Home » News » Allgemein » Kommentar: Cyber Resilience Act (CRA) ist ein positives Signal

Kommentar: Cyber Resilience Act (CRA) ist ein positives Signal

Danilo D’Elia, Vice President Global Public Affairs and Strategic Outreach bei YesWeHack, äußert sich zum Entwurf des Cyber Resilience Act.

1 Min. Lesezeit
Foto: ©AdobeStock/jirsak

Die Europäische Kommission hat vergangene Woche einen bedeutenden Schritt zur Schaffung einer sichereren digitalen Welt für Bürger:innen und Unternehmen in der EU unternommen. Sie hat den Entwurf zum ‚Cyber Resilience Act‘ (CRA) vorgestellt. Er beinhaltet neue Cybersicherheitsanforderungen für IoT-Hardware und -Software, wie etwa smarte Spielzeuge, vernetzte Kühlschränke oder Überwachungskameras.

Dazu Danilo D’Elia, Vice President Global Public Affairs and Strategic Outreach bei YesWeHack: „Während Unternehmen deutliche Vorteile aus dem Internet der Dinge ziehen – beispielsweise geringere Betriebskosten, neue Erkenntnisse über die Verbraucher:innen und die Möglichkeit zur Prozessoptimierung, hat sich die Angriffsfläche von internetfähigen Produkten immens vergrößert. Unter anderem ist das darauf zurückzuführen, dass diese Geräte häufig mit Schwachstellen behaftet sind und Hersteller nur unzureichende und uneinheitliche Updates bereitstellen. Das Gesetz betrifft alle internetfähigen Produkte im europäischen Binnenmarkt – unabhängig davon, ob sie hier hergestellt wurden oder nicht, und gilt für ihren gesamten Lebenszyklus, mindestens aber für fünf Jahre.

Wir von YesWeHack begrüßen den Entwurf des CRA, da er die strategische Bedeutung eines Prozesses zur Offenlegung von IT-Schwachstellen (Vulnerability Disclosure Policy, VDP) für Hersteller von IoT-Produkten hervorhebt. Ein offener und koordinierter Austausch mit ethischen Hackern ist unumgänglich, um einen zuverlässigen Prozess zur Aufdeckung, Meldung und Behebung von Schwachstellen bei IoT-Produkten zu etablieren.

Die Europäische Union hat mit dem Entwurf für den CRA nun die Möglichkeit, einen einheitlichen, paneuropäischen Ansatz zu implementieren, der eine VDP umfasst und somit Anreize für die involvierten Akteure schafft, Schwachstellen schneller und effektiver zu beheben, zum Beispiel durch die wirtschaftliche und rechtliche Förderung von VDP-Lösungen zur Umsetzung international gültiger Standards.

Wir werden uns auch weiterhin für eine VDP im Rahmen eines Security-by-Design-Ansatzes einsetzen – und für einen sicheren und erfolgreichen Austausch mit ethischen Hackern und Cybersicherheitsforscher:innen. Unser gemeinsames Ziel ist es, das allgemeine Niveau der Cybersicherheit für Bürger:innen und Unternehmen in der EU zu steigern und ein sicheres Internet der Dinge zu schaffen.“

Andere interessante News

Große Schäden im Homeoffice durch Phishing-Mails

In jedem fünften Fall, bei dem Mitarbeitende im Homeoffice einer Phishing-Mail zum Opfer gefallen sind, wurden Zugangsdaten oder persönliche Daten ausgeleitet. Im Büro waren dies nur 14,6 Prozent.

Ein Drittel aller weltweiten Anmeldeversuche illegal

Okta belegt in seinem aktuellen State of Secure Identity Report, dass gut ein Drittel der Anmeldeversuche auf Kundenkonten mit erbeuteten Login-Daten erfolgt. Beim Credential Stuffing nutzen Angreifer die Angewohnheit mancher Nutzer aus, ein einziges Kennwort für verschiedene Anmeldungen zu verwenden.

Cyber Threat Report für das 2. Quartal 2022

Infoblox veröffentlicht seinen aktuellen Quarterly Cyber Threat Report. Ein besonderer Fokus liegt dabei auf der Verwendung von IPv6 und die Risikominderung durch Zero Trust und DNS-Sicherheit. Die Umstellung auf IPv6 in vielen großen US-Behörden hat dem Thema zusätzliche Schubkraft verliehen. Cyber-Resilienz und wirtschaftliche Effizienz sollen auf diese Weise erhöht werden.