Verbindliche Herstellerstandards für mehr Sicherheit im Netz

Die Europäische Kommission stellt an diesem Mittwoch ein Strategiepapier zu Cyber-Sicherheit vor. Im „Internet der Dinge“ kommunizieren Heizung und Kühlschrank. Intelligente Autos und kritische Infrastrukturen wie Strom- und Wasserversorgung sind vernetzt. Die Digitalisierung des Alltags erfordert mehr Sicherheit für Informationstechnologien, wie der Hackerangriff „WannaCry“ im Mai 2017 deutlich machte. Jan Philipp Albrecht, stellvertretender Vorsitzender des Innen- und Justizausschusses im EU-Parlament fordert das Europäische Parlament auf, sich für verpflichtende Mindestanforderungen wie etwa sichere Ende-zu-Ende-Verschlüsselung und sichere voreingestellte Passwörter (1) einzusetzen:

„Es ist höchste Zeit, dass wir den digitalen Binnenmarkt fit machen für die Digitalisierung. Die Europäische Kommission hat lange gezögert, ihre Vorschläge für mehr Cyber-Sicherheit vorzulegen. In der Strategie fehlen zahlreiche zentrale Schritte für mehr Sicherheit im Netz. Die Digitalisierung des Alltags erfordert klare Regeln und IT-Sicherheitsstandards für Hersteller von Hard- und Software. Verpflichtende Mindestanforderungen wie die Ende-zu-Ende-Verschlüsselung intelligenter Kühlschränke und anderer vernetzter Haushaltsgeräte, Kennzeichnungen für die Gerätequalität im Internet der Dinge und sichere voreingestellte Passwörter sind der Airbag im digitalisierten Alltag.“

Julia Reda, stellvertretende Vorsitzende der Grünen/EFA-Fraktion fordert ein Umdenken beim Umgang mit Sicherheitslücken und die Förderung der Eigenständigkeit der Nutzerinnen und Nutzer beim Umgang mit dem "Internet der Dinge":

„Es muss Staaten und ihren Geheimdiensten verboten werden, Wissen über Sicherheitslücken für sich zu behalten oder solche gar vorsätzlich in Produkte einzubauen. Im Gegenteil muss die EU die Suche nach derartigen Lücken in weiterverbreiteter freier Software fördern. Kommerzielle Hersteller von Software müssen für Sicherheitslücken in ihren Produkten unter bestimmten Umständen haftbar gemacht werden, etwa wenn sie es versäumen, schnellstmöglich Updates für kritische Sicherheitslücken anzubieten und den Quellcode auch nicht für eine unabhängige Sicherheitsüberprüfung zugänglich machen. Dafür muss die EU-Produkthaftungsrichtlinie überarbeitet und auf Software ausgeweitet werden. Die Meldepflicht für erhebliche Störungen von kritischen Infrastrukturen wie Strom- und Wasserversorgung muss zukünftig auch für andere Systeme gelten. Zudem sollten kritische Gerätebereiche und Infrastrukturen vom öffentlichen Internet vollständig getrennt werden, um keine Angriffsfläche für Attacken von außen zu bieten. Wer eine Kamera oder eine Heizung kauft, die mit dem Internet verbunden werden kann, soll das Recht haben, diese auch offline zu nutzen.“

(1) Bei Internet-Routern zum Beispiel sind Standard-Passwörter voreingestellt, die den Internetzugang anfällig für Hacker-Angriffe machen. Sichere voreingestellte Passwörter minimieren das Risiko eines Hacker-Angriffs.