Home » News » Allgemein » Kommentar: Cyber Resilience Act (CRA) ist ein positives Signal

Kommentar: Cyber Resilience Act (CRA) ist ein positives Signal

Danilo D’Elia, Vice President Global Public Affairs and Strategic Outreach bei YesWeHack, äußert sich zum Entwurf des Cyber Resilience Act.

1 Min. Lesezeit
Foto: ©AdobeStock/jirsak

Die Europäische Kommission hat vergangene Woche einen bedeutenden Schritt zur Schaffung einer sichereren digitalen Welt für Bürger:innen und Unternehmen in der EU unternommen. Sie hat den Entwurf zum ‚Cyber Resilience Act‘ (CRA) vorgestellt. Er beinhaltet neue Cybersicherheitsanforderungen für IoT-Hardware und -Software, wie etwa smarte Spielzeuge, vernetzte Kühlschränke oder Überwachungskameras.

Dazu Danilo D’Elia, Vice President Global Public Affairs and Strategic Outreach bei YesWeHack: „Während Unternehmen deutliche Vorteile aus dem Internet der Dinge ziehen – beispielsweise geringere Betriebskosten, neue Erkenntnisse über die Verbraucher:innen und die Möglichkeit zur Prozessoptimierung, hat sich die Angriffsfläche von internetfähigen Produkten immens vergrößert. Unter anderem ist das darauf zurückzuführen, dass diese Geräte häufig mit Schwachstellen behaftet sind und Hersteller nur unzureichende und uneinheitliche Updates bereitstellen. Das Gesetz betrifft alle internetfähigen Produkte im europäischen Binnenmarkt – unabhängig davon, ob sie hier hergestellt wurden oder nicht, und gilt für ihren gesamten Lebenszyklus, mindestens aber für fünf Jahre.

Wir von YesWeHack begrüßen den Entwurf des CRA, da er die strategische Bedeutung eines Prozesses zur Offenlegung von IT-Schwachstellen (Vulnerability Disclosure Policy, VDP) für Hersteller von IoT-Produkten hervorhebt. Ein offener und koordinierter Austausch mit ethischen Hackern ist unumgänglich, um einen zuverlässigen Prozess zur Aufdeckung, Meldung und Behebung von Schwachstellen bei IoT-Produkten zu etablieren.

Die Europäische Union hat mit dem Entwurf für den CRA nun die Möglichkeit, einen einheitlichen, paneuropäischen Ansatz zu implementieren, der eine VDP umfasst und somit Anreize für die involvierten Akteure schafft, Schwachstellen schneller und effektiver zu beheben, zum Beispiel durch die wirtschaftliche und rechtliche Förderung von VDP-Lösungen zur Umsetzung international gültiger Standards.

Wir werden uns auch weiterhin für eine VDP im Rahmen eines Security-by-Design-Ansatzes einsetzen – und für einen sicheren und erfolgreichen Austausch mit ethischen Hackern und Cybersicherheitsforscher:innen. Unser gemeinsames Ziel ist es, das allgemeine Niveau der Cybersicherheit für Bürger:innen und Unternehmen in der EU zu steigern und ein sicheres Internet der Dinge zu schaffen.“

Andere interessante News

Security Awareness Schulung

Security-Awareness-Schulungen nur Mumpitz?

Eine aufschlussreiche Umfrage enthüllt alarmierende Schwachstellen in den IT-Sicherheitsstrategien deutscher Unternehmen. Erstaunlicherweise betrachten fast die Hälfte der Geschäftsführungen Security-Awareness-Schulungen als überflüssig.

IoT - Internet of Things Security

Was für den Schutz vernetzter IoT-Geräte nötig ist

Seit dem ersten netzwerkverbundenen Verkaufsautomaten im Jahr 1982 hat sich in der Entwicklung von IoT-Geräten viel verändert. Die Verbindung von Geräten mit dem Internet hat zu großen Innovationen in verschiedenen Bereichen geführt. Allerdings bringen diese Technologien auch erhebliche Risiken mit sich.

Darknet

BKA schaltet illegalen Darknet-Marktplatz „Nemesis Market“ ab

Am Mittwoch haben die Generalstaatsanwaltschaft Frankfurt am Main und das Bundeskriminalamt (BKA) die Server-Infrastruktur des illegalen Darknet-Marktplatzes "Nemesis Market" in Deutschland und Litauen beschlagnahmt.