Herstellern in den umfangreichen Dokumentationspflichten. Sie stellen in Zeiten von Personal- und Fachkräftemangel eine große Herausforderung dar.
Cyber Resilience – warum gerade jetzt?
Die Frage, warum die EU gerade jetzt das Thema Cyber Resilience angeht, liegt auf der Hand: Die Corona-Pandemie zwang von einen Tag auf den anderen zahlreiche Arbeitnehmer ins Home Office. Und längst nicht alle Firmen waren darauf vorbereitet. Die digitalen Infrastrukturen von öffentlichen Organisationen und Unternehmen wurden durch die Pandemie vor enorme Herausforderungen gestellt. Hacker starteten massive Angriffe. Von jetzt auf gleich mussten Teams, Strukturen, Abläufe und Technologie auf eine Ausnahmesituation umgestellt werden. Und dieser Prozess ist bis heute nicht abgeschlossen.
Aber: Die Bedeutung der Widerstandsfähigkeit der IT gegen Angriffe von außen als Kerneigenschaft komplexer IT-Systeme ist dadurch stark in den Vordergrund gerückt worden. Gleichzeitig schärfte sich das Bewusstsein dafür, dass die Cyber-Resilienz als zentrales Leitbild innerhalb jeder IT-Strategie etabliert werden muss.
Denn nur durch Cyber-Resilienz ist die Funktionsfähigkeit zentraler Prozesse und Infrastrukturen auch unter außergewöhnlichen Umständen zu gewährleisten. Dass dabei nicht nur an Firmen, sondern auch an die IT-Sicherheit privat genutzter Geräte gedacht wurde, ist ein äußerst positiver Aspekt im Cyber Resilience Act.
Mit unseren Tipps sorgen Sie für mehr Sicherheit. Bild: stock.adobe.com/magele-picture
Tipps für mehr Cyber-Resilienz
Experten für Cybersicherheit sagen oft, dass es „nicht darauf ankommt, ob man gehackt wird, sondern wann“. Das bedeutet im Umkehrschluss, dass Sie sich auf den Fall der Fälle vorbereiten sollten, da Sie ganz bestimmt irgendwann zum Opfer werden. Bereiten Sie sich allerdings auf einen möglichen Angriff vor, verringern Sie die Auswirkungen – und zwar unabhängig davon, ob Sie Teil eines kleinen Unternehmens oder eine Einzelperson. Unsere Tipps:
- Sichern Sie regelmäßig Ihre Daten gemäß der 3-2-1-Backup-Strategie, um Datenverluste im Falle von Angriffen oder Hardwareausfällen zu vermeiden.
- Informieren Sie Kollegen und Familienmitglieder über neue Bedrohungen, bsp. durch den Hinweis auf eine gut gestaltete Phishing-E-Mail.
- Planen Sie, wie Sie im Angriffsfall vorgehen und welche Schritte erforderlich sind, um einen Angriff abzuschwächen.
- Informieren Sie sich regelmäßig und lesen Sie mindestens einmal pro Woche in die Kategorie Cybersicherheit in Nachrichten-Apps, um zu sehen, ob und wann Geräte gepatcht werden müssen.
- Sprechen Sie über verdächtige Aktivitäten. In der Londoner U-Bahn gibt es ein Schild mit der Aufschrift „See it, Say it, Sorted“ (sehen, sagen, einsortieren) – beherzigen Sie dies innerhalb der Familie oder Ihres kleinen Unternehmens, damit mögliche Angriffe schnell erkannt werden.
- Katalogisieren Sie Ihre Geräte – auch zuhause oder im kleinen Betrieb. Nur wenn Sie wissen, wo sich welches Gerät befindet, können Sie es auf dem neuesten Stand halten.
- Überwachen Sie Konten und Zugriffe regelmäßig und frühzeitig einen möglichen Missbrauch festzustellen. Ob E-Mail-Adresse gehackt wurden, können Sie auf den Plattformen Have I been pwned oder mit dem Identity Leak Checker des Hasso-Plattner-Instituts spielend einfach prüfen.
- Halten Sie die Kontaktdaten Ihrer Bank, des Telefon- und Internetanbieters usw. griffbereit, um Online-Konten oder SIM-Karten schnell sperren zu lassen.
Ob Firma oder im privaten Umfeld – mit diesen Tipps werden Sie cyberresilient, also widerstandfähiger gegen Angriffen. Auswirkungen lassen sich minimieren und der Stresspegel hält sich im Ernstfall in Grenzen. Sie haben Fragen? PC-SPEZIALIST in Ihrer Nähe berät Sie gern! Nehmen Sie Kontakt auf.
_______________________________________________
Andere Stimmen zum Thema: Brandmauer, Security Insider, Datensicherheit, Heise, ZDNet, Genua, datto, tecchannel, welivesecurity
Schreiben Sie einen Kommentar