Analyse
EU forciert Cyberresilienz
Alarmiert von jährlichen Milliardenschäden durch Cyberangriffe hat die EU zwei Gesetzesinitiativen ergriffen: den „Cyber Resilience Act“ (CRA) für die Herstellung digitaler Produkte und den „Digital Operational Resilience Act“ (DORA) für die Finanzbranche.
Im September 2022 legte die Europäische Kommission einen Entwurf für den Cyber Resilience Act (CRA) vor. Die Verordnung soll EU-weit sicherstellen, dass Schwachstellen bei der Cybersicherheit digitaler Produkte auf das unvermeidbare Minimum reduziert werden. Der CRA verpflichtet Hersteller und Händler solcher Produkte zur Einhaltung von umfangreichen Sicherheitsanforderungen in allen Lebenshphasen eines Produktes von Planung bis Wartung und in jeder Phase der Wertschöpfungskette.
Gelten soll die Verordnung für alle Hard- und Software, die mit dem Internet verbunden sind, nicht aber für Software as a Service. Dienstleister wie Cloud-Anbieter oder die Erbringer von Gesundheitsdienstleistungen fallen stattdessen unter die NIS-2-Richtlinie, auf die sich der Rat auch schon geeinigt hat und die ähnliche Anforderungen formuliert wie der Cyber Resilience Act.
Der Cyber Resilience Act (CRA)
Derzeit wird der CRA von EU-Parlament und Rat beraten. Am 19. Juli 2023 haben die Mitgliedstaaten eine gemeinsame Position zum CRA vereinbart. Das Europäische Parlament wird nun über den vorgeschlagenen Text abstimmen, und es wird erwartet, dass er noch im Jahr 2023 verabschiedet wird. Nach Inkrafttreten haben die Hersteller zwei Jahre Zeit, ihre Produkte entsprechend anzupassen.
Wie bei EU-Plänen üblich finden auch die vorgeschlagenen CRA-Bestimmungen ein gemischtes Echo. Kritiker aus der Wirtschaft haben Bedenken hinsichtlich der Kosten und des Aufwands und sorgen sich um die Auswirkungen auf den Wettbewerb, weil insbesondere kleinere Unternehmen möglicherweise Schwierigkeiten haben könnten, mit den neuen Anforderungen Schritt zu halten.
Doch es gibt durchaus auch Unternehmen, welche die Einführung von gemeinsamen Cybersicherheitsstandards begrüßen, weil dies dazu beitrage, das Vertrauen der Verbraucher in digitale Produkte zu stärken und die Sicherheit im Cyberspace insgesamt zu verbessern. Ein Beispiel dafür ist Veracode, ein Spezialist für sichere Softwareentwicklung, Minimierung von Schwachstellen und Produktivitätssteigerung von Sicherheits- und Entwicklerteams. Julian Totzek-Hallhuber, Manager Solution Architects EMEA/APAC/LATAM bei Veracode, schwärmt regelrecht von der Verordnung: „Der European Cyber Resilience Act (CRA) ist ein richtungsweisender Rechtsakt. Er wird eine Reihe aktueller Schwachstellen auf dem europäischen Technologiemarkt beheben und gleichzeitig künftige Risiken durch mehr Verantwortung und Transparenz seitens der Software- und Anwendungsanbieter stärker eindämmen“.
„Der European Cyber Resilience Act (CRA) ist ein richtungsweisender Rechtsakt.“
Totzek-Hallhuber zufolge haben nicht zuletzt Schwachstellen in der Software-Lieferkette, die auch im Jahr 2023 für Schlagzeilen gesorgt haben und die beträchtlichen Auswirkungen einer einzigen Schwachstelle auf potenziell Tausende von Unternehmen und einzelne Bürger deutlich gemacht haben, zum CRA geführt. „Diese Vorfälle haben die Notwendigkeit von Cybersicherheitsstandards aufgezeigt, die den gesamten Softwareentwicklungszyklus (SDLC) abdecken. Es ist ermutigend, dass diese Vorfälle Weckrufe für die Regulierungsbehörden waren und die Regierungen zum Handeln veranlasst haben, wie der Schwerpunkt des CRA auf die Lieferkette zeigt“, schreibt er.
Für Totzek-Hallhuber ist insbesondere die Einigung der Mitgliedstaaten auf einen gemeinsamen Standpunkt ein sehr großer Schritt in die richtige Richtung und ein wichtiger Moment für die Technologiebranche. Sie bringe nicht nur mehr Transparenz in einen Bereich, der oft undurchsichtig sei, sondern ermutige auch Softwareanbieter, Hersteller und Einzelhändler, die Cybersicherheit der von ihnen verkauften Produkte zu erhöhen. Für den Veracode-Manager ist die Festlegung verbindlicher Standards in der EU längst überfällig, um die Komplexität der sich überschneidenden Rechtsvorschriften in den einzelnen Mitgliedstaaten zu überwinden. Genau diesen gemeinsamen, internationalen Ansatz bei der Regulierung brauche es, damit der rasant zunehmenden Cybergefahr, die überall lauere, Einhalt geboten werden könne.
Digital Operational Resilience Act (DORA)
Ähnlich euphorisch wie Totzek-Hallhuber sich über den CRA äußert, preist Vectra AI, ein Security-Anbieter für die KI-basierte Erkennung und Verfolgung von Cyberangriffen, ein weiteres Vorhaben der EU: „Der Digital Operational Resilience Act, ein von der Europäischen Union (EU) eingeführter Rechtsrahmen, ist ein Leuchtturm des Fortschritts, der darauf abzielt, die Cybersicherheit und die operative Widerstandsfähigkeit des Finanzsektors zu stärken.“
DORA soll einen verbindlichen und umfassenden Rahmen für das Risikomanagement von Informations- und Kommunikationstechnologie (IKT) im Finanzsektor der EU schaffen und die Cyberresilienz des Finanzsektors zu stärken. Das Hauptziel ist, die finanzielle Widerstandsfähigkeit von Finanzunternehmen sicherzustellen und den Betrieb im Falle einer schwerwiegenden Betriebsunterbrechung zu gewährleisten, die die Sicherheit von Netzwerken und Informationssystemen gefährden könnte. Sein Anwendungsbereich erstreckt sich auf eine Vielzahl von Einrichtungen, darunter Kreditinstitute, Zahlungsinstitute, E-Money-Institute, zentrale Gegenparteien und Datendienstleister.
„Der Digital Operational Resilience Act (…) ist ein Leuchtturm des Fortschritts, der darauf abzielt, die Cybersicherheit und die operative Widerstandsfähigkeit des Finanzsektors zu stärken.“ Vectra AI
Um die Einhaltung von DORA zu gewährleisten, müssen die Finanzmarktteilnehmer eine Reihe von Verpflichtungen erfüllen:
- Regelmäßige Resilienztests sowie Ausarbeitung und Durchführung realistischer Stresstest-Szenarien
- Schaffung eines IKT-Risikomanagement-Rahmens mit Förderung von Governance-Strukturen, Strategien und Verfahren
- Meldung von Vorfällen an Aufsichtsbehörden und transparente Kommunikation
- Risikomanagement für den Einsatz von Drittanbietern
Deutschland hinkt in Europa hinterher
Dass global gesehen und im Europa-Vergleich die deutschen Unternehmen in punkto IT-Sicherheit noch viel zu tun haben, zeigt der Cisco Cybersecurity Readiness Index 2023. Dafür wurden 6700 Führungskräfte in 27 Ländern befragt, die in ihren Unternehmen für Cybersicherheit zuständig sind. Den höchsten Reifegrad, der bestmöglich vor modernen Sicherheitsrisiken schützt, erreichen demnach weltweit nur 15 Prozent der Unternehmen, in Deutschland sogar nur 11 Prozent. Damit liegen deutsche Unternehmen weltweit nur im Mittelfeld von 27 untersuchten Ländern. In Europa belegen deutsche Unternehmen einen guten zweiten Platz hinter Großbritannien.
„Die globale Studie zeigt, dass deutsche Unternehmen großen Aufholbedarf in Sachen IT-Sicherheit haben und in der Breite nicht ausreichend auf Profi-Niveau gegen Cyberangriffe geschützt sind.“
Den größten Nachholbedarf haben deutsche Unternehmen, in punkto Datensicherheit. Schneidet Deutschland bei der Endgerätesicherheit und beim Netzwerkschutz noch gut ab (Platz 10 und 11 weltweit), sieht es beim Schutz von Anwendungen (Platz 13) und Identitäten (Platz 15) schon schlechter aus. Am meisten hinkt Deutschland bei der Datensicherheit hinterher (Platz 20). Hauptgrund ist der niedrigere Einsatz von Backup & Recovery-Tools. Nur 55 Prozent der deutschen Unternehmen gaben an, diese Tools im Einsatz zu haben, während es weltweit im Schnitt 67 Prozent sind. Auch Host IPS & Protection Tools werden in Deutschland deutlich weniger eingesetzt (29 Prozent vs. 41 Prozent weltweit). Dies zeigt sich auch im europäischen Vergleich: Von acht untersuchten Ländern ist Deutschland bei der Datensicherheit nur Sechster, in allen anderen Kategorien Zweiter oder Dritter.
In Deutschland erreichen bei Datensicherheit nur 17 Prozent der Unternehmen den Reifegrad „Mature“, während 25 Prozent von Cisco als „Beginners“ eingestuft werden. Damit schafft Deutschland unter acht europäischen Ländern nur Platz sechs (Quelle: Cisco Cybersecurity Readiness Index 2023 (n=6700 Cybersecurity-Führungskräfte aus 27 Ländern).