Vernetzte Produkte: EU will Alltagsgeräte gegen Hackerangriffe schützen

Immer mehr Produkte sind vernetzt, aber für die meisten existieren keine Vorgaben zur Cybersicherheit. Ein neues EU-Gesetz soll den Missstand beheben, doch der Industrie geht manches zu weit.

Ob Putzroboter, Fernseher, Spielzeug oder Armbanduhr: Immer mehr Produkte sind heutzutage vernetzt, tauschen also via Internet Informationen aus. Doch bisher gibt es in der EU für die meisten Waren keine Mindestanforderungen, was den Schutz gegen Hackerangriffe angeht. Ein Verordnungsentwurf, den die Kommission am Donnerstag in Brüssel präsentierte, soll diesen Missstand beenden. Das Cyberresilienzgesetz verlangt von Herstellern vernetzter Produkte sowie von Software, schon bei der Konzeption an Online-Sicherheit zu denken. Die Firmen müssen nachweisen, dass ihre Angebote die neuen EU-Standards einhalten, bevor die Waren auf den Markt kommen dürfen.

Mindestens fünf Jahre lang sollen die Unternehmen Sicherheits-Updates zum Herunterladen anbieten; sie tragen während dieser Zeit die Verantwortung dafür, neu entdeckte Schwachstellen zu beseitigen. Erfahren die Konzerne von erfolgreichen Hackerangriffen, müssen sie darüber unverzüglich informieren. EU-Binnenmarktkommissar Thierry Breton sagte, bei Cybersicherheit sei "Europa nur so stark wie sein schwächstes Glied - zum Beispiel ein gefährdeter Mitgliedstaat oder ein unsicheres Produkt in der Lieferkette". Der Rechtsakt trage deshalb dazu bei, "die Sicherheit aller zu gewährleisten".

Die CSU-Europaabgeordnete Angelika Niebler nannte die Gesetzesinitiative "sinnvoll". Sie sagte, "niemand möchte erleben, dass der eigene Fernseher oder smarte Lautsprecher gehackt wird und als Spionagegerät im Wohn- oder Schlafzimmer missbraucht wird". Der SPD-Europaparlamentarier René Repasi bezeichnete den Vorstoß als "überfällig": "Dass es bislang keine einheitlichen Vorgaben für die Hersteller gibt, ist unverantwortlich gewesen."

Drohen Verzögerungen bei neuen Produkten?

EU-Parlament und Ministerrat werden sich nun mit dem Gesetzentwurf befassen. Nach der Verabschiedung haben Unternehmen zwei Jahre Zeit, sich umzustellen. Die Verordnung unterscheidet zwischen normalen und besonders kritischen Produkten. Letztere sollen geschätzt für zehn Prozent der Waren stehen, bei ihnen gelten härtere Regeln. Beispiele sind Fabriksteuerungen, Computerprozessoren oder Betriebssysteme.

Der deutsche Verband der Elektro- und Digitalindustrie (ZVEI) klagt, dass der Entwurf zu viele Produkte als kritisch ansehe. Anstatt starre Listen zu führen, sei es besser, auf den konkreten Nutzungszweck der Güter zu achten, argumentiert ZVEI-Geschäftsführer Wolfgang Weber. Denn wenn die strengeren Regeln die Markteinführung neuer Produkte erschwerten, "wird es zu großen Verzögerungen beim Einsatz digitaler Produkte und Komponenten kommen", warnt der Lobbyist. Insgesamt sei es aber gut, dass die EU einheitliche Vorschriften schaffe, "auch wenn es unsere Unternehmen vor enorme Herausforderungen stellt".