Cybersicherheit!

Der Cyber Resilience Act (CRA) der EU ist seit letztem Herbst in Kraft. Was bedeutet der CRA für die Schweiz und ihre KMU? Zum Beispiel das Verschwinden von Standardpasswörtern wie 1234. Eine Einführung in ein juristisches Thema mit praktischen Auswirkungen.

Autor: Bruno Habegger

Um die Cybersicherheit ist es nicht gut bestellt. Gebäude und Geräte stehen offen wie Scheunentore. Diesen Eindruck gewinnt man leicht, treibt man sich auf den einschlägigen Seiten im Internet herum und klickt sich durch die Studien. Ende 2023 warnte etwa das Fraunhofer-Institut ISI vor IoT-Geräten wie Smartwatches, Sensoren, intelligenten Lautsprechern und anderen Helferlein, die die Funktionalität von Wohnungen und Gebäuden erweitern. Hacker-Trolle machen sich seit Jahren einen Spass daraus, über Videokameras im Haus oder Babyphones Menschen zu erschrecken.

Auch in der Industrie werden solche Kleinstgeräte eingesetzt, etwa zur Überwachung von Prozessen. Das Problem: Die Devices verarbeiten sensible Daten, sind aber unzureichend oder gar nicht geschützt – veraltete Firmwares, seltene oder gar keine Updates. Eine Studie der zwei Sicherheitsunternehmen Forescout und Finite States von Ende 2024 untersuchte fünf Firmware-Images von OT/IoT-Router-Anbietern. Fazit: 161 bekannte Schwachstellen pro Image, davon 24 kritisch. Die Open-Source-Komponenten der Software waren im Schnitt fünf Jahre alt. Anders gesagt: Die Lieferketten sind unsicher. Wie gross das Problem ist, zeigen auch die Standardpasswörter wie «1234» oder «admin». In Grossbritannien sind diese seit letztem Frühling verboten, ab 2027 auch in der EU. Dafür sorgt der im Herbst 2024 in Kraft getretene Cyber Resilience Act (CRA) mit einer Übergangsfrist von 36 Monaten.

Die EU will es Hackern schwerer machen

Der CRA ist ein neuer Rechtsrahmen, der für alle Länder der EU gilt und die Cybersicherheit von allen Geräten mit digitalen Elementen anheben soll. Ende 2027 müssen neu eingeführte Geräte mit der Fähigkeit zu Netzwerk-Verbindungen besser geschützt sein. Deren Liste ist lang und reicht von der Smartwatch bis zu komplexen Internet-of-Things-Architekturen, von Videogames bis zu Firmware und Prozessoren, von Smart Metern bis zu smarten Heizkörper-Thermostaten. Letztere sind laut dem deutschen Bundesamt für Informationssicherheit (BSI) ebenfalls unsicher.

Neu schreibt der CRA vor, dass Hersteller, Importeure und Händler über den gesamten Lebenszyklus eines Produkts umfassende Cybersicherheit gewährleisten müssen, dies mit «Security by Design», Informations-, Transparenz- und Aufklärungspflichten sowie einer Meldepflicht von IT-Schwachstellen und Cyberangriffen innert 24 Stunden. Sichere Produkte werden in der EU ab 2027 mit dem bereits bekannten CE-Kennzeichen ausgewiesen, nur sie dürfen noch verkauft werden.

Für kommerziell ausgerichtete Open-Source-Anbieter, deren Produkte in vielen Devices verwendet werden, ist der CRA eine besondere Herausforderung. Sie müssen die Sicherheit aller Softwarekomponenten überprüfen und enger mit den Entwicklern aus aller Welt zusammenarbeiten.

Eine komplexe Aufgabe. Den Kopf in den Sand zu stecken, bringt betroffenen Unternehmen nichts. Die vorgesehenen Strafen sind je nach Schwere des Verstosses und Land empfindlich. Es drohen etwa der Verlust der Marktzulassung, Produktrückrufe oder gar Strafverfahren.

Diskussionen in der Schweiz

Die Schweiz wird wohl kaum um den Nachvollzug des CRA herumkommen, der quer durch den Markt wirkt. Eine Anfrage beim Bundesamt für Cybersicherheit BACS zeigt, dass derzeit Gespräche zwischen den Verwaltungseinheiten laufen, der Bundesrat jedoch noch keinen Grundsatzentscheid getroffen hat. Der CRA sei aber zu begrüssen, die Hersteller würden beuzüglich Cybersicherheit ihrer immer noch mit vielen Schwachstellen behafteten Produkte in die Verantwortung genommen.

Für herstellende Schweizer Unternehmen, die in die EU exportieren, würden die neuen Anforderungen zu einer verstärkten Dokumentationspflicht führen. Die Einteilung eines Produkts in eine bestimmte Kategorie oder Klasse sei entscheidend dafür, welche Nachweise konkret erbracht werden müssen.

Klaus Wächter, globaler Standardisierungsmanager bei Siemens Smart Infrastructure / Building Products und neu Vizepräsident der internationalen KNX Association, räumt mit Blick auf die Standardpasswörter ein, dass die Hersteller versagt hätten, «jetzt kommt halt die Regulierung». KNX sei mit KNX Secure auf gutem Weg, bis 2027 die Vorgaben des CRA zu erfüllen, «doch gerade kleine Firmen werden damit Mühe haben».

In der Umsetzung gelte es aber noch zahlreiche Schwierigkeiten zu bewältigen, etwa die Sicherheit von ganzen Anlagen, die mit einem neuen CRA-konformen Gerät ja nicht automatisch sicherer würden. «Was ist mit all den alten unsicheren Geräten?» Auch die Vorgabe, mindestens fünf Jahre lang Sicherheitsupdates zu liefern, sei für viele Hersteller alles andere als trivial. Ein weiterer Punkt: «Es geht nicht nur um das Device, sondern auch um das Netzwerk.» Was er meint: Auch die Anforderungen von IT-Abteilungen und Netzwerkadministratoren an die eingesetzten Geräte steigen. Die Inbetriebnahme wird bei manchen Gerätekategorien schwieriger.

Cybersicherheit als Aufgabe für die Zukunft

Mit Quantencomputing steht in den nächsten Jahren ein Technologiesprung bevor, der nach Meinung von Experten die gängigen Sicherheitsmassnahmen wie ein billiges Fahrradschloss aussehen lassen. Der sogenannte Q-Day könnte bereits 2030 stattfinden. Darum braucht es «quantensichere» Netze. In den USA gibt es dazu bereits Richtlinien. Kurz gesagt sind solche Netze bereits mit heutigen Methoden möglich, Zeit, Investitionen und ein Sicherheitskonzept vorausgesetzt. In der Zwischenzeit verabschieden wir uns mal von bequemen 1234-Passwörtern.