Der Schaden durch Cy­berangriffe hat 2021 auf der Welt ein Vo­lumen von 5,5 Billionen Euro er­reicht. Dennoch tun die Hersteller in­ternetfä­higer Fernseher, Kühlschränke oder auch Maschinen nach wie vor viel zu wenig, um das Risiko zu verringern, dass von ihrer Hard- oder Software eine Gefahr für die Nutzer ausgeht. Zugleich fehlen Nutzern oft die nötigen Informationen, um sich für Cyberangriffe zu wappnen.

Wie groß die davon ausgehende Gefahr ist, haben Ransomware-Angriffe wie WannaCry und Ryuk gezeigt. Ein anderes Beispiel ist der Hackerangriff auf den amerikanischen IT-Dienstleister Kaseya, der 2021 mehr als 1500 Unternehmen auf der Welt betraf und zur Schließung einer ganzen Supermarktkette führte.

Die Europäische Kommission will deshalb nun die Hersteller aller vernetzter Geräte verpflichten, die von ihnen eingesetzte Hard- und Software umfassend auf ihre Anfälligkeit für Cyberangriffe zu testen. Bisher gibt es dafür nur Vorgaben für einzelne Branchen wie die Luftfahrt oder Medizinprodukte. Ohne entsprechende Si­cherheitszertifikate sollen die vernetzten Produkte nicht mehr auf dem europäischen Binnenmarktmarkt verkauft werden können. Das geht aus einem Entwurf für ein neues Cyberresilienzgesetz hervor, das die Kommission an diesem Dienstag vorlegen will. Der Entwurf liegt der F.A.Z. vor.

Software-Updates und Informationspflichten

Die Hersteller sollen darüber hinaus für fünf Jahre oder – falls diese darunter liegt – über die „Lebenszeit“ der Produkte hinweg automatische und kostenlose Software-Updates bereitstellen, so wie das jeder Handynutzer kennt. Vom Fehlen regelmäßiger Updates geht nach Ansicht von Fachleuten eine große Ge­fahr aus. So nutzen Hacker nach Studien in zwei Dritteln der Angriffe Sicherheitslücken, die schon seit Langem bekannt waren und durch ein Update hätten ge­schlossen werden können.

Die Unternehmen sollen die Behörde zudem innerhalb von 24 Stunden informieren, wenn sie Sicherheitslücken entdecken, die von Hackern genutzt werden. Verstöße gegen die Vorgaben sollen Sanktionen in Höhe von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes nach sich ziehen – je nachdem, was höher ist.

Die Produkte sollen nach dem Willen der Europäischen Kommission in zwei Risikokategorien eingeteilt werden, für die dann entsprechend unterschiedlich hohe Anforderungen für die Cybersicherheit gelten sollen. So muss die Sicherheitsbewertung von besonders kritischen Geräten von dritter Seite überprüft werden. Dazu gehören nach dem Entwurf Be­triebssysteme für Server, Desktop- und Mobilgeräte, die Aussteller digitaler Zertifikate, Modems und Router sowie Si­cherungssysteme (Firewalls) für die in­dustrielle Nutzung, Lesegeräte für digitale Ausweise und intelligente Stromzähler sowie diverse Anwendungen, die für die vernetzte Produktion (Industrie 4.0) eine wichtige Rolle spielen.

Die Kommission beziffert die Kosten für die Einhaltung der neuen Vorgaben nach dem Entwurf auf 29 Milliarden Eu­ro im Jahr bei einem jährlichen Umsatz von 1,485 Billionen Euro. Dem stehe aber ein Schaden von 180 bis 290 Milliarden Euro gegenüber, der den Unternehmen in der EU erspart werden könne, weil sie weniger Cyberangriffen ausgesetzt seien. Damit der Vorschlag in Kraft treten kann, müssen ihm das Europäische Parlament und der Ministerrat der Mitgliedstaaten noch zustimmen.