Neuer Cybersicherheitsvorschlag der Europäischen Union zielt auf Cyberkriminalität ab

Der Gesetzgeber ist bestrebt, die Cybersicherheitsanforderungen in der gesamten Europäischen Union zu stärken, und bringt neue Gesetze voran, um die Sicherheitsanforderungen für alle digitalen Hardware- und Softwareprodukte zu stärken. Das vorgeschlagene Gesetz mit dem Titel Cyber ​​Resilience Act würde alles von Computern und Mobiltelefonen bis hin zu intelligenten Küchengeräten und digitalem Kinderspielzeug abdecken.

„Wenn es um Cybersicherheit geht, ist Europa nur so stark wie sein schwächstes Glied: sei es ein anfälliger Mitgliedstaat oder ein unsicheres Produkt entlang der Lieferkette“, sagte Thierry Breton, EU-Kommissar für den Binnenmarkt.

Der Gesetzesvorschlag, der Anfang dieses Monats von der Europäischen Kommission vorgestellt wurde, schreibt vor, dass Produkte so konzipiert, entwickelt und produziert werden, dass Cybersicherheitsrisiken gemindert werden. Dazu gehören beispielsweise Anforderungen zum Verkauf von Produkten in einer sicheren Standardkonfiguration, zur Aufrechterhaltung eines gründlichen Produktidentifizierungssystems und zur Gewährleistung, dass ausnutzbare Schwachstellen durch Sicherheitsupdates behoben werden können, neben anderen Vorschriften zur Offenlegung von Cyberkriminalität.

In den letzten Jahren ist die Zahl der mit dem Internet verbundenen privaten Geräte erheblich gestiegen.

Doch viele dieser sog Internet der Dinge Produkte sind sehr anfällig für Hacks und Cyberkriminalität. In der Tat, Ransomware-Angriffe treten weltweit alle 11 Sekunden auf und haben die Weltwirtschaft im vergangenen Jahr schätzungsweise 20 Milliarden Euro gekostet Cybersecurity Ventures. In der Zwischenzeit kosten DDoS-Angriffe – böswillige Versuche, den Zugriff auf Internetdienste oder Websites zu unterbrechen oder zu sperren – genau das Richtige EU-Wirtschaft rund 65 Milliarden Euro im Jahr 2020.

In Belgien beispielsweise wurden im Jahr 1,000 fast 2021 Unternehmen von Cyberkriminalität heimgesucht – ein Anstieg von 300 % im Vergleich zum Vorjahr, so ein Analyse von Mastercard. Die Mehrzahl der Cyberangriffe beinhaltete Malware- und Ransomware-Angriffe.

„Wir verdienen es, uns mit den Produkten, die wir auf dem Binnenmarkt kaufen, sicher zu fühlen“, sagte Margrethe Vestager, Exekutiv-Vizepräsidentin der Europäischen Kommission für ein Europa, das fit für das digitale Zeitalter ist. „Der Cyber ​​Resilience Act wird sicherstellen, dass die von uns gekauften vernetzten Objekte und Software strengen Cybersicherheitsvorkehrungen entsprechen.“

Ein Beamter der Microsoft Digital Crimes Unit zeigt eine Heatmap bösartiger Computernetzwerke in Westeuropa im Jahr 2013. Bild: REUTERS/Jason Redmond

Es wird auch erwartet, dass verstärkte Cybersicherheitsprotokolle Unternehmen und Herstellern helfen – insbesondere kleineren Unternehmen, die möglicherweise nicht über die technischen Ressourcen oder finanziellen Mittel verfügen, um einen Cyberangriff zu überleben.

Anfang dieses Jahres, des World Economic Forum Globaler Cybersicherheitsausblick berichteten, dass die durchschnittlichen Kosten einer Cyber-Verletzung für ein Unternehmen 3.6 Millionen US-Dollar betrugen. Darüber hinaus erlebten betroffene Unternehmen fallende Aktienkurse und verbrachten im Durchschnitt 280 Tage damit, einen Cyberangriff zu identifizieren und darauf zu reagieren.

„Technologieführer, Unternehmen und ihre Vorstände täten gut daran, diesen Entwicklungen Aufmerksamkeit zu schenken und zu erkennen, dass Cyberstrategie eine Geschäftsstrategie ist und das Verständnis von Cyberrisiken Teil einer guten Governance im digitalen Zeitalter ist“, sagte Daniel Dobrygowski, der Leiter von Governance und Vertrauen im Zentrum für Cybersicherheit des Forums.

Das vorgeschlagene Cyber ​​Resilience Act wurde von Branchengruppen wie dem TIC Council begrüßt, einer globalen Organisation, die den unabhängigen Test-, Inspektions- und Zertifizierungssektor abdeckt. „Der Vorschlag ist ein guter erster Schritt in Richtung eines cyberresistenteren Binnenmarkts“, sagte Martin Michelot, Exekutivdirektor des TIC Council für Europa.

Die Gesetzgebung war zuerst hervorgebracht von EU-Kommissionspräsidentin Ursula von der Leyen im November 2021. Wenn das Gesetz vom Europäischen Parlament und vom Europäischen Rat gebilligt wird, haben die EU-Länder zwei Jahre Zeit, um die neuen Regeln anzupassen.

„Digitales Vertrauen ist eine Notwendigkeit in einer globalen Wirtschaft, die auf ständig zunehmende Konnektivität, Datennutzung und neue innovative Technologien angewiesen ist“, sagte Akshay Joshi, Leiter für Industrie und Partnerschaften im Zentrum für Cybersicherheit des Forums. „Da normale Bürger den Technologien, mit denen sie interagieren, zunehmend misstrauisch gegenüberstehen, wird diese Verordnung die Transparenz weiter verbessern und es den Endbenutzern ermöglichen, fundierte Entscheidungen zu treffen.“

Der EU-Cyber-Resilience-Act schließt sich mehreren anderen Gesetzesvorhaben an, die weltweit vorgeschlagen wurden, um die Cyberkriminalität einzudämmen, die laut Cybersecurity Ventures die Weltwirtschaft im Jahr 5.5 2021 Billionen Euro kosten wird. Bis 2025, Schäden durch Cyberkriminalität werden voraussichtlich 10 Billionen € übersteigen.

Anfang dieses Jahres, die Vereinigten Staaten ein neues Gesetz erlassen Stärkung der Offenlegungspflichten zur Cyberkriminalität für Unternehmen, die in kritischen Infrastruktursektoren tätig sind. Die Richtlinie folgte einem großen Ransomware-Angriff im Mai 2021 auf Colonial Pipeline, das das größte Pipelinesystem des Landes für Flugbenzin, Benzin und Diesel betreibt. Der Angriff, der Berichten zufolge über ein altes virtuelles privates Unternehmensnetzwerk gestartet wurde, legte Pipelines an der US-Ostküste lahm und führte zu Colonial Pipeline zahlen Bitcoin im Wert von rund 5 Millionen Dollar an die Hacker. Das US-Justizministerium später erholte sich fast die Hälfte der Lösegeldzahlung.

Heute ist die US-Wertpapieraufsichtsbehörde und für US-Kongress verfolgen auch neue Vorschriften zur Stärkung und Standardisierung von Cybersicherheits-Benchmarks und Anforderungen zur Offenlegung von Cyberkriminalität.

„Regulierung spielt eine wichtige Rolle bei der Förderung von Cyber-Resilienz“, fügte Dobrygowski hinzu.