ifun.de — Apple News seit 2001. 39 502 Artikel

Positionspapier der Verbraucherzentrale

Cyberresilienzgesetz: Updatepflicht für gesamte Lebensdauer von Produkten gefordert

Artikel auf Mastodon teilen.
43 Kommentare 43

Der Verbraucherzentrale Bundesverband (VZBV) hat ein Positionspapier mit Empfehlungen für Europäische Gesetzgeber formuliert, das sich mit Details des Gesetz über Cyberresilienz auseinandersetzt, welches die Europäische Kommission bereits im vergangene Jahr vorgestellt hat.

Google Pixel Reparatur

Regeln für Digitalprodukte

Das Cyberresilienz-Gesetzt, das noch nicht in Kraft getreten ist sondern sich momentan in den so genannten Trilog-Verhandlungen zwischen dem Europäischen Parlament, dem Rat der Europäischen Union und der Europäischen Kommission befindet, soll bestimmte Basisregeln für Produkte „mit digitalen Elementen“ festlegen.

Unter anderem sollen Hersteller etwa dazu verpflichtet werden, aktiv ausgenutzte Schwachstellen und Cybersecurity-Vorfälle melden zum müssen. Zudem soll es für alle erfassten Produkte der Kategorie „klare und verständliche Gebrauchsanweisungen“ geben müssen.

5 Jahre Updatepflicht

Wichtigster Punkt des damals vorgelegten Entwurfs: Hersteller von Produkten mit digitalen Elementen, also Smartphones und Rechner aber auch Saugroboter, Lautsprecher und Powerstations, sollen eine fünfjährige Updatepflicht umsetzen. Während dieser müssen die Anbieter sicherstellen, dass gefundene Schwachstellen schnell und wirksam beseitigt werden.

Hier setzt der VZBV nun mit seinem Positionspaper an. Die Verbraucherschützer stören sich an dem Plan, die Hersteller lediglich dazu zu verpflichten Sicherheitsupdates für die erwartete Produktlebensdauer oder über einen Zeitraum von fünf Jahren (je nachdem, welcher Zeitraum kürzer ist) bereitzustellen und fordern, die Produktlebensdauer zum ausschlaggebenden Kriterium zu machen. Die fünf Jahre, die die Europäische Kommission vorschlägt seien nicht praxisnah.

Zudem unterstützt der VZBV den Vorschlag aus Reihen des Europäischen Parlaments, Anbieter dazu zu Verpflichten, bereits beim Kauf über die Service-Dauer der Produkte zu informieren.

Die Bereitstellung von Sicherheitsupdates bestimmt unweigerlich die Lebensdauer eines digitalen Produkts. Entscheidet sich der Hersteller dafür, den Dienst der Erkennung von Schwachstellen und der Reaktion auf Zwischenfälle einzustellen, ist eine sichere Nutzung eines Produkts nicht mehr möglich. Bei der Festlegung eines verbindlichen Zeitrahmens für Sicherheitsaktualisierungen ist es entscheidend, dass die Dauer die allgemeine Produktlebensdauer ausreichend widerspiegelt. Bei vernetzten Produkten mit manuellen Funktionen ist diese oft viel länger als die Servicezeit des Herstellers.

31. Aug. 2023 um 16:47 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    43 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Warum nur 5 Jahre? Nachhaltig wären 10. muss ja nur Sicherheit sein, keine neue Funktionen.

  • Ich finde die eingeschlagene Richtung wirklich gut, aber fünf Jahre halte ich für einige Dinge für viel zu kurz. Klar bei ner Smartwatch oder anderen kleineren Gadget halten die Akkus dann nicht so lang aber was ist wenn die Austauschbarkeit besser wird und die Hardware dann mehr als fünf Jahre lang gut brauchbar ist. Zum Beispiel Autos, Lautsprecher, andere elektronische Großgeräte – laufen ja locker 10 oder mehr Jahre. Da beschleicht mich dann das Gefühl dass am Ende einer solchen Gesetzgebung eher an Aktionäre als an Endkonsumenten oder die Umwelt gedacht wird.

  • Info vorab finde ich wichtig. Dann setzt das Nachdenken beim Verbraucher ein und ein Wettbewerb zwischen den Anbietern.

    Allerdings befürchte ich, dass Anbieter eher die Lebensdauer beschränken werden als endlos Updates zuzusagen. Das wäre nicht in Sinne des Verbrauchers, der sehr gut selbst entscheiden kann, ob er mit einem Restrisiko lebt oder das Produkt ohne online-Funktionen weiter nutzen will. Auch aus Sicht der Umwelt wäre das kein Gewinn.

    Professionelle Nutzer managen den Lifecycle ohnehin selbst und setzen auf langlebige Anbieter. Aber da kosten die Produkte auch das x-fache. Das wollen Endverbraucher sicherlich nicht bezahlen.

  • 5 Jahre für Sicherheitsupdates sind doch ein Witz?! Das ist ja wieder so Alibi Gesetz. Damit sie was gemacht haben… 5 Jahre Funktions- und 10 Jahre Sicherheitsupdates wären angebracht für die Verbraucher.

  • Ich wäre ja noch dafür dass nach den 5Jahren man sich entscheiden könnte ob das Gerät dann „geöffnet“ wird und ich dann alternative Software/Betriebssysteme installieren kann als Endnutzer. Dann könnte man den Handys und Tablets mit alternativen Betriebssystemen weiterhin nutzen und die Geräte wären dann kein Elektroschrott mehr der keine Updates und auf dem sich keine Apps mehr installieren lassen

  • Schade, dass das Gesetz nicht schon eingeführt wurde, dann hätte ich mir vom AVM Support nicht so arrogante Aussagen auf meine Fragen reinziehen müssen, warum die 7580 keine Updates mehr erhält, die 7490 aber schon. Und die ganzen AVM Fanboys, die das noch verteidigen, wären dann bestimmt auch ruhig geblieben.

    • Die ist aber auch schon 7 Jahre alt.
      Also über die 5 Jahre hinaus.
      Wenn du dann Updates bekommst ist man am meckern, dass das Teil dann zu langsam ist.
      Auch Apple mit seinen ca. 6 Jahren ist schon nicht schlecht dabei.
      Teilweise bekommen ja sogar ältere Geräte Updates für schwerwiegende Sicherheitsprobleme.

      • Apple ist nicht schlecht dabei? Also die Leistungen im smartwatch Bereich sind ja nun wirklich durch die Decke gegangen und die Nutzung wird doch über die Zeit nicht anspruchsvoller. Warum kann ein iPad Air nicht mehr als HomeKit Zentrale genutzt werden? Weil Apple die Geräte einfach nicht mehr supported.

      • > Wenn du dann Updates bekommst ist man am meckern,
        > dass das Teil dann zu langsam ist.

        Es geht um UPDATES, nicht UPGRADES.

        Du bekommst exakt die Software, die da schon drauf ist, ohne den Bug. Da wird nix langsamer.
        

  • Viel Wichtiger fände ich ein Gesetz welches Herateller von Cloud Produkten dazu verpflichtet mit dem Moment der Einstellung des Service oder im Falle der Insolvenz den Quellcode und alle notwendige dazu als Open Source zu veröffentlichen und den Useren mit einem letzten Update die möglichkeit einräumt den Zielserver selbst zu definieren. so dass man zumindest eine kleine Chance hat etwas selbst im eigenen netz aufzubauen. Diese Pakete sollten von Anfang an immer bereit liegen und auch Auditierbar sein. Da wenn es mit einem Laden bergab geht oft die Kohle fehlt dann so etwas vernünftig zu veröffentlichen.
    Eventuell würde das die Hersteller auch etwas zum nachdenken bewegen ob z.B. jede Lampe oder Wasserkocher nur noch per cloud gesteuert werden kann.

  • 5 Jahre, na da werden viele Android Hersteller aussteigen.
    Gewisse Hersteller haben ja 1-2 Jahre, wobei das 2 schon Optimismus ist.

    Und wenn man Apple betrachtet, sind auch schon Geräte nach 5 Jahren raus geflogen. Beim Mac ja zum Teil nach 6 Jahren

  • Mein 2008er Power-Mac der immer noch wunderbar mit El Capitan läuft würde sich sicher über aktuelle Sicherheits-Updates freuen. Das wären dann 15 Jahre.

  • Stefan B. aus H.

    Im SPIEGEL ist gerade ein Artikel erschienen, in dem nicht (mehr) geschlossene Sicherheitslücken als Einfallstor für chinesische Hacker genannt werden, die entsprechende Geräte zu VPNs umfunktionieren um z. B. in Deutschen Behörden zu spionieren. Man unternimmt dann quasi Hackangriffe über IoT-Geräte mit deutschen IP-Adressen. Das geht von Lampen/Leuchten bis zu veralteten Routern. Ich kann es schon lange nicht mehr hören, wenn Leute solche Geräte weiter betreiben mit dem Argument, dass bei ihnen nichts zu holen sei.
    Autos müssen zur HU – IT-Geräte können unbegrenzt weiter an’s Internet gehängt werden. Grundsätzlich muss hier etwas passieren, was die Sicherheit erhöht und natürlich die Nachhaltigkeit im Sinne des Umweltschutzes und der Verbraucherfreundlichkeit. Mit der sehr chinesischen Mentalität, dass „Luxus“-artikel nur zwei bis drei Jahre zu halten haben, weil sie dann technisch überholt und sowieso aus Prestigegründen ausgetauscht werden „müssen“, ist der Planet nicht zu retten. Wie viel minderwertigster Elektroschrott, der nicht einmal verkehrsfähig in der EU ist, alleine bei Amazon zu finden ist, regt mich zunehmend auf. Von den neuen Marktplätzen und alten Platzhirschen mit Direktversand noch gar nicht gesprochen.

    • Und bevor wir uns jetzt nur auf die Chinesen konzentrieren – es sind alle Nachrichtendienste der Welt dabei (Prism, Vorratsdatenspeicherung, etc) Auch unser eigener und die EU. Und wie die Briten über Privatsphäre denken, wurde ja bereits hier bei iFun berichtet. Das wird ein „zahnloser Tiger“ seitens der EU.

  • Gesamte Lebensdauer ist 5Jahre?

    Ich benutze hier noch ein SE erster Generation weil es das letzte handliche iPhone war. Das läuft noch super.

  • Grundsätzlich finde ich das gut. Als Techniker frage ich mich allerdings, wie man das genau bewerkstelligen soll.

    Um das mal zu umreissen: Ich arbeite in der Entwicklung. Natürlich haben wir noch den Code von dem Release vor 5 Jahren in unseren Repos. In so einem Falle würde ich den auschecken, das fehlerhafte “<“ ersetzen durch “<=“ und der Bug ist gefixt.

    …bloß…

    …jetzt muss ich die Software noch „bauen“. Dazu wird aller möglicher Kram aus dem Netz nachgezogen, OpenSource-Libraries usw. — die wiederum haben aber ja auch wieder Abhängigkeiten, die sie runterladen.

    … und um das zu machen, benötige ich auch die Build-Werkzeuge von vor 5 Jahren. Und ich brauche Hardware von vor 5 Jahren. Das könnte dann z.B. ein Mac mit Intel-Prozessor sein, den man dann längst nicht mehr kaufen kann.

    Jetzt geht’s weiter. Nehmen wir an, ich krieg‘ das alles hin. Dann muss die Software ja auch in der QA getestet werden. Dazu brauche ich die Endgeräte, für die die Software zertifiziert ist. Also, Beispiel, ich habe meinem Kunden mal eine Software verkauft, und mich vertraglich verpflichtet, dass die auf einem iPhone 4 mit iOS 4 läuft, und wenn ich die Software jetzt erneut testen muss, dann brauche ich ein iPhone 4 mit iOS 4. Solche Geräte liegen bei uns in der QA-Abteilung in einem heiligen Schrank, damit nicht irgendein Töffel auf „Upgrade“ patscht. Dann müssten wir das Gerät ernsthaft gebraucht nachkaufen, mit dem „richtigen“ OS drauf, statt dem „neusten“

    Dazu kommen dann noch andere Themen wie digitales signieren, wo die Schlüssel längst abgelaufen sind usw.

    Das mag für einen Hobby-Nerd jetzt alles blödsinnig klingen. „Nimm halt’ne VM, speicher halt die Abhängigkeit irgendwie, nimm halt einen neuen Schlüssel,…“ usw. usf.

    Alles lösbar, allerdings vertraglich schwierig, und der Aufwand ist brutal hoch. Ich frage mich, was das dann an Kosten bedeutet, die dann natürlich an den Endkunden durchgereicht werden. Und wir sind ’ne triviale Web-Butze, das ist sicherlich noch mal ein ganz anderer Schnack in anderen Industrien.

  • In diesem Zusammenhang muss natürlich auch in das Gesetzt rein : die Geräte dürfen durch die Updates nicht langsamer werden. Dies ist ja bei allen „Großen“ das Mittel zur Wahl, um die User/innen/divers dazu zu zwingen, neue Geräte zu kaufen.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 39502 Artikel in den vergangenen 8469 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven