Positionspapier der Verbraucherzentrale
Cyberresilienzgesetz: Updatepflicht für gesamte Lebensdauer von Produkten gefordert
Der Verbraucherzentrale Bundesverband (VZBV) hat ein Positionspapier mit Empfehlungen für Europäische Gesetzgeber formuliert, das sich mit Details des Gesetz über Cyberresilienz auseinandersetzt, welches die Europäische Kommission bereits im vergangene Jahr vorgestellt hat.
- Europa: Cyberresilienzgesetz vorgelegt
Regeln für Digitalprodukte
Das Cyberresilienz-Gesetzt, das noch nicht in Kraft getreten ist sondern sich momentan in den so genannten Trilog-Verhandlungen zwischen dem Europäischen Parlament, dem Rat der Europäischen Union und der Europäischen Kommission befindet, soll bestimmte Basisregeln für Produkte „mit digitalen Elementen“ festlegen.
Unter anderem sollen Hersteller etwa dazu verpflichtet werden, aktiv ausgenutzte Schwachstellen und Cybersecurity-Vorfälle melden zum müssen. Zudem soll es für alle erfassten Produkte der Kategorie „klare und verständliche Gebrauchsanweisungen“ geben müssen.
5 Jahre Updatepflicht
Wichtigster Punkt des damals vorgelegten Entwurfs: Hersteller von Produkten mit digitalen Elementen, also Smartphones und Rechner aber auch Saugroboter, Lautsprecher und Powerstations, sollen eine fünfjährige Updatepflicht umsetzen. Während dieser müssen die Anbieter sicherstellen, dass gefundene Schwachstellen schnell und wirksam beseitigt werden.
Hier setzt der VZBV nun mit seinem Positionspaper an. Die Verbraucherschützer stören sich an dem Plan, die Hersteller lediglich dazu zu verpflichten Sicherheitsupdates für die erwartete Produktlebensdauer oder über einen Zeitraum von fünf Jahren (je nachdem, welcher Zeitraum kürzer ist) bereitzustellen und fordern, die Produktlebensdauer zum ausschlaggebenden Kriterium zu machen. Die fünf Jahre, die die Europäische Kommission vorschlägt seien nicht praxisnah.
- PDF-Download: Positionspapier Cyberresilienzgesetz
Zudem unterstützt der VZBV den Vorschlag aus Reihen des Europäischen Parlaments, Anbieter dazu zu Verpflichten, bereits beim Kauf über die Service-Dauer der Produkte zu informieren.
Die Bereitstellung von Sicherheitsupdates bestimmt unweigerlich die Lebensdauer eines digitalen Produkts. Entscheidet sich der Hersteller dafür, den Dienst der Erkennung von Schwachstellen und der Reaktion auf Zwischenfälle einzustellen, ist eine sichere Nutzung eines Produkts nicht mehr möglich. Bei der Festlegung eines verbindlichen Zeitrahmens für Sicherheitsaktualisierungen ist es entscheidend, dass die Dauer die allgemeine Produktlebensdauer ausreichend widerspiegelt. Bei vernetzten Produkten mit manuellen Funktionen ist diese oft viel länger als die Servicezeit des Herstellers.
Genau das sollte so sein top
+1.
Stimme völlig zu.
Man kann nur hoffen, dass die Hersteller keine Hardware-Schwachstellen einbauen, die die Lebensdauer der Produkte reduzieren.
Warum nur 5 Jahre? Nachhaltig wären 10. muss ja nur Sicherheit sein, keine neue Funktionen.
Das macht Apple ja schon fast
Leider nicht.
Leider doch
Stimmt, Apple ja. Android Phones sind nach 3 Jahren schon aus Updates raus.
Ja wieso nur 5 ???
Denke auch 10 sollte das Minimum sein – dann ist es technisch auch wirklich überholt. Aber so hat man Technik, die eigentlich noch funktionsfähig ist aber durch Software unbrauchbar wird …
Es geht um Sicherheitsupdates und nicht Funktionsupdates. Die iOs/Android Version muss dann nicht Jahrelang geupdatet werden.
Schnauze halten!!!
Stevie, bei mir steht vor dem Kommentieren, wir sollen nett zueinander sein. Bei dir auch?
Bei Stevie steht: sei asi!
Sehe ich auch so. 5 Jahre reicht nicht. Gerade bei Haushaltsgeräten, etc. sollte es deutlich länger sein.
…was auch zu einer massiven Verteuerung der Produkte führen wird, da die Hersteller die voraussichtlichen Update-Kosten auf den Verkaufspreis aufschlagen werden…
Das solle eben nicht passieren
Verteuerung mag ja sein, aber massiv?
Im Endeffekt aber immer noch billiger und nachhaltiger als ein funktionierendes Gerät ersetzen zu müssen.
Ich finde die eingeschlagene Richtung wirklich gut, aber fünf Jahre halte ich für einige Dinge für viel zu kurz. Klar bei ner Smartwatch oder anderen kleineren Gadget halten die Akkus dann nicht so lang aber was ist wenn die Austauschbarkeit besser wird und die Hardware dann mehr als fünf Jahre lang gut brauchbar ist. Zum Beispiel Autos, Lautsprecher, andere elektronische Großgeräte – laufen ja locker 10 oder mehr Jahre. Da beschleicht mich dann das Gefühl dass am Ende einer solchen Gesetzgebung eher an Aktionäre als an Endkonsumenten oder die Umwelt gedacht wird.
Info vorab finde ich wichtig. Dann setzt das Nachdenken beim Verbraucher ein und ein Wettbewerb zwischen den Anbietern.
Allerdings befürchte ich, dass Anbieter eher die Lebensdauer beschränken werden als endlos Updates zuzusagen. Das wäre nicht in Sinne des Verbrauchers, der sehr gut selbst entscheiden kann, ob er mit einem Restrisiko lebt oder das Produkt ohne online-Funktionen weiter nutzen will. Auch aus Sicht der Umwelt wäre das kein Gewinn.
Professionelle Nutzer managen den Lifecycle ohnehin selbst und setzen auf langlebige Anbieter. Aber da kosten die Produkte auch das x-fache. Das wollen Endverbraucher sicherlich nicht bezahlen.
5 Jahre für Sicherheitsupdates sind doch ein Witz?! Das ist ja wieder so Alibi Gesetz. Damit sie was gemacht haben… 5 Jahre Funktions- und 10 Jahre Sicherheitsupdates wären angebracht für die Verbraucher.
für großbritannien gilt es dann sowieso nicht –> https://www.iphone-ticker.de/ueberwachung-geht-vor-grossbritannien-will-kontrolle-ueber-softwareupdates-219784/
Großbritannien wollte sich ja nichts mehr „von Brüssel“ vorschreiben lassen. Selbst schuld. Kein Mitleid.
Ich wäre ja noch dafür dass nach den 5Jahren man sich entscheiden könnte ob das Gerät dann „geöffnet“ wird und ich dann alternative Software/Betriebssysteme installieren kann als Endnutzer. Dann könnte man den Handys und Tablets mit alternativen Betriebssystemen weiterhin nutzen und die Geräte wären dann kein Elektroschrott mehr der keine Updates und auf dem sich keine Apps mehr installieren lassen
Ja! Das wäre so gut! Wünsch ich mir schon lange.
Schade, dass das Gesetz nicht schon eingeführt wurde, dann hätte ich mir vom AVM Support nicht so arrogante Aussagen auf meine Fragen reinziehen müssen, warum die 7580 keine Updates mehr erhält, die 7490 aber schon. Und die ganzen AVM Fanboys, die das noch verteidigen, wären dann bestimmt auch ruhig geblieben.
Die ist aber auch schon 7 Jahre alt.
Also über die 5 Jahre hinaus.
Wenn du dann Updates bekommst ist man am meckern, dass das Teil dann zu langsam ist.
Auch Apple mit seinen ca. 6 Jahren ist schon nicht schlecht dabei.
Teilweise bekommen ja sogar ältere Geräte Updates für schwerwiegende Sicherheitsprobleme.
Apple ist nicht schlecht dabei? Also die Leistungen im smartwatch Bereich sind ja nun wirklich durch die Decke gegangen und die Nutzung wird doch über die Zeit nicht anspruchsvoller. Warum kann ein iPad Air nicht mehr als HomeKit Zentrale genutzt werden? Weil Apple die Geräte einfach nicht mehr supported.
> Wenn du dann Updates bekommst ist man am meckern,
> dass das Teil dann zu langsam ist.
Es geht um UPDATES, nicht UPGRADES.
Du bekommst exakt die Software, die da schon drauf ist, ohne den Bug. Da wird nix langsamer.
Viel Wichtiger fände ich ein Gesetz welches Herateller von Cloud Produkten dazu verpflichtet mit dem Moment der Einstellung des Service oder im Falle der Insolvenz den Quellcode und alle notwendige dazu als Open Source zu veröffentlichen und den Useren mit einem letzten Update die möglichkeit einräumt den Zielserver selbst zu definieren. so dass man zumindest eine kleine Chance hat etwas selbst im eigenen netz aufzubauen. Diese Pakete sollten von Anfang an immer bereit liegen und auch Auditierbar sein. Da wenn es mit einem Laden bergab geht oft die Kohle fehlt dann so etwas vernünftig zu veröffentlichen.
Eventuell würde das die Hersteller auch etwas zum nachdenken bewegen ob z.B. jede Lampe oder Wasserkocher nur noch per cloud gesteuert werden kann.
Patente werden verkauft, um die Gläubiger auszuzahlen. Die würden sich aber über die Veröffentlichung von Quellcodes freuen ;)
Dann haben die Gläubiger noch mehr Motivation den Laden nicht Pleite gehen zu lassen;-)
5 Jahre, na da werden viele Android Hersteller aussteigen.
Gewisse Hersteller haben ja 1-2 Jahre, wobei das 2 schon Optimismus ist.
Und wenn man Apple betrachtet, sind auch schon Geräte nach 5 Jahren raus geflogen. Beim Mac ja zum Teil nach 6 Jahren
Die Phrase mit Apple ist völliger Blödsinn. Nenn mir mal Produkte ab 2012, außer dem iPod, wo das so gewesen sein soll.
Mein 2008er Power-Mac der immer noch wunderbar mit El Capitan läuft würde sich sicher über aktuelle Sicherheits-Updates freuen. Das wären dann 15 Jahre.
Genau das !!!
Im SPIEGEL ist gerade ein Artikel erschienen, in dem nicht (mehr) geschlossene Sicherheitslücken als Einfallstor für chinesische Hacker genannt werden, die entsprechende Geräte zu VPNs umfunktionieren um z. B. in Deutschen Behörden zu spionieren. Man unternimmt dann quasi Hackangriffe über IoT-Geräte mit deutschen IP-Adressen. Das geht von Lampen/Leuchten bis zu veralteten Routern. Ich kann es schon lange nicht mehr hören, wenn Leute solche Geräte weiter betreiben mit dem Argument, dass bei ihnen nichts zu holen sei.
Autos müssen zur HU – IT-Geräte können unbegrenzt weiter an’s Internet gehängt werden. Grundsätzlich muss hier etwas passieren, was die Sicherheit erhöht und natürlich die Nachhaltigkeit im Sinne des Umweltschutzes und der Verbraucherfreundlichkeit. Mit der sehr chinesischen Mentalität, dass „Luxus“-artikel nur zwei bis drei Jahre zu halten haben, weil sie dann technisch überholt und sowieso aus Prestigegründen ausgetauscht werden „müssen“, ist der Planet nicht zu retten. Wie viel minderwertigster Elektroschrott, der nicht einmal verkehrsfähig in der EU ist, alleine bei Amazon zu finden ist, regt mich zunehmend auf. Von den neuen Marktplätzen und alten Platzhirschen mit Direktversand noch gar nicht gesprochen.
Und bevor wir uns jetzt nur auf die Chinesen konzentrieren – es sind alle Nachrichtendienste der Welt dabei (Prism, Vorratsdatenspeicherung, etc) Auch unser eigener und die EU. Und wie die Briten über Privatsphäre denken, wurde ja bereits hier bei iFun berichtet. Das wird ein „zahnloser Tiger“ seitens der EU.
Super!
Super super super super. So muss das gemacht werden!!!
Gesamte Lebensdauer ist 5Jahre?
Ich benutze hier noch ein SE erster Generation weil es das letzte handliche iPhone war. Das läuft noch super.
Mein iPhone 5s ist auch noch prinzipiell in Ordnung und wird für Musikstreaming und ein wenig YouTube genutzt. Allerdings hinter einer Firewall. Läuft sogar noch mit dem ersten Akku.
Grundsätzlich finde ich das gut. Als Techniker frage ich mich allerdings, wie man das genau bewerkstelligen soll.
Um das mal zu umreissen: Ich arbeite in der Entwicklung. Natürlich haben wir noch den Code von dem Release vor 5 Jahren in unseren Repos. In so einem Falle würde ich den auschecken, das fehlerhafte “<“ ersetzen durch “<=“ und der Bug ist gefixt.
…bloß…
…jetzt muss ich die Software noch „bauen“. Dazu wird aller möglicher Kram aus dem Netz nachgezogen, OpenSource-Libraries usw. — die wiederum haben aber ja auch wieder Abhängigkeiten, die sie runterladen.
… und um das zu machen, benötige ich auch die Build-Werkzeuge von vor 5 Jahren. Und ich brauche Hardware von vor 5 Jahren. Das könnte dann z.B. ein Mac mit Intel-Prozessor sein, den man dann längst nicht mehr kaufen kann.
Jetzt geht’s weiter. Nehmen wir an, ich krieg‘ das alles hin. Dann muss die Software ja auch in der QA getestet werden. Dazu brauche ich die Endgeräte, für die die Software zertifiziert ist. Also, Beispiel, ich habe meinem Kunden mal eine Software verkauft, und mich vertraglich verpflichtet, dass die auf einem iPhone 4 mit iOS 4 läuft, und wenn ich die Software jetzt erneut testen muss, dann brauche ich ein iPhone 4 mit iOS 4. Solche Geräte liegen bei uns in der QA-Abteilung in einem heiligen Schrank, damit nicht irgendein Töffel auf „Upgrade“ patscht. Dann müssten wir das Gerät ernsthaft gebraucht nachkaufen, mit dem „richtigen“ OS drauf, statt dem „neusten“
Dazu kommen dann noch andere Themen wie digitales signieren, wo die Schlüssel längst abgelaufen sind usw.
Das mag für einen Hobby-Nerd jetzt alles blödsinnig klingen. „Nimm halt’ne VM, speicher halt die Abhängigkeit irgendwie, nimm halt einen neuen Schlüssel,…“ usw. usf.
Alles lösbar, allerdings vertraglich schwierig, und der Aufwand ist brutal hoch. Ich frage mich, was das dann an Kosten bedeutet, die dann natürlich an den Endkunden durchgereicht werden. Und wir sind ’ne triviale Web-Butze, das ist sicherlich noch mal ein ganz anderer Schnack in anderen Industrien.
In diesem Zusammenhang muss natürlich auch in das Gesetzt rein : die Geräte dürfen durch die Updates nicht langsamer werden. Dies ist ja bei allen „Großen“ das Mittel zur Wahl, um die User/innen/divers dazu zu zwingen, neue Geräte zu kaufen.