Home » News » Allgemein » Kommentar: Cyber Resilience Act (CRA) ist ein positives Signal

Kommentar: Cyber Resilience Act (CRA) ist ein positives Signal

Danilo D’Elia, Vice President Global Public Affairs and Strategic Outreach bei YesWeHack, äußert sich zum Entwurf des Cyber Resilience Act.

1 Min. Lesezeit
Foto: ©AdobeStock/jirsak

Die Europäische Kommission hat vergangene Woche einen bedeutenden Schritt zur Schaffung einer sichereren digitalen Welt für Bürger:innen und Unternehmen in der EU unternommen. Sie hat den Entwurf zum ‚Cyber Resilience Act‘ (CRA) vorgestellt. Er beinhaltet neue Cybersicherheitsanforderungen für IoT-Hardware und -Software, wie etwa smarte Spielzeuge, vernetzte Kühlschränke oder Überwachungskameras.

Dazu Danilo D’Elia, Vice President Global Public Affairs and Strategic Outreach bei YesWeHack: „Während Unternehmen deutliche Vorteile aus dem Internet der Dinge ziehen – beispielsweise geringere Betriebskosten, neue Erkenntnisse über die Verbraucher:innen und die Möglichkeit zur Prozessoptimierung, hat sich die Angriffsfläche von internetfähigen Produkten immens vergrößert. Unter anderem ist das darauf zurückzuführen, dass diese Geräte häufig mit Schwachstellen behaftet sind und Hersteller nur unzureichende und uneinheitliche Updates bereitstellen. Das Gesetz betrifft alle internetfähigen Produkte im europäischen Binnenmarkt – unabhängig davon, ob sie hier hergestellt wurden oder nicht, und gilt für ihren gesamten Lebenszyklus, mindestens aber für fünf Jahre.

Wir von YesWeHack begrüßen den Entwurf des CRA, da er die strategische Bedeutung eines Prozesses zur Offenlegung von IT-Schwachstellen (Vulnerability Disclosure Policy, VDP) für Hersteller von IoT-Produkten hervorhebt. Ein offener und koordinierter Austausch mit ethischen Hackern ist unumgänglich, um einen zuverlässigen Prozess zur Aufdeckung, Meldung und Behebung von Schwachstellen bei IoT-Produkten zu etablieren.

Die Europäische Union hat mit dem Entwurf für den CRA nun die Möglichkeit, einen einheitlichen, paneuropäischen Ansatz zu implementieren, der eine VDP umfasst und somit Anreize für die involvierten Akteure schafft, Schwachstellen schneller und effektiver zu beheben, zum Beispiel durch die wirtschaftliche und rechtliche Förderung von VDP-Lösungen zur Umsetzung international gültiger Standards.

Wir werden uns auch weiterhin für eine VDP im Rahmen eines Security-by-Design-Ansatzes einsetzen – und für einen sicheren und erfolgreichen Austausch mit ethischen Hackern und Cybersicherheitsforscher:innen. Unser gemeinsames Ziel ist es, das allgemeine Niveau der Cybersicherheit für Bürger:innen und Unternehmen in der EU zu steigern und ein sicheres Internet der Dinge zu schaffen.“

Andere interessante News

Wie Cyberkriminelle ChatGPT für sich nutzen

Allgemein zugängliche KI-Tools (Künstliche Intelligenz) wirkten bislang oft noch eher unbeholfen. Mit dem OpenAI ChatGPT Chatbot scheint sich das gerade zu ändern. Die Qualität der damit erzeugten Texte erstaunt die gesamte Internet-Community. Das weckt auch bei Cyberkriminellen Begehrlichkeiten. Die Kombi aus freier Zugänglichkeit solcher Tools und krimineller Energie stellt die Cybersicherheit vor völlig neue Herausforderungen.

Cloud-Apps entwickeln sich zu Malware-Schleudern

Bedrohungsakteure haben Cloud-Apps offenbar als ideales Umfeld zum Hosten von Malware entdeckt. So haben 2022 mehr als 400 verschiedene Cloud-Anwendungen Malware verbreitet, nahezu dreimal so viele wie noch 2021. Knapp ein Drittel der Cloud-Malware-Downloads ging von Microsoft OneDrive aus.

Warum ein Verbot von Microsoft 365 eine Luftnummer ist

Warum ein Verbot von Microsoft 365 eine Luftnummer ist

Die Datenschutzkonferenz (DSK) sieht beim Einsatz von Microsoft 365 die Daten deutscher Nutzer in Gefahr und warnt vor dem Einsatz der Microsoft-Software. Daraus entstandene Gerüchte um ein mögliches Verbot von Microsoft 365 haben inzwischen hohe Wellen geschlagen. Rechtsanwalt Wilfried Reiners, Jurist im Umfeld digitaler Themen, CEO der PRW Group und Mitbegründer der PRW Legal Tech, ordnet die Fakten rechtlich ein und entlarvt die DSK-Aussage als „Stammtischspruch“.