Der bevorstehende EU Cyber Resilience Act (CRA, EU-Gesetz über Cyberresilienz) stellt einen wichtigen Schritt in der europäischen Cybersicherheitspolitik dar. Er zielt darauf ab, die digitale Abwehr in der Europäischen Union durch einen proaktiven Cybersicherheits-Ansatz zu verbessern. Im Gegensatz zur DSGVO stellt der EU CRA die tatsächliche Widerstandsfähigkeit über die Einhaltung von Vorschriften und konzentriert sich auf eine wirksame Risikominderung.
Fallstrick Compliance-Checkbox: was die DSGVO wirklich brachte
Die Sicherheit von Checkboxen gleicht dem Anlegen eines Verbandes auf eine klaffende Wunde, sie ist kein ausreichender Ansatz. Wir haben die Unzulänglichkeiten früherer Verordnungen wie der DSGVO erlebt, bei denen die Einhaltung der Vorschriften oft echte Sicherheitsmaßnahmen überschattete.
Die DSGVO wurde erlassen, um den Datenschutz für Nutzer zu verbessern. Die Idee war, Cookies zu minimieren, die alle Nutzerbewegungen verfolgen. In der Praxis hat sie dieses Ziel jedoch verfehlt. Anstatt eine Website zu besuchen und heimlich verfolgt zu werden, haben die Nutzer jetzt das Privileg, Cookies zu akzeptieren und wissentlich verfolgt zu werden.
Der Punkt ist, dass die Verordnung das Tracking nicht eingedämmt hat, sondern stattdessen das Surferlebnis für viele beeinträchtigt und die Unternehmen Millionen kostete. Anstatt das Tracking abzuschaffen, haben die Unternehmen Geld investiert, um die Nutzer darauf hinzuweisen, dass es stattfindet.
Das Risiko besteht darin, dass Unternehmen die Verordnung teilweise erfüllen, indem sie angemessene Sicherheitsmaßnahmen in Bezug auf Design, Entwicklung, Bereitstellung und Support-Mechanismen ergreifen, aber nicht wirklich versuchen, das Hacking-Problem zu lösen, und so unter dem Radar fliegen können.
Prioritäten richtig setzen: Die Cybersicherheit in einer IoT-Umgebung gehört an die erste Stelle
Bei jedem Produkt, das „intelligenter (smarter)“ wird, müssen die daraus resultierenden Schwachstellen berücksichtigt werden. Wenn Verbraucher Gegenstände in ihr Haus bringen, die eine Verbindung zu ihrem Smartphone oder ihrem WLAN erfordern, können sie letztlich auch Kriminellen Zugang zu ihrem Haus verschaffen.
Sind der Geschirrspüler, die Lautsprecher oder intelligente Türschlösser über das Internet oder mehrere APIs (Application Programming Interfaces) mit dem Smartphone verbunden, dann ist diese Verbindung ein gefundenes Fressen für Hacker, ebenso wie alle Datenpakete, die über diesen Kanal übertragen werden - persönliche Daten, Geolokalisierungsdaten, Netzwerkzugriff, Gerätesteuerung und vieles mehr.
Innovation ist großartig, aber nicht ohne Standards. Sicherheit und Schutz müssen die Innovation untermauern, wenn sie effektiv sein soll - und das deutlich mehr als es der Norm entspricht.
Lieferkettenbedrohung durch Hackerangriffe
Im Jahr 2023 wurden die Nachrichten von einer Reihe heftiger Cyberangriffe überschwemmt, die einen deutlichen Trend ankündigen: Hackerangriffe in der Lieferkette. Hier nutzen Cyberkriminelle Schwachstellen in Systemen von Drittanbietern aus, um an wertvolle Daten und Kundenwerte zu gelangen.
Der vernetzte Charakter von IoT-Implementierungen, an denen oft mehrere Unternehmen und komplexe Liefernetzwerke beteiligt sind, erfordert APIs für die Kommunikation zwischen Geräten, Anwendungen und Systemen. APIs sind eine äußerst unzureichend geschützte Angriffsfläche, was sie zu einem bevorzugten Ziel für Angreifer und zu einem erheblichen Risiko beim IoT-Einsatz macht.
Böswillige Akteure können Zero-Day-Schwachstellen, Schwachstellen in Authentifizierungsmechanismen und Gateway-Schutzmaßnahmen ausnutzen, um auf die wertvollen Informationen zuzugreifen, die APIs enthalten. Dazu gehören auch personenbezogene Daten.
APIs schützen und Sicherheitsmängel beseitigen
Der CRA will unter anderem IoT-Hersteller dazu bringen, sich ernsthafter mit der Cybersicherheit auseinanderzusetzen und wirkungsvolle Schritte zum Schutz der Verbraucherdaten herbeizuführen. Das bedeutet, dass sie mehr als nur das Nötigste tun müssen, um die Anforderungen zu erfüllen.
Die Hersteller müssen der Integration robuster Authentifizierungsmechanismen wie kryptografischer Schlüssel, Zertifikate oder biometrischer Authentifizierung Vorrang einräumen, um den unbefugten Zugriff auf Geräte und Funktionen zu verhindern. Authentifizierungsprotokolle wie rollenbasierte Zugriffskontrollen sollten bereits in der Entwicklungsphase von IoT-Geräten festgelegt werden.
Darüber hinaus liegt es in der Verantwortung der Hersteller, die Betriebssoftware auf dem neuesten Stand zu halten, um Schwachstellen zu beheben und Zero-Day-Exploits zu verhindern.
Sich nur auf den Schutz der Außengrenzen zu verlassen, ist aufgrund der zunehmenden Raffinesse der Bedrohungsakteure unzureichend. Da die Hersteller Zugriff auf die Benutzeraktivitäten haben, können sie diese aktiv protokollieren und überwachen, um bösartige Aktivitäten zu erkennen, bevor sie vom Netzwerk auf die Produktionsumgebung übertragen werden können.
Durch die Überwachung von API-Aufrufen können Hersteller beispielsweise Einblicke in die Datenbewegungen innerhalb ihrer Netzwerke gewinnen und so physische Schäden durch kompromittierte IoT-Geräte verhindern.
Kostenfalle Sicherheit
Sicherheit wird oft als kostspieliges Hindernis für die Fertigung angesehen, die Prozesse verlangsamt und Lieferzeiten beeinträchtigt. Das muss jedoch nicht so sein. Die Verbesserung von Prozessen durch Daten-Dashboards, die es Unternehmen ermöglichen, ihre Sicherheit zu überprüfen und nachzuweisen, aber auch einen geschäftlichen Nutzen zu erzielen, wird unterschätzt und ist, offen gesagt, eine Investition, die sich für Unternehmen lohnt.
24 Milliarden vernetzte Geräte in 2050
Da die Zahl der vernetzten Geräte bis 2050 weltweit voraussichtlich 24 Milliarden erreicht, vergrößert die Verbreitung des IoT die Angriffsflächen für Hacker rapide. Regulierungsrahmen wie der CRA, die darauf abzielen, branchenweite Standards für die IoT-Herstellung festzulegen, spielen eine entscheidende Rolle bei der Förderung des Bewusstseins für Cybersicherheit auf Unternehmensebene.