Aktuelles, Branche - geschrieben von am Montag, Juni 10, 2024 16:57 - noch keine Kommentare

EU Cyber Resilience Act: Empfehlungen zur Umsetzung

Aus den Fallstricken der DSGVO lernen / Zahl der vernetzten Geräte wächst bis 2050 weltweit voraussichtlich auf 24 Milliarden –  vergrößerte Hacker-Angriffsflächen durch IoT

[datensicherheit.de, 10.06.2024] Der bevorstehende EU Cyber Resilience Act (CRA, EU-Gesetz über Cyberresilienz) stellt einen wichtigen Schritt in der europäischen Cybersicherheitspolitik dar. Er zielt darauf ab, die digitale Abwehr in der Europäischen Union durch einen proaktiven Cybersicherheits-Ansatz zu verbessern. Im Gegensatz zu früheren Verordnungen wie der DSGVO (Datenschutzgrundverordnung) stellt der EU CRA die tatsächliche Widerstandsfähigkeit über die Einhaltung von Vorschriften und konzentriert sich auf eine wirksame Risikominderung

Andy Grolnick, CEO bei Graylog

Andy Grolnick, CEO bei Graylog, Bild: Graylog

„Der CRA stellt einen bedeutenden Schritt zur Sensibilisierung für Cyberrisiken auf Unternehmensebene dar. Es besteht jedoch die Gefahr, dass er zu einem bloßen Kontrollkästchen für die Einhaltung der Vorschriften verkommt, wie es bei der DSGVO der Fall ist.“, äußert Andy Grolnick, CEO vom Security-Anbieter Graylog, seine Bedenken.

Fallstrick Compliance-Checkbox: was die DSGVO wirklich brachte

Die Sicherheit von Checkboxen gleicht dem Anlegen eines Verbandes auf eine klaffende Wunde, sie ist kein ausreichender Ansatz. Wir haben die Unzulänglichkeiten früherer Verordnungen wie der DSGVO erlebt, bei denen die Einhaltung der Vorschriften oft echte Sicherheitsmaßnahmen überschattete.“, so Grolnick weiter.

Die DSGVO wurde erlassen, um den Datenschutz für Nutzer zu verbessern. Die Idee war, Cookies zu minimieren, die alle Nutzerbewegungen verfolgen. In der Praxis hat sie dieses Ziel jedoch verfehlt. Anstatt eine Website zu besuchen und heimlich verfolgt zu werden, haben die Nutzer jetzt das Privileg, Cookies zu akzeptieren und wissentlich verfolgt zu werden. Der Punkt ist, dass die Verordnung das Tracking nicht eingedämmt hat, sondern stattdessen das Surferlebnis für viele beeinträchtigt und die Unternehmen Millionen kostete.

Anstatt das Tracking abzuschaffen, haben die Unternehmen Geld investiert, um die Nutzer darauf hinzuweisen, dass es stattfindet. Das Risiko besteht darin, dass Unternehmen die Verordnung teilweise erfüllen, indem sie angemessene Sicherheitsmaßnahmen in Bezug auf Design, Entwicklung, Bereitstellung und Support-Mechanismen ergreifen, aber nicht wirklich versuchen, das Hacking-Problem zu lösen, und so unter dem Radar fliegen können.

„Was wir nicht brauchen, ist eine weitere Verordnung, die die Hersteller dazu zwingt, die Vorschriften einzuhalten, ohne sich wirklich darauf zu konzentrieren, ihre Cybersicherheitslage zu verbessern, da wir immer mehr miteinander vernetzt sind.“, verdeutlicht Grolnick die Situation. „Der EU CRA wird die Unternehmen zwar zum Nachdenken darüber anregen, wie sie das Internet der Dinge nutzen, aber es wird nur eine minimale Anforderung zur Einhaltung geben, und genau darin liegt das Problem.“

Prioritäten richtig setzen: Die Cybersicherheit in einer IoT-Umgebung gehört an die erste Stelle

Bei jedem Produkt, das „intelligenter (smarter)“ wird, müssen die daraus resultierenden Schwachstellen berücksichtigt werden. Wenn Verbraucher Gegenstände in ihr Haus bringen, die eine Verbindung zu ihrem Smartphone oder ihrem WLAN erfordern, können sie letztlich auch Kriminellen Zugang zu ihrem Haus verschaffen.

„Sind der Geschirrspüler, die Lautsprecher oder intelligente Türschlösser über das Internet oder mehrere APIs (Application Programming Interfaces oder Programmierschnittstellen) mit dem Smartphone verbunden, dann ist diese Verbindung ein gefundenes Fressen für Hacker, ebenso wie alle Datenpakete, die über diesen Kanal übertragen werden – persönliche Daten, Geolokalisierungsdaten, Netzwerkzugriff, Gerätesteuerung und vieles mehr. Innovation ist großartig, aber nicht ohne Standards. Sicherheit und Schutz müssen die Innovation untermauern, wenn sie effektiv sein soll – und das deutlich mehr als es der Norm entspricht.“, so Grolnick.

Lieferkettenbedrohung durch Hackerangriffe

Im Jahr 2023 wurden die Nachrichten von einer Reihe heftiger Cyberangriffe überschwemmt, die einen deutlichen Trend ankündigen: Hackerangriffe in der Lieferkette. Hier nutzen Cyberkriminelle Schwachstellen in Systemen von Drittanbietern aus, um an wertvolle Daten und Kundenwerte zu gelangen.

Der vernetzte Charakter von IoT-Implementierungen, an denen oft mehrere Unternehmen und komplexe Liefernetzwerke beteiligt sind, erfordert APIs für die Kommunikation zwischen Geräten, Anwendungen und Systemen. APIs sind eine äußerst unzureichend geschützte Angriffsfläche, was sie zu einem bevorzugten Ziel für Angreifer und zu einem erheblichen Risiko beim IoT-Einsatz macht. Böswillige Akteure können Zero-Day-Schwachstellen, Schwachstellen in Authentifizierungsmechanismen und Gateway-Schutzmaßnahmen ausnutzen, um auf die wertvollen Informationen zuzugreifen, die APIs enthalten. Dazu gehören auch personenbezogene Daten.

APIs schützen und Sicherheitsmängel beseitigen

Der CRA will unter anderem IoT-Hersteller dazu bringen, sich ernsthafter mit der Cybersicherheit auseinanderzusetzen und wirkungsvolle Schritte zum Schutz der Verbraucherdaten herbeizuführen. Das bedeutet, dass sie mehr als nur das Nötigste tun müssen, um die Anforderungen zu erfüllen.

Die Hersteller müssen der Integration robuster Authentifizierungsmechanismen wie kryptografischer Schlüssel, Zertifikate oder biometrischer Authentifizierung Vorrang einräumen, um den unbefugten Zugriff auf Geräte und Funktionen zu verhindern. Authentifizierungsprotokolle wie rollenbasierte Zugriffskontrollen sollten bereits in der Entwicklungsphase von IoT-Geräten festgelegt werden. Darüber hinaus liegt es in der Verantwortung der Hersteller, die Betriebssoftware auf dem neuesten Stand zu halten, um Schwachstellen zu beheben und Zero-Day-Exploits zu verhindern.

Sich nur auf den Schutz der Außengrenzen zu verlassen, ist aufgrund der zunehmenden Raffinesse der Bedrohungsakteure unzureichend. Da die Hersteller Zugriff auf die Benutzeraktivitäten haben, können sie diese aktiv protokollieren und überwachen, um bösartige Aktivitäten zu erkennen, bevor sie vom Netzwerk auf die Produktionsumgebung übertragen werden können. Durch die Überwachung von API-Aufrufen können Hersteller beispielsweise Einblicke in die Datenbewegungen innerhalb ihrer Netzwerke gewinnen und so physische Schäden durch kompromittierte IoT-Geräte verhindern.

Kostenfalle Sicherheit

Sicherheit wird oft als kostspieliges Hindernis für die Fertigung angesehen, die Prozesse verlangsamt und Lieferzeiten beeinträchtigt. Das muss jedoch nicht so sein. Die Verbesserung von Prozessen durch Daten-Dashboards, die es Unternehmen ermöglichen, ihre Sicherheit zu überprüfen und nachzuweisen, aber auch einen geschäftlichen Nutzen zu erzielen, wird unterschätzt und ist, offen gesagt, eine Investition, die sich für Unternehmen lohnt.

24 Milliarden vernetzte Geräte in 2050

Da die Zahl der vernetzten Geräte bis 2050 weltweit voraussichtlich 24 Milliarden erreicht, vergrößert die Verbreitung des IoT die Angriffsflächen für Hacker rapide. Regulierungsrahmen wie der CRA, die darauf abzielen, branchenweite Standards für die IoT-Herstellung festzulegen, spielen eine entscheidende Rolle bei der Förderung des Bewusstseins für Cybersicherheit auf Unternehmensebene.

„Die Umsetzung erfordert eine enge Zusammenarbeit zwischen Herstellern, politischen Entscheidungsträgern und Cybersicherheitsexperten. Es ist dringend erforderlich, aus den Fallstricken der DSGVO zu lernen und sicherzustellen, dass der EU CRA Unternehmen tatsächlich dazu ermutigt, der Cybersicherheit Priorität einzuräumen und ihre Widerstandsfähigkeit zu stärken.“, so Grolnick abschließend.



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung