Cyber Resilience Act verabschiedet
Cyberresilienzgesetz: Updatepflicht für Saugroboter, Smart-Home, Apps
Mit dem sogenannten Cyber Resilience Act (CRA) will die Europäische Union ab November 2027 die Cybersicherheit von Smart-Home-Geräte, vernetzten IoT-Produkten und zgehörigen Softwarelösungen deutlich verbessern.
Produkte mit digitalen Elementen, wie Saugroboter oder Smart-TVs, müssen dann strengere Sicherheitsanforderungen erfüllen, um in der EU verkauft werden zu dürfen. Erklärtes Ziel des neuen Gesetzes ist es, sowohl den Schutz der Verbraucher als auch die Qualität der Produkte zu erhöhen.
Fünf Jahre Updatepflicht
Die Zahl der vernetzten Produkte in Haushalten steigt kontinuierlich. Angefangen beim Saugroboter, über smarte Beleuchtung, Türschlösser und Küchenutensilien bis hin zu Apps auf mobilen Geräten – Technologien, die einen neuen Komfort, aber auch neue Risiken mit sich bringen. Angreifer können vorhandene Schwachstellen ausnutzen, um Schaden anzurichten. Der CRA soll genau dies verhindern, indem er einheitliche Sicherheitsstandards für alle digitalen Produkte vorschreibt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht den CRA als wichtigen Schritt, um diese Risiken zu minimieren. Hersteller müssen zukünftig die Verantwortung für die Cybersicherheit ihrer Produkte während des gesamten Lebenszyklus übernehmen.
Über den gesamten Lebenszyklus eines Produkts hinweg müssen für den Endnutzer Sicherheitsupdates bereitgestellt und mögliche Schwachstellen kontinuierlich verwaltet werden. In der Regel beträgt die Dauer dieses Supports fünf Jahre – ifun.de berichtete.
Diese Produkte fallen unter den CRA
Alle Produkte, die in der EU verkauft werden und „digitale Elemente“ enthalten, müssen den Anforderungen des CRA entsprechen. Das umfasst neben preisgünstigen Verbraucherprodukten auch B2B-Software sowie komplexe High-End-Industriesysteme. „Produkte mit digitalen Elementen“ werden im CRA als Produkte definiert, die mit einem Gerät oder einem Netzwerk verbunden werden können, und umfassen sowohl Hardwareprodukte mit vernetzten Funktionen (z.B. Smartphones, Laptops, Smarthomeprodukte, Smartwatches, vernetztes Spielzeug, aber auch Mikroprozessoren, Firewalls und intelligente Zähler) als auch reine Softwareprodukte (z.B. Buchhaltungssoftware, Computerspiele, mobile Apps). Nicht-kommerzielle Open-Source-Softwareprodukte sind vom CRA ausgenommen und müssen daher die Anforderungen des CRA nicht erfüllen.
Meldepflicht bei Schwachstellen
Das Cyberresilienzgesetz verpflichtet Hersteller, Händler und Importeure zu mehr Transparenz und klaren Handlungsanweisungen im Falle von Sicherheitslücken. Zudem wird der Supportzeitraum eines digitalen Produkts an dessen Lebensdauer gekoppelt, sodass die Sicherheit über längere Zeiträume gewährleistet bleibt.
Das BSI bereitet sich auf die Umsetzung des Gesetzes in Deutschland vor und hat bereits das IT-Sicherheitskennzeichen eingeführt. Dieses ermöglicht es Herstellern, ihre Produkte schon jetzt auf die künftigen Anforderungen vorzubereiten und Sicherheitsstandards klar zu kommunizieren.
Wie schnell müssen schwerwiegende Sicherheitsvorfälle gemeldet werden?
Alle aktiv ausgenutzten Schwachstellen und schwerwiegende Sicherheitsvorfälle, die sich auf die Sicherheit von Produkten mit digitalen Elementen auswirken, müssen den Behörden innerhalb von 72 Stunden gemeldet werden. Eine Frühwarnung muss innerhalb von 24 Stunden erfolgen. Diese Verpflichtungen gelten bereits 21 Monate nach Inkrafttreten der Verordnung.
Finde ich sehr gut. Viele Geräte sind potentielle Einfallstore. Das bringt aber nur etwas wenn auch entsprechend sichere Passwörter verwendet werden. Ebenso die Echo Geräte etc. Mich würde mal interessieren bei wieviel Haushalten es möglich ist vorm Wohnzimmerfenster laut zu rufen „Alexa öffne die Haustür“. Ich denke da würde so manches Haus aufgehen.
Falls das bei Alexa geht ein weitere Grund diesen Mist in die Mülltonne zu werfen.
Apple z.B. hat es von Anfang an erkannt, dass Sicherheitsrelevantes Zubehör immer einer zusätzlichen Authentifizierung via Smartphone bedarf. Hier wird dann auf FaceID gesetzt:
Hier wird auch auf FaceID gesetzt. Ich habe unserm Saugroboter Augen, Nase und Mund aufgemalt und mein iPhone darauf trainiert. So kann ich immer gleich feststellen ob es unser DirtyHarry oder ein fremder Sauroboter ist wenn er um die Ecke kommt.
Genau deshalb habe ich bei meinem Home die „Hey Siri“-Funktion ausgeschaltet. Ich rede nur leise mit meiner AppleWatch, und das erst nachdem ich Siri manuell aktiviert habe (z.B. auch über das Ballen der Faust).
Siri auf dem HomePod öffnet keine Türen oder Garagentore. Nur schließen funktioniert. Und zwar genau aus dem Grund.
Vermutlich bei gar keinem, weil eine weitere Bestätigung (bspw. via PIN) notwendig ist, um den Befehl auszuführen. Und was das überhaupt mit dem Thema zu tun, weiß vermutlich auch keiner…
Geht nicht.
Wenn du ein smartes Türschloss mit Alexa öffnen willst, fragt sie IMMER einen zusätzlichen PIN ab.
++1
OMG, das wird bestimmt wieder die Innovationen der Hersteller verhindern …
bestimmt ;-)
Ironie bitte kennzeichnen.
Das eigentlich interessante ist, ab wann die 5 Jahre zählen. Mit Begrifflichkeiten wird hier m.E. Abgelenkt.
Wenn ich morgen im Sonderverkauf einen Smart- TV Modell 2022 kaufe und der Hersteller bringt 1 Monat später den Nachfolger auf den Markt – wie lange erhält mein Fernseher jetzt noch Updates? 5 oder 3 Jahre? Weiß ich das? Und kauft Ihr alle 5 Jahre einen neuen Fernseher?
Wenn es doch 5 Jahre sind, wäre die Frage eher doch ab wann sie zählen. Ab Modelljahr, dann ginge das bis 2027, ab Kaufjahr, dann 2029.
Ab Kaufjahr wird aber definitiv nicht gemeint sein. Der Hersteller kann ja kaum beeinflussen wann das letzte Restpostengeschäft den TV noch Jahre später vertickt.
Wenn man wiederum sagt, solange der Hersteller das Produkt selbst vertreibt, sprich an Händler neue Ware ausliefert, könnte man das schon eingrenzen. Wird halt für den Käufer super unübersichtlich.
Ab Kaufdatum ist total unlogisch. Gemeint ist ab Modelljahr. Wie bei iPhones und Macs eben auch
5 Jahre ist jedenfalls für reine Sicherheitsupdates zu wenig. Gerade wenn es um Kameras oder so geht. Warum brauch man da ne neue, erst wenn sie kaputt ist. Das ist nicht nachhaltig gedacht.
Naja, die 5 Jahre sind ja dann die gesetzlichen Mindestanforderungen. Ein guter und seriöser Anbieter kann ja längere Update-Zeiträume versprechen.
Was ich mich frage: ist das Schlupfloch dann nicht das Schließen der no-Name-Firma a und das Anbieten des Nachfolgeprodukts unter Firma b. Dagegen kann der Gesetzgeber dann wenig ausrichten.
Finde ich sehr gut. Die Hersteller interessiert es oft ja nicht. Schade dass man dafür erst nen Gesetz benötigt.
Bei Smartphones hat sich der Update Zyklus ja schon etabliert.
Wird dem Nutzer aber im Endeffekt nichts bringen, da es hier ja nur um Sicherheitsupdates.
Wenn ich das Beispiel Saugroboter nehme, hat z. B. unser ECOVACS X1 (der mittlerweile nur noch den Keller saugt und wischt, da er für mehr nicht taugt) die gleichen – gravierenden – Fehler / Bugs, wie damals zum Kauf. Einer davon, was den Roboter absolut unzuverlässig macht ist, dass er einmal pro Woche während der Reinigung einfach stehen bleibt, sich im Kreis dreht oder rückwärts fährt bis man diesen einmal Aus- und Eingeschaltet hat. Die Reinigung beginnt dann wieder von vorne. Oder, dass die Absaugstation das Wasser aus der Waschschale nicht heraus pumpt (sondern erst nachdem man es händisch an der Station angeklickt hat).
Kurz darauf kam es den X2, nun der X5 (innerhalb 1 1/2 Jahre). Sobald ein Nachfolger erscheint, schert sich keiner der Chinesen Hersteller mehr um das Vorgänger Modell. Ein Firmware-Update, was die Fehler behebt gab es nie (und wird es auch nie geben).
Ein Sicherheitsupdate (für was auch immer) bringt dem Nutzer demnach recht wenig.
Prinzipiell finde ich die Richtung des CRA gut, die 5 Jahre wären bei vielen Produkten deutlich mehr als bisher. Auf der anderen Seite wird es aber auch bedeuten, dass die allermeisten Hersteller genau die 5 Jahre einhalten und dann wars das. Nach 5 Jahren ist der smarte Kühlschrank dann trotzdem ein Sicherheitsrisiko… man schiebt die Problematik also lediglich auf.
Traumhaft wäre eine einheitliche Plattform/Betriebssystem für smarte Home-Geräte (mit Internetverbindung) die ab 2027 auf allen neuen Geräten verpflichtend ist und einheitlich mit Sicherheitsupdates versorgt wird. Auf diese Plattform/Betriebssystem können die Hersteller dann trotzdem Ihre UI draufklatschen und um Funktionen erweitern.
Bei Saugrobotern bitte ohne chinesische Cloud, sondern lokal funktionsfähig machen. Brauche keine Cloud-KI.
5 Jahre lol
Ein guter Schritt in die richtige Richtung, aber für meine Nutzungsdauer zu wenig, Panasonic Fernseher hält nun schon zehn Jahre und hat da nur am Anfang zwei Updates bekommen, mein Verstärker BluRay Player ist auch mehr als 5 Jahre alt und hält hoffentlich auch noch länger.
positives Beispiel ist HUE, da kommen regelmäßig Updates
So mancher billig China Schrott der über Ali/Temu ect verkauft wird, wird bestimmt keine Updates erhalten. Hauptsache billig wird die meisten mehr interessieren.
Auch die müssen sonst dürfen sie in europa nicht mehr verkaufen! Das gesetz gilt für ALLE!
Gilt das Gesetz auch für die, welche über Aliexpress bestellen? Frage für einen Freund
Das ist zwar an sich eine gute Idee und wichtig. Aber den meisten hier scheint nicht bewusst zu sein, um wieviel teurer dann die Produkte werden. Es wird die Hersteller zwingen, Standardsteuerungen und Software zu verwenden. Auch das könnte ein durchaus nützlicher Nebeneffekt sein.
Schade – es kann nicht mehr in den Wohnungen, über die Kamera des Staubsaugers, geschaut werden was dort so abgeht.