ZVEI fordert EU-einheitliche Produktregulierung für Cybersicherheit
Eine Produktregulierung für Cybersicherheit muss EU-weit einheitlich und kompatibel zu globalen Standards und WTO-konform erfolgen dies streicht der ZVEI in seinem Whitepaper Hor...
Eine Produktregulierung für Cybersicherheit muss EU-weit einheitlich und kompatibel zu globalen Standards und WTO-konform erfolgen – dies streicht der ZVEI in seinem Whitepaper „Horizontale Produktregulierung für Cybersicherheit“ heraus. Dies in enger Abstimmung mit der Industrie umzusetzen, sei Aufgabe der europäischen Politik. Insbesondere die nachträgliche Einbringung der Cybersicherheit in bestehende Produktregulierungen schwäche die Wettbewerbsfähigkeit europäischer Unternehmen. Matthias Erler von GIT SICHERHEIT befragte dazu Uwe Bartmann, CEO Siemens Germany und Vorsitzender ZVEI-Fachverband Sicherheit.
GIT SICHERHEIT: Herr Bartmann, Cybersicherheit ist Thema des Koalitionsvertrages – Stichworte sind an dieser Stelle das zweite IT-Sicherheitsgesetz und die Idee eines Gütesiegels. Gleichzeitig arbeitet die EU an einem europäischen Rahmenwerk für Cybersicherheits-Zertifizierungen. Der ZVEI befürchtet, dass es zu uneinheitlichen Vorschriften zur Cybersicherheit kommt. Wie real ist die Gefahr tatsächlich?
Uwe Bartmann: Leider sehr real. Denn neben IT-Sicherheitsgesetz, Gütesiegel und europäischem Rahmenwerk für Cybersicherheits-Zertifizierungen laufen zusätzlich noch die Sondierungsrunden der EU-Kommission zur Einbringung von Cybersicherheit in die Funkanlagen- und Maschinenrichtlinie. So wird derzeit von ganz unterschiedlichen Seiten die Regulierung von Cybersicherheit, auch auf Produktebene, bearbeitet. Bedenkt man, dass allein schon auf Seiten der EU-Kommission, des Ministerrats und des EU-Parlaments verschiedene Ausschüsse, Arbeitsgruppen und Akteure involviert sein werden, wird schnell klar, dass Inkonsistenzen bei der Regulierung von Cybersicherheit vorprogrammiert sind. Und die unterschiedlichen Prozesse und Stakeholder in den Mitgliedsstaaten kommen noch hinzu. Unsere Forderung im ZVEI ist daher: Eine Produktregulierung für Cybersicherheit muss vor allem EU-weit einheitlich erfolgen.
Wie sähe denn aus Sicht der Elektroindustrie die perfekte Lösung aus?
Uwe Bartmann: Wir brauchen zuallererst europäische Regelungen. Denn schließlich geht es auch um den europäischen digitalen Binnenmarkt. Wenn wir uns auf europäischer Ebene einigen, bleibt allerdings immer noch die Gefahr von verteilten, patchworkartigen Lösungen. Daher schlagen wir als ZVEI einen horizontalen Ansatz für Cybersicherheit auf EU-Ebene vor. Statt Cybersicherheit einzeln und im ungünstigsten Fall unterschiedlich zu integrieren, sollten wir eine übergreifende horizontale Regelung, ähnlich der EMV-Richtlinie, der Richtlinie für elektromagnetische Verträglichkeit, erstellen. Auf diese Weise kann man Cybersicherheit als Querschnittsthema zentral regeln und dennoch auf unterschiedliche Kontexte und Einsatzszenarien hin anpassen. Von Bedeutung ist, dass wir bei einer horizontalen Regelung innerhalb des sogenannten „New Legislative Framework“ bleiben. Das heißt, Gesetze und Richtlinien formulieren das verbindliche Schutzziel für Cybersicherheit. Der Normung wird es jedoch überlassen, hierfür die konkreten Anforderungen und Bewertungskriterien zu definieren. Das ist wichtig, da die Gesetze andernfalls viel zu schnell immer wieder überarbeitet werden müssten, denn schließlich entwickelt sich der Stand der Technik schnell weiter.
Warum sind Sie dagegen, Cybersicherheitsregeln in bereits bestehende Produktrichtlinien einzubauen? Dies würde dann doch zu mehr oder weniger EU-einheitlichen Regelungen führen, oder?
Uwe Bartmann: Eben nicht. Bestenfalls hätte man ein einheitliches Vorgehen. Doch bei der Anzahl der zu involvierenden Akteure würden sich auch die unterschiedlichen Interessen pro Richtlinie multiplizieren. Es ist sehr unwahrscheinlich, konsistente Ergebnisse zu erzielen, wenn wir so dezentral vorgehen. Ein weiterer Aspekt ist noch wichtig. Die Elektroindustrie liefert ihre B-to-C- und B-to-B-Produkte in unterschiedliche Bereiche und Domänen. Das gleiche Produkt kann somit einmal im Kontext der Funkanlagenrichtlinie und ein anderes Mal im Kontext der Maschinenbau- oder Niederspannungsrichtlinie oder Bauproduktenverordnung zum Einsatz kommen. Würden nun unterschiedliche Anforderungen, Bewertungskriterien und Prüfungsverfahren festgeschrieben, haben Hersteller und Kunden keine Chance mehr wettbewerbsfähig zu bleiben.
Gegen die „horizontale“ Lösung könnte sprechen, dass Cybersicherheit ein Querschnittsthema ist, das alle Lebensbereiche früher oder später betrifft. Dennoch sind Sie gegen spezifische Lösungen, etwa für einzelne Industriesektoren?
Uwe Bartmann: Der Einwand beruht auf einem Missverständnis. Wenn wir als ZVEI von einem zentralen horizontalen Ansatz sprechen, dann bedeutet das nicht „One Size Fits All“. Natürlich kann man nicht alle vernetzten Produkte im Verbraucher- und Industrieumfeld mit den gleichen Anforderungen, Maßnahmen und Bewertungskriterien belegen. In Abhängigkeit vom Einsatzzweck und dem entsprechenden Risikoumfeld müssen mehrere Produktgruppen gebildet werden. Hier können dann gestufte Anforderungen und Bewertungsmodule zum Einsatz kommen. Dieses Prinzip des „risikobasierten Ansatzes“ kennt das „New Legislative Framework“ bereits seit seiner Entstehung. Das ist nichts Neues. Eine zentrale horizontale Regelung lässt eine Stufung der Maßnahmen problemlos zu.
Integratoren spielen neben den Herstellern für die Cybersicherheit dadurch eine Rolle, dass sie eine Lösung aus mehreren Einzelteilen herstellen, die dann erst eine Sicherheitsproblematik entstehen lassen. Welchen Regelungsbedarf sehen Sie hier?
Uwe Bartmann: Grundsätzlich muss auch der Integrator auf Basis einer Risikoanalyse und Abstimmung mit dem Kunden ein sicheres System bereitstellen. Dabei kommt es auf das Handling der Lieferkette und der Vorprodukte an. Der Integrator muss sein eigenes Risikoumfeld und das seines Kunden kennen und die Security daraufhin ausrichten. Entsprechend ist auch für den Integrator eine konsistente und übergreifende Regelung der Cybersicherheit – inklusive der Vorprodukte – wichtig.
Was sind aus Ihrer Sicht nun die nächsten Schritte, um die beste Lösung zu erreichen?
Uwe Bartmann: Die Idee der horizontalen Regelung muss eine europäische werden. Der ZVEI setzt sich jetzt dafür ein, dass der Ansatz nicht nur intensiv mit dem BSI, dem Bundesamt für Sicherheit in der Informationstechnik, abgestimmt wird, sondern vor allem auf europäischer Ebene mit Partnern, wie zum Beispiel Orgalim. Ziel ist, nach den Wahlen der neuen EU-Kommission einen industrieübergreifenden Plan für eine konsistente, einheitliche und europäische Regelung der Cybersicherheit vorzulegen. Ich bin fest davon überzeugt, dass diese Idee Ihre Wirkung nicht verfehlt.
Horizontale Produktregulierung für Cybersicherheit: Ein Whitepaper des ZVEI
Die Herausforderung:
Die Digitalisierung und vernetzbare Endprodukte prägen immer stärker das Umfeld von Menschen, Unternehmen und Staaten. Einerseits entsteht dadurch tatsächlicher Nutzen. Andererseits steigt die Verantwortung jedes Endprodukts und damit jedes Herstellers, da sich die Endprodukte im Zuge der Vernetzung in größere Systeme integrieren lassen (z. B. Kommunikations- und Energienetz).
Spätestens mit dem Internet der Dinge (englisch IoT) wird de facto alles mit allem vernetzt werden können. Folglich können kompromittierte Produkte Einfluss auf das gesamte System nehmen und die Summe vieler kompromittierter vernetzter Produkte kann das Umfeld von Menschen, Unternehmen und nicht zuletzt Staaten prägen. Werden grundlegende Maßnahmen der Cybersicherheit (hier englisch Security) nicht umgesetzt, kann dies zur Beeinträchtigung von Umwelt, Gesundheit und Leben beziehungsweise der öffentlichen Sicherheit führen.
Die Folge:
Angesichts dieser Herausforderungen und jüngsten Ereignisse (siehe Mirai, WannaCry, Router-Vorfall etc.) ist verständlich, dass Cybersicherheit aus Gründen des Verbraucherschutzes durch die Politik adressiert wird. So hat die Bundesregierung die Erstellung eines zweiten IT-Sicherheitsgesetzes beschlossen, das Unternehmen und Produkte außerhalb der bisher definierten kritischen Infrastrukturen (Kritis) erfassen soll.
Darüber hinaus sieht der Koalitionsvertrag die Einführung eines Gütesiegels für IT-Sicherheit für vernetzbare Konsumgüter vor. Erste Pilotprojekte für technische Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) für Breitbandrouter und den Smart-Home-Bereich wurden gestartet. Es wird deutlich, dass Produkte zusätzlich zum bisherigen Kritis-Betreiber-Ansatz im Fokus der Politik stehen. Auf EU-Ebene steht die Einführung eines europäischen Rahmenwerks für Cybersicherheit-Zertifizierungen kurz bevor (siehe EU Cybersecurity Act). Zusätzlich gibt es ernst zu nehmende Überlegungen, Regeln für Cybersicherheit in bestehende Produktrichtlinien wie der Funkanlagen- oder Maschinenrichtlinie einzubringen.
Die Antwort der Elektroindustrie:
Aus Sicht der Elektroindustrie dürfen die Initiativen auf keinen Fall zu einer nationalen oder inkonsistenten Regulierung der Cybersicherheit führen. Es besteht die klare Notwendigkeit, dass eine Produktregulierung für Cybersicherheit EU-weit einheitlich und kompatibel zu globalen Standards und WTO-konform erfolgt. Dies in enger Abstimmung mit der Industrie umzusetzen, ist Aufgabe der europäischen Politik. Die nachträgliche Einbringung der Cybersicherheit in bestehende Produktregulierungen schwächt die Wettbewerbsfähigkeit europäischer Unternehmen.
Es darf nicht zu uneinheitlichen, inkompatiblen Vorschriften für einzelne Produktsektoren kommen. Die Elektroindustrie bevorzugt daher eine europäische horizontale Produktregulierung für Cybersicherheit für vernetzbare Endprodukte, wenn dadurch die Einbringung von Security-Vorgaben in bestehende sektorale Produktregulierungen verhindert und eine risikobasierte Basis-Cybersicherheit auf Grundlage des NLF etabliert wird.
Im Gegensatz dazu sollte es Ziel eines gemeinsamen Vorgehens der europäischen Politik und Industrie sein, ein domänen- und industrieübergreifendes Security-Schutzziel für vernetzbare Endprodukte verbindlich zu etablieren.
Das vollständige Whitepaper „Horizontale Produktregulierung für Cybersicherheit.
Die Stärken des New Legislative Framework für den Digital Single Market nutzen“ können Sie hier downloaden: https://bit.ly/2LRhJuR