Durch die folgenden Buttons können Sie direkt auf einen speziellen Bereich des Inhaltes springen
Datum: 04.09.2023

Cybersicherheit für alle

Interview mit Katharina Korczok, Referentin im Team Digitales und Medien des vzbv zum Cyber Resilience Act

Ob vernetzte Glühbirne, digitales Türschloss oder Smart Watch – in einer vernetzten Welt werden Identitäts- und Datendiebstahl sowie digitale Erpressungsversuche zu Verbraucherproblemen. Mit dem Cyber Resilience Act der EU werden erstmals verpflichtende Mindestanforderungen an die Cybersicherheit von smarten Geräten und digitalen Diensten festgelegt. Das schützt auch Verbraucher:innnen. Welche Lücken es dabei noch zu schließen gilt, erklärt Katharina Korczok, Referentin im Team Digitales und Medien im Interview.

Katharina Korczok Portrait

Quelle: Gert Baumbach - vzbv

Frau Korczok, Berichte zu Datenlecks und Cyberangriffen gibt es beinahe täglich. Wie können sich Verbraucher:innen davor ausreichend schützen?

Der vzbv beobachtet mit Sorge die steigenden Zahlen von Cybersicherheitsvorfällen und Angriffen. Vernetzte Geräte und digitale Anwendungen werden immer beliebter. Jeder trägt ein Handy bei sich, nutzt unterschiedlichste Apps und viele haben schon ein paar Smart-Home-Geräte wie einen Saugroboter oder vernetzte Glühbirnen im Einsatz. Damit steigt natürlich die Angriffsfläche zum Beispiel für Datenmissbrauch oder auch Identitätsdiebstahl. Sind Daten erstmal im Netz, lassen sie sich kaum zurückgewinnen.

Leider ist die Stellschraube, um sich cybersicher aufzustellen, für Verbraucher:innen selbst sehr klein. Sichere Passwörter und Firewalls helfen, aber letztlich liegt der Ball bei den Herstellern. Nur sie können ihre Geräte wirklich cybersicher gestalten und kennen Risiken und Schwachstellen ihrer Angebote.

Wie kann der Cyber Resilience Act (CRA) für mehr Cybersicherheit sorgen?

Obwohl sich das Internet der Dinge (engl. IoT, vernetzte Welt aus smarten Geräten) immer weiter verbreitet, gibt es bislang keine gesetzlichen Vorgaben für die IT-Sicherheit. Damit bleiben IoT-Produkte oder auch digitale Anwendungen wie Apps eine Sicherheitslücke für Verbraucher:innen. Das will die Europäische Kommission mit der Verordnung ändern. Der CRA soll erstmals verpflichtende Mindestanforderungen an die Cybersicherheit von allen vernetzten Geräten und digitalen Anwendungen festlegen. Dazu gehören die Prinzipien „security by desig“n und „security by default“. Produkte müssen also IT-sicher gestaltet sein und mit sicheren Basiseinstellungen verkauft werden.

Klar ist aber auch, dass sich Bedrohungen immer weiterentwickeln. Kein Produkt kann für alle Zeit sicher sein. Daher sollen die Pflichten für den gesamten Lebenszyklus der Produkte gelten – von der Idee über Design und Produktion, bis zur Nutzung und Entsorgung. 

Was sind im aktuellen Entwurf die wichtigsten Baustellen aus Verbrauchersicht?

Es sind noch verschiedene Fragen offen. Der Lebenszyklus-Ansatz der Verordnung sorgt für viel Diskussion, weil er im Grunde eine Update-Pflicht für die Hersteller vorsieht. Dabei stellt sich die Frage nach der durchschnittlichen Lebensdauer eines Produktes. Wie lange müssen Updates geliefert werden? Zwischen einer smarten Waschmaschine und einer vernetzten Glühbirne gibt es da große Unterschiede.

Dann gibt es Diskussionen darüber, wie überprüft werden kann, ob Vorgaben eingehalten werden. Laut aktuellem Entwurf sollen im Regelfall Hersteller selbst erklären, dass sie den Anforderungen entsprechen. Lediglich bei kritischen Produkten wie Routern sollen dafür unabhängige Stellen zur Zertifizierung herangezogen werden. Dabei ist noch strittig, welche Produkte als kritisch eingestuft werden und welche Kriterien dafür herangezogen werden sollen.

Was fordert der vzbv?

Der vzbv fordert eine ausreichend lange Updatepflicht, die auf die tatsächliche Lebensdauer eines Produktes ausgelegt ist und sich auch mit Nutzerwartungen deckt. Geräte werden immer öfter wiederaufbereitet und weiterverkauft. Das bekämpft Elektroschrott und ist auch günstiger, muss aber auch IT-sicher möglich sein.

Zweitens setzt sich der vzbv dafür ein, dass Verbraucherprodukte aus sensiblen Bereichen unabhängig zertifiziert werden müssen. Dazu gehören auch Smart Home Produkte, denn sie sammeln im privaten Umfeld sensible Daten. Gleiches gilt für Wearables wie Smart Watches oder Fitnessarmbänder sowie alle Anwendungen, die Gesundheitsdaten verarbeiten. Auch Geräte, die zu Sicherheitszwecken eingesetzt werden, stuft der vzbv als kritisch ein – beispielsweise Sicherheitskameras, Schlösser, Alarmmelder. Und nicht zuletzt alle Produkte, die für Kinder bestimmt sind – das heißt Smart Toys oder etwa Babyphones.

Zudem ist aus Sicht des vzbv entscheidend, dass Verbraucher:innen ihre Rechte auf cybersichere Produkte auch durchsetzen können. Das fängt damit an, dass sie Probleme an Hersteller und Behörden melden können und bei Vorfällen informiert werden. Dazu braucht es Kontaktstellen und Informationen zur Cybersicherheit von Produkten. Ausschlaggebend ist auch, dass Verbände wie der vzbv kollektivrechtlich gegen Verstöße vorgehen können.

Wie geht der Gesetzesprozess weiter und wann werden die Regelungen umgesetzt?

Die Europäische Kommission hat ihren Verordnungsentwurf im September 2022 vorgelegt. Sowohl der Rat als auch das Europäische Parlament haben sich dazu in den vergangenen Monaten beraten und Ende Juli 2023 ihre Positionen veröffentlicht. Damit startet der Trilog zwischen den drei Institutionen. Voraussichtlich Ende des Jahres 2023 soll die Verordnung verabschiedet werden. Als Verordnung tritt der CRA sofort in Kraft. Die Anforderungen werden allerdings frühestens 2026 gelten.

Weitere Informationen

Infografik zu IT-Sicherheit: Risiken im Umgang mit vernetzten Geräten - Angriffsziele

Quelle: vzbv

Infografik zu IT-Sicherheit: Risiken im Umgang mit vernetzten Geräten - Verbraucher:innen

Quelle: vzbv

Alles zum Thema: IT-Sicherheit

Artikel (21)
Dokumente (8)
Mehr Verbraucherschutz auf Online-Marktplätzen

Mehr Verbraucherschutz auf Online-Marktplätzen

Kurzpapier des vzbv | Juni 2024

Ansehen
PDF | 184.12 KB
Recommendation for a consumer friendly Cyber Resiliance Act (CRA)

Recommendation for a consumer friendly Cyber Resiliance Act (CRA)

Recommendations of the Federation of German Consumer Organisations (Verbraucherzentrale Bundesverband – vzbv) on the Cyber Resilience Act trilogue negotiations | August 2023

Ansehen
PDF | 218.96 KB
Vernetzte Geräte von Verbraucher:innen cybersicher machen

Vernetzte Geräte von Verbraucher:innen cybersicher machen

Zusammenfassung der Stellungnahme des vzbv | Dezember 2022

Ansehen
PDF | 200.31 KB
Safeguarding the Cybersecurity of Connected Products | Statement by the Federation of German Consumer Organisations | December 2022

Safeguarding the Cybersecurity of Connected Products | Statement by the Federation of German Consumer Organisations | December 2022

Statement by the Federation of German Consumer Organisations (Verbraucherzentrale Bundesverband - vzbv) on the European Commission's proposal for a regulation on cyber resilience (Cyber Resilience Act) | December 2022

Ansehen
PDF | 388.77 KB
IT-Sicherheit für vernetzte Geräte und digitale Dienste | Stellungnahme des vzbv | Mai 2022

IT-Sicherheit für vernetzte Geräte und digitale Dienste | Stellungnahme des vzbv | Mai 2022

Vorschläge des Verbraucherzentrale Bundesverbandes zur Konsultation zu einem europäischen Gesetz über Cyberresilienz | Mai 2022

Ansehen
PDF | 505.56 KB
Umfragen (1)
Videos & Grafiken (10)
IT-Sicherheit: 3 Fragen 3 Antworten

IT-Sicherheit: 3 Fragen 3 Antworten

Video ansehen
Infografik zu IT-Sicherheit: Risiken im Umgang mit vernetzten Geräten - Angriffsziele

Quelle: vzbv

IT-Sicherheit: Risiken im Umgang mit vernetzten Geräten - Angriffsziele

Risiken im Umgang mit vernetzten Geräten - Angriffsziele

Vorschau
PNG | 738.25 KB | 4724x2657
Infografik zu IT-Sicherheit: Risiken im Umgang mit vernetzten Geräten - Verbraucher:innen

Quelle: vzbv

IT-Sicherheit: Risiken im Umgang mit vernetzten Geräten - Verbraucher:innen

Risiken im Umgang mit vernetzten Geräten - Verbraucher:innen

Vorschau
PNG | 614.77 KB | 4724x2657
Umfrage von Kantar im Auftrag des vzbv | Mai-2022

Quelle: vzbv

Cybersicherheit: Hohes Risikobewusstsein bei Verbraucher:innen

Umfrage von Kantar im Auftrag des vzbv | Mai-2022

Vorschau
JPG | 912.85 KB | 4724x2657
Repräsentative telefonische Umfrage von Kantar (CATI Bus) im Auftrag des vzbv | Mai 2022

Quelle: vzbv

Cyber-Sicherheit: Deutliche Mehrheit für gesetzliche Regulierung und Kontrolle

Repräsentative telefonische Umfrage von Kantar (CATI Bus) im Auftrag des vzbv | Mai 2022

Vorschau
JPG | 897.06 KB | 4724x2657

Kontakt

Kontakt

Icon für Kontakt für Verbraucher

Service für Verbraucher:innen

Was suchen Sie? Wählen Sie eine passende Option:

Kontakt

Zu sehen ist auf hellem Grund der rot gezeichnete Rahmen eines Telefonhörers.

Pressestelle

Service für Journalist:innen

presse@vzbv.de +49 30 25800-525

Kontakt

Zu sehen ist auf hellem Grund der rot gezeichnete Rahmen einer Person.

Marielle Findorff

Referentin Team Digitales und Medien

info@vzbv.de +49 30 258 00-0