Ob vernetzte Glühbirne, digitales Türschloss oder Smart Watch – in einer vernetzten Welt werden Identitäts- und Datendiebstahl sowie digitale Erpressungsversuche zu Verbraucherproblemen. Mit dem Cyber Resilience Act der EU werden erstmals verpflichtende Mindestanforderungen an die Cybersicherheit von smarten Geräten und digitalen Diensten festgelegt. Das schützt auch Verbraucher:innnen. Welche Lücken es dabei noch zu schließen gilt, erklärt Katharina Korczok, Referentin im Team Digitales und Medien im Interview.
Frau Korczok, Berichte zu Datenlecks und Cyberangriffen gibt es beinahe täglich. Wie können sich Verbraucher:innen davor ausreichend schützen?
Der vzbv beobachtet mit Sorge die steigenden Zahlen von Cybersicherheitsvorfällen und Angriffen. Vernetzte Geräte und digitale Anwendungen werden immer beliebter. Jeder trägt ein Handy bei sich, nutzt unterschiedlichste Apps und viele haben schon ein paar Smart-Home-Geräte wie einen Saugroboter oder vernetzte Glühbirnen im Einsatz. Damit steigt natürlich die Angriffsfläche zum Beispiel für Datenmissbrauch oder auch Identitätsdiebstahl. Sind Daten erstmal im Netz, lassen sie sich kaum zurückgewinnen.
Leider ist die Stellschraube, um sich cybersicher aufzustellen, für Verbraucher:innen selbst sehr klein. Sichere Passwörter und Firewalls helfen, aber letztlich liegt der Ball bei den Herstellern. Nur sie können ihre Geräte wirklich cybersicher gestalten und kennen Risiken und Schwachstellen ihrer Angebote.
Wie kann der Cyber Resilience Act (CRA) für mehr Cybersicherheit sorgen?
Obwohl sich das Internet der Dinge (engl. IoT, vernetzte Welt aus smarten Geräten) immer weiter verbreitet, gibt es bislang keine gesetzlichen Vorgaben für die IT-Sicherheit. Damit bleiben IoT-Produkte oder auch digitale Anwendungen wie Apps eine Sicherheitslücke für Verbraucher:innen. Das will die Europäische Kommission mit der Verordnung ändern. Der CRA soll erstmals verpflichtende Mindestanforderungen an die Cybersicherheit von allen vernetzten Geräten und digitalen Anwendungen festlegen. Dazu gehören die Prinzipien „security by desig“n und „security by default“. Produkte müssen also IT-sicher gestaltet sein und mit sicheren Basiseinstellungen verkauft werden.
Klar ist aber auch, dass sich Bedrohungen immer weiterentwickeln. Kein Produkt kann für alle Zeit sicher sein. Daher sollen die Pflichten für den gesamten Lebenszyklus der Produkte gelten – von der Idee über Design und Produktion, bis zur Nutzung und Entsorgung.
Was sind im aktuellen Entwurf die wichtigsten Baustellen aus Verbrauchersicht?
Es sind noch verschiedene Fragen offen. Der Lebenszyklus-Ansatz der Verordnung sorgt für viel Diskussion, weil er im Grunde eine Update-Pflicht für die Hersteller vorsieht. Dabei stellt sich die Frage nach der durchschnittlichen Lebensdauer eines Produktes. Wie lange müssen Updates geliefert werden? Zwischen einer smarten Waschmaschine und einer vernetzten Glühbirne gibt es da große Unterschiede.
Dann gibt es Diskussionen darüber, wie überprüft werden kann, ob Vorgaben eingehalten werden. Laut aktuellem Entwurf sollen im Regelfall Hersteller selbst erklären, dass sie den Anforderungen entsprechen. Lediglich bei kritischen Produkten wie Routern sollen dafür unabhängige Stellen zur Zertifizierung herangezogen werden. Dabei ist noch strittig, welche Produkte als kritisch eingestuft werden und welche Kriterien dafür herangezogen werden sollen.
Was fordert der vzbv?
Der vzbv fordert eine ausreichend lange Updatepflicht, die auf die tatsächliche Lebensdauer eines Produktes ausgelegt ist und sich auch mit Nutzerwartungen deckt. Geräte werden immer öfter wiederaufbereitet und weiterverkauft. Das bekämpft Elektroschrott und ist auch günstiger, muss aber auch IT-sicher möglich sein.
Zweitens setzt sich der vzbv dafür ein, dass Verbraucherprodukte aus sensiblen Bereichen unabhängig zertifiziert werden müssen. Dazu gehören auch Smart Home Produkte, denn sie sammeln im privaten Umfeld sensible Daten. Gleiches gilt für Wearables wie Smart Watches oder Fitnessarmbänder sowie alle Anwendungen, die Gesundheitsdaten verarbeiten. Auch Geräte, die zu Sicherheitszwecken eingesetzt werden, stuft der vzbv als kritisch ein – beispielsweise Sicherheitskameras, Schlösser, Alarmmelder. Und nicht zuletzt alle Produkte, die für Kinder bestimmt sind – das heißt Smart Toys oder etwa Babyphones.
Zudem ist aus Sicht des vzbv entscheidend, dass Verbraucher:innen ihre Rechte auf cybersichere Produkte auch durchsetzen können. Das fängt damit an, dass sie Probleme an Hersteller und Behörden melden können und bei Vorfällen informiert werden. Dazu braucht es Kontaktstellen und Informationen zur Cybersicherheit von Produkten. Ausschlaggebend ist auch, dass Verbände wie der vzbv kollektivrechtlich gegen Verstöße vorgehen können.
Wie geht der Gesetzesprozess weiter und wann werden die Regelungen umgesetzt?
Die Europäische Kommission hat ihren Verordnungsentwurf im September 2022 vorgelegt. Sowohl der Rat als auch das Europäische Parlament haben sich dazu in den vergangenen Monaten beraten und Ende Juli 2023 ihre Positionen veröffentlicht. Damit startet der Trilog zwischen den drei Institutionen. Voraussichtlich Ende des Jahres 2023 soll die Verordnung verabschiedet werden. Als Verordnung tritt der CRA sofort in Kraft. Die Anforderungen werden allerdings frühestens 2026 gelten.