Experten: Die Anforderungen des EU-Cyber-Resilience-Gesetzes zur Offenlegung von Sicherheitslücken sind alarmierend

Tyler Kreuz
Veröffentlicht am: 4. Oktober 2023

Die von der EU vorgeschlagenen Gesetze zur Offenlegung von Schwachstellen im Cyber ​​Resilience Act (CRA) haben bei Cybersicherheitsexperten auf der ganzen Welt ernsthafte Bedenken hervorgerufen.

Das Gesetz sieht im Wesentlichen vor, dass Unternehmen 24 Stunden Zeit haben, Exploits in Schwachstellen gegenüber Regierungsbehörden offenzulegen.

Dutzende globale Cybersicherheitsexperten und -führer kamen zusammen, um einen kurzen, aber wirkungsvollen offenen Brief an die EU zu schreiben, in dem sie erklärten, dass der Gesetzentwurf zwar gute Absichten verfolgt, aber eine Menge neuer Probleme schafft.

Zu den Unterzeichnern des offenen Briefes gehören große Unternehmen wie Google, Trend Micro, Eset, Immuniweb und TomTom. Noch beeindruckender ist, dass es von wichtigen Persönlichkeiten wie Toomas Hendrik Ilves, dem ehemaligen Präsidenten der Republik Estland, und Sergio Caltagirone, dem Präsidenten der Threat Intelligence Academy, unterzeichnet wurde.

Der Brief war an Herrn Thierry Breton, Kommissar für Binnenmarkt der Europäischen Kommission, Frau Carme Artigas Brugal, Staatssekretärin für Digitalisierung und künstliche Intelligenz, und Herrn Nicola Danti, Berichterstatter für Cybersecurity Resilience Act, Europäisches Parlament, gerichtet.

„Wir schätzen zwar das Ziel der CRA, die Cybersicherheit in Europa und darüber hinaus zu verbessern“, heißt es in dem Brief. „Wir glauben, dass die aktuellen Bestimmungen zur Offenlegung von Schwachstellen kontraproduktiv sind und neue Bedrohungen schaffen werden.“

Bei den Gesetzen zur Offenlegung von Sicherheitslücken wurden drei Kernprobleme hervorgehoben. Die neuen Gesetze können von Geheimdiensten zu Überwachungszwecken missbraucht werden. Auch die Offenlegung von Schwachstellen innerhalb von 24 Stunden verschafft Kriminellen einen Vorteil.

„Selbst die Kenntnis der Existenz einer Schwachstelle reicht für eine fachkundige Person aus

rekonstruieren“, schreiben sie.

Es kann Unternehmen auch dazu ermutigen, weniger Ressourcen für Cybersicherheitsforscher aufzuwenden, da die Unternehmen jede bei Tests gefundene Schwachstelle melden müssten. Die Autoren befürchten, dass gutgläubige Forscher schwer bestraft werden.

Die Autoren fügen hinzu, dass sie der Meinung sind, dass keine Agentur Schwachstellenberichte an Geheimdienste weitergeben und die Offenlegung entschärfender Schwachstellen innerhalb von 72 Stunden verlangen sollte. Sie sind außerdem der Meinung, dass Schwachstellen, die durch gutgläubige Recherchen gefunden wurden, nicht offengelegt werden sollten.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.safetydetectives.com/news/experts-eu-cyber-resilience-acts-vulnerability-disclosure-requirements-raise-red-flags/