Wie der Cyber Resilience Act der EU das Handwerk betrifft

08.11.2024 ,

Am 13. November tritt der Cyber Resilience Act der EU in Kraft. Er soll vernetzte Geräte besser vor Angriffen aus dem Netz schützen. Unternehmen, die er betrifft, müssen ihn bis 2027 umsetzen, darunter auch Handwerksbetriebe.

Mehr Cybersicherheit für Ihr Planungsbüro — © sarayut_sy – stock.adobe.com

Nichts fürchten kleine und große Unternehmen so sehr, wie Opfer einer Attacke von Cyberkriminellen zu werden. Diesen Befund erhebt das jährlich erstellte Risk Barometer der Allianz-Versicherung 2024 zum dritten Mal in Folge.

Enorme finanzielle Schäden durch Cybercrime

Die Angst ist begründet. Schließlich entstand Betrieben zwischen August 2023 und August 2024 ein Schaden von 266 Milliarden Euro allein aufgrund von Cyberangriffen. Das sind 29 Prozent mehr als im vorangegangenen Zwölf-Monatszeitraum. Zu diesem Ergebnis kommt eine aktuelle Umfrage des Bitkom. Drei von vier der über 1.000 von dem Digitalverband befragten Unternehmen haben Cyberkriminelle im vergangenen Jahr Geschäftsdaten gestohlen, bei 70 Prozent der Teilnehmenden sabotierten sie Produktions- und Informationssysteme sowie Betriebsabläufe.

Vernetzte Geräte als Einfallstor

Das wichtigste Einfallstor für die Banditen ist dabei das Internet der Dinge (IoT). Das zeigt die Studie „ThreatLabz 2024“ - die aktuelle Fassung einer jedes Jahr von dem kalifornischen IT-Sicherheitsunternehmen ZScaler erstellten Untersuchung zur Cybersicherheit von vernetzten und mobilen Geräten sowie Operation al Technology.

Ihr zufolge stieg die Zahl der Angriffe über das IoT zwischen Mai 2023 und Mai 2024 um 45 Prozent. Im selben Zeitraum davor war es sogar ein Plus von 400 Prozent. Die Bedrohung durch das IoT eskaliert, in dem Maße, in dem die Zahl der vernetzten Geräte zunimmt. Diese wird bis 2033 wohl auf über 41 Milliarden Geräte ansteigen – ein Zuwachs von 147 Prozent gegenüber 2023.

Egal, ob im Smart Home, Fahrzeugen Fertigungsumgebungen in der Industrie oder kritischen Infrastrukturen - inzwischen gibt es keinen Lebensbereich mehr, der ohne sie auskommt. Die Europäische Union will diese Gefahr nun mit dem Cyber Resilience Act (CRA) entschärfen. Das betrifft in erster Linie Unternehmen, die Geräte mit sogenannten „digitalen Elementen“ herstellen. Sie müssen den Act bis 2027 umsetzen. Verstoßen sie künftig gegen den CRA, müssen sie mit Geldbußen rechnen. Deren Höhe legen die Marktaufsichtsbehörden in den einzelnen Mitgliedsstaaten fest.

"Hersteller" sind auch Händler und Handwerker

Das Produkthaftungsrecht der EU definiert den Begriff Hersteller allerdings sehr weit. Hersteller ist danach jeder, der „industriell oder handwerklich ein Produkt (Endprodukt, Grundstoff oder Teilprodukt) tatsächlich geschaffen hat“. Bestimmte Pflichten des CRA gelten daher auch für Händler, die IoT-fähige Produkte verkaufen, Handwerker, die diese einkaufen und einbauen sowie für Importeure. Sie müssen beispielsweise überprüfen, ob Geräte, die sie verkaufen eine CE-Kennzeichnung haben und den Anforderungen des CRA entsprechen.

Darunter fallen dabei etwa Wearables und Babyphones, genauso wie Thermostate, Beleuchtungs- oder Jalousiesysteme für das Smart Home, vernetzte Spielzeuge und Haushaltsgeräte, Fahrzeuge bis hin zu Industriemaschinen. Entscheidend ist, dass ein Produkt „digitale Elemente“ enthält – sich also mit dem Internet verbinden lässt.

Drei Risikogruppen für die Cybersicherheit festgelegt

Der Act unterscheidet dabei nach der Bedeutung eines „digitalen Elements“ für die Cybersicherheit des Produktes. So gibt es

unkritische Produkte wie Speichermedien oder Grafiksoftware,
kritische Produkte der Klasse I wie Browser, Firewalls und Passwortmanager und
kritische Produkte der Klasse II. Das sind etwa Router oder Firewalls für den Einsatz in der Industrie

In einer weiteren Klasse fasst der CRA schließlich „hochkritische“ Produkte zusammen. Was darunter fällt, muss die Kommission allerdings noch festlegen. Produkte aus allen Klassen dürfen künftig nur noch in der EU verkauft werden, wenn sie eine CE-Kennzeichnung haben. Um diese zu erhalten, müssen Produkte der einzelnen Klassen unterschiedlich strenge Konformitätsbewertungen durchlaufen.

Mögliche Risiken bereits im Voraus ausschließen

So können Hersteller unkritischer Produkte oder solcher der Risikoklasse I deren Konformität in normierten Verfahren selbst feststellen und dokumentieren. Ab der Risikoklasse II muss dies durch zertifizierte Prüfstellen erfolgen. Hersteller IoT-fähiger Geräte müssen sich zudem bereits bei deren Entwicklung mit möglichen Cyberrisiken beschäftigen und diese so weit wie möglich durch das Design der Produkte ausschließen.

Keine schwachen Passwörter mehr

Standardeinstellungen vernetzungsfähiger Geräte müssen so gesetzt sein, dass sie deren Sicherheit steigern. Schwache Passwörter beispielsweise dürfen die Geräte nicht mehr akzeptieren. Ihre Hersteller müssen außerdem eine Software Bill of Materials – SBOM – erstellen. Das ist eine Dokumentation aller Softwarebestandteile, die ein Produkt enthält, sowie der Unternehmen, die die Software geschrieben haben.

Wer Produkte herstellt, die unter den CRA fallen, muss Endanwender zudem während des gesamten Lebenszyklus‘ des Gerätes Sicherheitsupdates zur Verfügung stellen.

Strenge Meldepflichten von Schwachstellen

Um das zu leisten, müssen Hersteller Sicherheitsschwachstellen ihrer Geräte kontinuierlich im Blick behalten und der European Agency for Cybersecurity (Enisa) auf einer von dieser einzurichtenden Plattform binnen 72 Stunden melden, welche Schwachstellen seine Geräte haben, ob Hacker diese für Angriffe ausgenutzt haben und welche Gegenmaßnahmen dann ergriffen wurden. Eine etwas weniger detaillierte erste Anzeige der erkannten Schwachstelle hat sogar bereits binnen 24 Stunden zu erfolgen.

Meldepflichten treffen in solchen Fällen auch Händler. Sobald sie von einer Schwachstelle Kenntnis erhalten, müssen sie den Hersteller von Geräten, die sie verkaufen, unverzüglich darüber informieren. „Wenn das Produkt mit digitalen Elementen ein erhebliches Cybersicherheitsrisiko birgt, unterrichten die Händler zudem unverzüglich die Marktüberwachungsbehörden der Mitgliedstaaten“, schreibt der CRA vor.

Ausnahmen für Klein- und Kleinstunternehmen

All dies sind Aufgaben eines Product Security Incident Response Teams. Dieses haben viele Unternehmen, die den CRA künftig umsetzen müssen, nicht. Der Act sieht daher vor, dass „Geldbußen weder gegen Kleinstunternehmen oder kleine Unternehmen wegen einer Nichteinhaltung der 24-Stunden-Frist für die Frühmeldung bei aktiv ausgenutzten Schwachstellen“ verhängt werden dürfen.

Auch macht der CRA Ausnahmen für Open-Source-Software sowie Dienste und Produkte, die wie Medizingeräte oder Systeme für die Fahrzeugsicherheit bereits durch andere Gesetze reguliert werden, oder die unter die NIS2-Richtlinie für kritische Infrastrukturen oder unter den Artificial Intelligence Act der EU fallen.

Das könnte Sie auch interessieren:

SI Cyberschutz für Handwerksbetriebe

Achtung vor Hackerangriffen - In einer digitalen Welt sind Handwerksbetriebe zunehmend Ziel von Cyberkriminalität. Hacker haben es auf sensible Kundendaten und Geschäftsgeheimnisse abgesehen, was für kleine und mittelständische Unternehmen verheerend sein kann.

Cybererpressung: Was unser Unternehmen gerettet hat

Praxisbericht: Wie es ist, Opfer von Cybererpressung zu werden

Ein Alptraum: Cybererpresser haben alle Daten verschlüsselt und das Unternehmen lahmgelegt. Was tun? Lesen Sie, wie Fensterbauer Sorpetaler die Situation gemeistert hat.

Ungesicherte Netze: Cyberterror gegen Gebäudetechnik

Bei der Gebäudeautomation und im Smart Home werden die IT-Sicherheit und der Datenschutz oft vernachlässigt. Welche Systeme sind besonders gefährdet? Welche Auswirkungen hätte Cyberterror?