Cyber-Sicherheit: Endlich mehr Sicherheit für Smart Watches und Co.

Smart Watch, Saugroboter, digitales Türschloss – vernetzte Geräte gehören zum Alltag vieler Menschen. Doch damit ziehen auch neue Sicherheitsprobleme in den Verbraucheralltag ein. Wenn es um Cyber-Sicherheit geht, mussten sich Verbraucher:innen bisher auf den guten Willen der Hersteller verlassen. Ändern will das die EU mit dem Cyber Resilience Act (CRA): Mit ihm schafft die EU erstmals einen Rechtsrahmen, der EU-weit alle Hersteller dazu verpflichtet, für die Cyber-Sicherheit ihrer vernetzten Produkte zu sorgen. Der Verbraucherzentale Bundesverband (vzbv) begrüßt das neue Gesetzesvorhaben und kritisiert, dass die Sicherheitsupdates nicht für die gesamte Lebensdauer von Produkten zur Verfügung gestellt werden müssen.

Ramona Pop, Vorständin des vzbv kommentiert den Abschluss der Trilog-Verhandlung von Europäischer Kommission, Europäischem Parlament und Rat der Europäischen Union:

Verbraucher:innen erwarten zu Recht, dass ihre Smart Watch oder das Fitnessarmband sicher sind und sicher bleiben, solange sie getragen werden. Es ist daher überfällig, dass die Cyber-Sicherheit von vernetzten Alltagsprodukten EU-weit geregelt wird.

Es ist gut, dass Hersteller künftig sicherheitskritische Anforderungen erfüllen und Updates anbieten müssen. Unverständlich ist aber, dass die Politik dem Drängen der Hersteller nachgegeben hat und sicherheitsrelevante Updates nicht während der gesamten Nutzungsdauer des Produkts bereitgestellt werden müssen. Das ist weder verbraucherfreundlich noch nachhaltig.

Ein weiterer Wehrmutstropfen ist, dass die neuen Regelungen erst nach 36 Monaten gelten. Verbraucher:innen bleiben damit bis Ende 2026 ungeschützt. Das sind drei verschenkte Jahre.

Am 30. November 2023 einigten sich die Europäische Kommission, das Europäische Parlament und der Rat der Europäischen Union im Trilog über den CRA, der im Januar 2024 verabschiedet werden soll. Die Anwendung des CRA erfolgt allerdings erst 36 Monate nach Verabschiedung – also frühestens Ende 2026.

Der vzbv begrüßt, dass Verbraucherprodukte wie Smart Watches, Smart Home Server, Smart Toys und smarte Sicherheitsprodukte endlich als sicherheitskritische Produkte anerkannt werden. Damit werden an diese Produkte vor Markteintritt besondere Anforderungen gestellt.

Zudem werden Hersteller verpflichtet, Sicherheitsupdates für vernetzte Produkte bereitzustellen. Der vzbv kritisiert jedoch, dass die vorgesehene support period (Bereitstellungsdauer von Updates) nicht zwangsläufig gleichbedeutend mit der Produktlebenszeit ist.

Positiv bewertet der vzbv auch, dass künftig im Bereich Cyber-Sicherheit Verbandsklagen geführt werden können. Befugte Verbände wie der vzbv können Verbraucher:innen somit künftig auch bei Verstößen gegen die Cyber-Sicherheit vertreten.