EU-Parlament stimmt über Cybersecurity Act ab

| Redakteur: Julia Schmidt

Verbraucher und Anwender profitieren von zertifizierter Sicherheit

„Der Vertrauensgrad ‚grundlegend‘ wird gelegentlich mit dem CE-Kennzeichen verglichen. Es stimmt zwar, dass beide auf einer Selbsteinschätzung des Herstellers aufbauen. Allerdings ist bei Cybersecurity zu beachten, dass der Hersteller die getroffenen Maßnahmen belegen muss, mit denen er das Risiko eines erfolgreichen Angriffs auf Werte des Anwenders oder Werte Dritter gemindert hat. Das ist in der Praxis nicht trivial. Um dieses zu bewerten, benötigen die Hersteller die notwendige Kompetenz, die in der Praxis meistens durch die Nutzung der Cybersecurity-Expertise von Vertragspartnern erreicht wird. Allein dieser Umstand stellt schon einen wesentlichen Unterschied zum CE-Zeichen dar,“ erläutert Alexander Köhler, Cybersecurity BD Manager weltweit im Bereich für Industrie 4.0, ICS und Energie bei UL. UL ist umfassender Spezialist für Softwaresicherheit von der Prüfung über die Zertifizierung, und vieles mehr.

Zertifizierungsprogramme gründen sich auf Normen, bevorzugt auf internationalen oder harmonisierten. Im Bereich der Industrieautomation ist zum Beispiel die Normenfamilie IEC 62443 führend. Für Internet-verbundene Produkte jeglicher Art besteht etwa die Norm ANSI/CAN/UL 2900-1. Welche Normen im Rahmen des Cybersecurity Acts zum Einsatz kommen werden, wird sich in der weiteren Entwicklung zeigen.

Die Umsetzung ist geregelt. Zertifizierungen zu den Vertrauensgraden „grundlegend“ und „werthaltig“ dürfen nur von akkreditierten, privatwirtschaftlichen Zertifizierungsstellen durchgeführt und nur von ihnen Zertifikate ausgestellt werden – nur in besonders zu begründenden Fällen von anderen. In jedem Land muss eine Behörde für die Überwachung der Zertifizierung vorhanden sein. In Deutschland werden diese Aufgaben von der Deutsche Akkreditierungsstelle (DAkkS) für die Kompetenzprüfung mittels Akkreditierung und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Überwachung der Zertifizierung übernommen. Zertifikate zu dem Vertrauensgrad „hoch“ werden grundsätzlich vom BSI ausgestellt.

„Dadurch bekommen die Verbraucher und Anwender die notwendigen Informationen, die sie bei einer Kaufentscheidung in Bezug auf Cybersicherheit unterstützen”, kommentiert Alexander Köhler. „Unternehmen und Behörden profitieren sogar noch stärker, da sie beim Kauf von Produkten mit dem höchsten Vertrauensgrad davon ausgehen können, dass die Security-Maßnahmen so ausgelegt sind, dass mit hoher Wahrscheinlichkeit ein Angriff nicht erfolgreich sein wird.“

Nur zertifizierte, sichere Produkte im Handel

Die Hersteller sind gefordert, entsprechende Maßnahmen zu treffen. Da diese an vielen verschiedenen Stellen beginnen können, bietet UL alle Dienstleistungen an, die dazu notwendig sind, beginnend bei der Sicherheitsarchitektur eines Produktes bis hin zu der Entsorgung. UL deckt den gesamten „Secure Product Development & Lifecycle“ ab. Der Kunde kann genau das Sicherheitsniveau auswählen, das er benötigt und erreicht damit effektive, also tatsächlich wirksame, und effiziente, also kostengünstige Sicherheit.

„Im Sinne des Lebenszyklusmodells sollte noch vor ‚Security-by-Design‘ das Konzept ‚Security-by-Decision‘ gesetzt werden: Ein Produktmanager sollte bereits bei der Konzeption eines Produkts entscheiden, ob er genügend Mittel in seiner Kalkulation zur Sicherstellung der Cybersecurity über den gesamten Lebenszyklus hinweg eingeplant hat, und ob anschließend noch der angestrebte Gewinn erwirtschaftet werden kann. Ist die Antwort ‚nein‘, so riskiert das Unternehmen viel Geld, die Reputation und gegebenenfalls sogar die Existenz, wenn er es trotzdem auf den Markt bringt,“ führt Alexander Köhler weiter aus.

Ziel müsse es sein, Produkte ohne jede zertifizierte oder erklärte Sicherheit im Handel nicht mehr zu vertreiben. Kunden sollten ihre Kaufentscheidung vom Grad der Sicherheit abhängig machen. Ein Kraftfahrzeug ohne Sicherheitsgurt, Airbag oder ESP (Elektronisches Stabilitätsprogramm) wird in Europa als minderwertig angesehen und bekommt keine Zulassung. Vernetzte Produkte ohne relevante und geprüfte Sicherheit sind gleichermaßen problematisch und können Schäden in der direkten Umgebung oder sogar über große Entfernungen verursachen. Hersteller von minderwertigen Produkten wälzen das Risiko auf den Kunden oder die Allgemeinheit ab. Damit entsteht ein Marktvorteil gegenüber den Anbietern, die Aufwand treiben. Der Cybersecurity Act definiert die Spielregeln: Hersteller, die auf billige und minderwertige Produkte setzen, werden vom Markt verdrängt. Somit bekommen beispielsweise heimischen Hersteller, die den genannten Aufwand treiben, durch den Cybersecurity Act jetzt einen Marktvorteil.

Allerdings bildet der Cybersecurity Act zunächst nur das rechtliche Rahmenwerk, das es in der Praxis mit Leben zu füllen gilt. Diese Aufgabe kann nun in gemeinschaftlicher Arbeit vorangetrieben werden. UL arbeitet aktiv an der Entwicklung entsprechender Inhalte mit und stellt Unternehmen die notwendige Kompetenz bereit, um von der Einführung des Cybersecurity Acts zu profitieren.

Neue Regeln und Vorschriften im Digitaljahr 2019

Neue Regeln und Vorschriften im Digitaljahr 2019

08.01.19 - Im kommenden Jahr gibt es auch in der Digitalwelt neue Vorschriften und Regeln für Händler bzw. Hersteller und neue Rechte für Verbraucher. Der Digitalverband Bitkom hat die wichtigsten zusammengetragen. lesen

ElektroG: Diese passiven Endgeräte sind bis 1. Mai zu registrieren

ElektroG: Diese passiven Endgeräte sind bis 1. Mai zu registrieren

08.03.19 - Im Zuge der europäischen Harmonisierung stuft die Stiftung ear ab dem 1.5.2019 passive Endgeräte, die den Strom lediglich durchleiten, auch als Elektro- oder Elektronikgerät ein. Details dazu lesen Sie in diesem Beitrag. lesen

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben
Prima, Zertifikate. Damit haben wir dann in Zukunft Produkte mit garantierten...  lesen
posted am 12.03.2019 um 12:00 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45796620 / Safety & Security)