16. Dezember 2021
IT-Sicherheitsanforderungen drahtlos vernetzt Gerät
Telekommunikationsrecht TMC – Technology, Media & Communications

EU-Kommission initiiert Festlegung von IT-Sicherheitsanforderungen für drahtlose, vernetzte Geräte

Die Europäische Kommission will mittels einer Delegierten Verordnung die Cybersicherheit drahtloser Geräte erhöhen. Was bedeutet dies konkret?

Die Anzahl vernetzter Geräte steigt rasant. Während im Jahr 2015 weltweit ca. 15,4 Milliarden dieser Geräte im Einsatz waren, werden – Schätzungen zufolge – im Jahr 2025 bereits über 75,4 Milliarden vernetzte Geräte zu beruflichen und privaten Zwecken genutzt werden. Die Einführung der 5G-Technologie dürfte diesen Trend im Bereich der drahtlosen Geräte noch verstärken.

Gefahren für die Privatsphäre, personenbezogene Daten, Geschäftsgeheimnisse und IT-Systeme insgesamt

Mit diesem rasanten Anstieg wachsen auch die Risiken, die von nicht hinreichend gesicherten, vernetzten Geräten ausgehen. Drahtlos angebundene, vernetzte Geräte wie Mobiltelefone, Tablets, Laptops, Smartwatches, Smart-Home-Geräte wie Smart Meter und Überwachungssysteme, und auch vernetzte Spielzeuge können ein Einfallstor für Cyberangriffe darstellen. Diese können nicht nur das einzelne Gerät und die auf dem Gerät gespeicherten Informationen, sondern auch andere in einem Netzwerk befindlichen Geräte oder gar ganze Telekommunikationsnetze und IT-Systeme betreffen und in Mitleidenschaft ziehen.

Beim geschäftlichen Einsatz von drahtlosen Geräten befinden sich eine Vielzahl von sensiblen und vertraulichen Informationen auf diesen Geräten. Zum Beispiel betrifft dies Kundenlisten, technische Zeichnungen, Innovationsideen zu neuen Produkten und Vertriebsstrategien. Diese können Geschäftsgeheimnisse darstellen, die bei einer nicht hinreichenden Absicherung der drahtlosen Geräte gefährdet sind. Essenziell ist daher eine robuste technische Absicherung dieser Geräte gegen Cyberattacken.

Cybersicherheitsanforderungen in der Funkanlagenrichtlinie

Die Europäische Funkanlagenrichtlinie (Richtlinie 2014/53/EU), die in Deutschland durch das Funkanlagengesetz umgesetzt wird, normiert die Anforderungen für das Inverkehrbringen drahtloser Geräte in der Europäischen Union und beinhaltet nicht nur Anforderungen in Bezug auf den Gesundheitsschutz der Nutzer, die elektromagnetische Verträglichkeit dieser Geräte und eine effektive und störungsfreie Frequenznutzung.

Hersteller bestimmter Kategorien drahtloser Geräte sollen nach den Vorschriften der zitierten Normtexte auch dazu verpflichtet werden, sicherzustellen, dass die von ihnen in den Verkehr gebrachten Geräte keine schädlichen Auswirkungen auf das Kommunikationsnetz, mit dem sie verbunden sind, oder seinen Betrieb haben und keine missbräuchliche Nutzung von Netzressourcen bewirken können, durch die eine unannehmbare Beeinträchtigung von Diensten verursacht würde. Konkret bedeutet dies zum Beispiel, dass Geräte die Verfügbarkeit von Telekommunikationsdiensten in dem Netz, an das sie angeschlossen sind, nicht beeinträchtigen dürfen. Zudem sollen drahtlose Geräte bestimmter Kategorien über Sicherheitsvorrichtungen verfügen, die sicherstellen, dass personenbezogene Daten und die Privatsphäre der Nutzer geschützt werden, sowie bestimmte Funktionen zum Schutz der Nutzer vor Betrug unterstützen.

Diese in der Funkanlagenrichtline und dem Funkanlagengesetz normierten, abstrakten Anforderungen finden bis dato keine Anwendung auf drahtlose Geräte. Es fehlt an einer Konkretisierung der Anforderungen in technischer Sicht sowie an dem hierfür erforderlichen delegierten Rechtsakt der Europäischen Kommission, der die Kategorien von Geräten bestimmt, für die entsprechende Cybersicherheitsanforderungen gelten sollen. Gleichlaufend finden sich in der Übersicht der unter der Funkanlagenrichtlinie geltenden harmonisierten Normen bis dato keine Normen, die sicherheitstechnische Anforderungen für drahtlose Geräte beinhalten. Dies soll sich nun ändern.

Delegierte Verordnung der Europäischen Kommission soll Cybersicherheit drahtloser Geräte erhöhen

Die Europäische Kommission hat Ende Oktober den Entwurf einer Delegierten Verordnung veröffentlicht, der Angaben der Kommission zufolge künftig dazu beitragen soll, die Netzstabilität zu verbessern, die Privatsphäre der Verbraucherinnen und Verbraucher besser zu schützen und das Betrugsrisiko bei elektronischen Zahlungen zu minimieren.

Eine Konkretisierung der gesetzlichen, sehr abstrakt gehaltenen, grundlegenden Anforderungen, beispielsweise anknüpfend an die unterschiedlichen cybersicherheits­spezifischen Schutzziele, sucht man bei einem ersten Blick in den Entwurf der Delegierten Verordnung jedoch vergeblich. Der verbindliche Normtext lässt eine solche Konkretisierung vermissen und beschränkt sich stattdessen auf eine Festlegung der Kategorien drahtloser Geräte, für die künftig verbindliche Anforderungen im Bereich Cybersicherheit gelten sollen.

Anwendung finden soll die Verordnung grundsätzlich auf alle mit Funktechnologien ausgestatteten Geräte, die über das Internet kommunizieren können (wie beispielsweise Smartphones, Tablets und IoT-Geräte), Spielzeug und Kinderbetreuungsgeräte mit Funkfunktion (wie smarte Kinderspielzeuge und Babymonitore) sowie mit Funktechnologien ausgestattete tragbare Geräte (wie beispielsweise Smartwatches, Fitness-Tracker und Kopfhörer). 

Im Detail erfolgt in Artikel 1 der Delegierten Verordnung folgende Zuordnung von grundlegenden Anforderungen der Funkanlagenrichtlinie zu den genannten Gerätekategorien:

Grundlegende AnforderungenGerätekategorien
Verhinderung schädlicher Auswirkungen auf das Netz oder seinen Betrieb und missbräuchlicher Nutzung von Netzressourcen, wodurch eine unannehmbare Beeinträchtigung des Dienstes verursacht würde (Art. 3 Abs. 3 lit. d) Richtlinie 2014/53/EU)Mit dem Internet verbundene Funkanlagen (= alle Funkanlagen, die selbst über das Internet kommunizieren können, unabhängig davon, ob sie direkt oder über andere Geräte kommunizieren)
Existenz von Sicherheitsvorrichtungen, die sicherstellen, dass personenbezogene Daten und Privatsphäre des Nutzers und Teilnehmers geschützt werden (Art. 3 Abs. 3 lit. e) Richtlinie 2014/53/EU)Folgende Funkanlagen, sofern diese personenbezogene Daten, Verkehrsdaten oder Standortdaten verarbeiten können:Mit dem Internet verbundene FunkanlagenFunkanlagen, die ausschließlich für die Kinderbetreuung konzipiert oder bestimmt sindFunkanlagen, die unter die Spielzeug-Richtlinie 2009/48/EG fallen Funkanlagen, die dazu konzipiert oder bestimmt sind, an Folgendem getragen, festgeschnallt oder befestigt zu werden:einem Teil des menschlichen Körpers,an von Menschen getragenen Kleidungsstücken
Unterstützung bestimmter Funktionen zum Schutz vor Betrug (Art. 3 Abs. 3 lit. f) Richtlinie 2014/53/EU)Mit dem Internet verbundene Funkanlagen, wenn diese dem Besitzer oder Nutzer ermöglichen, Geld, monetäre Werte oder virtuelle Währungen zu übertragen

Vollumfänglich ausgenommen vom Anwendungsbereich sind dagegen Funkanlagen, die Medizinprodukte und In-vitro-Diagnostika (sowie deren Zubehör) nach den einschlägigen Verordnungen darstellen. Für Funkanlagen in Kraftfahrzeugen, elektronische Mautsysteme und Luftfahrzeuge erklärt die Delegierte Verordnung die Anforderungen des Art. 3 Abs. 3 lit. e) und f) Funkanlagenrichtlinie für nicht anwendbar, soweit die genannten Anlagen unter die in der Delegierten Verordnung aufgeführten Rechtsakte fallen. Hintergrund der Ausnahmen ist, dass für diese Funkanlagen cybersicherheitsbezogene Aspekte bereits in den bereichsspezifischen Rechtsakten geregelt werden.

Die grundlegenden Anforderungen dienen mitunter – zwar nicht ausdrücklich, aber letztendlich tatsächlich – auch in gewissem Maße dem Geheimnisschutz. Da sie die drahtlosen Geräte sicherer gegen Cyberangriffe machen, wird das Risiko z.B. bei sowohl privat als auch geschäftlich genutzten drahtlosen Geräten faktisch verringert. Dies fördert die Sicherheit der auf diesen Geräten vorhandenen Geschäftsgeheimnisse. Aufgrund der gesetzlichen Anforderung, „angemessene Geheimhaltungsmaßnahmen″ zum Schutz von Geschäftsgeheimnissen treffen zu müssen, werden Unternehmen aber nicht umhin kommen, die Einhaltung der neuen Sicherheitsanforderungen auf den drahtlosen Geräten ihrer Mitarbeitenden sicherzustellen.

Technische Konkretisierung durch europäische Normungsorganisationen bleibt abzuwarten

Welche konkreten Cybersicherheitsanforderungen die Hersteller von drahtlosen Geräten künftig erfüllen müssen, um diese in der Europäischen Union in den Verkehr bringen zu dürfen, ergibt sich aus der Delegierten Verordnung noch nicht. Die hierfür ausstehende, technische Konkretisierung der grundlegenden Anforderungen in harmonisierten Normen dürfte schon bald den europäischen Normungsorganisationen obliegen. Die Europäische Kommission hat angekündigt, einen entsprechenden Normungsauftrag zu erteilen. 

Dies dürfte nach Ablauf von zwei Monaten ab Annahme der Delegierten Verordnung durch die Europäische Kommission erfolgen. So lange haben das Europäische Parlament und der Rat Zeit, Einwände gegen den Rechtsakt zu erheben. Bleiben Einwände aus, ist mit einer Veröffentlichung der Delegierten Verordnung im Amtsblatt und deren Inkrafttreten 20 Tage nach Veröffentlichung zu rechnen. Da die Delegierte Verordnung einen Übergangszeitraum von 30 Monaten ab Inkrafttreten vorsieht, dürfte jedoch noch etwas Zeit vergehen, bis konkrete Cybersicherheitsanforderungen tatsächlich in der Praxis Anwendung finden.

Aus Herstellersicht gilt es gleichwohl bereits jetzt, die anstehende Ausarbeitung harmonisierter Normen im Blick zu behalten und sich hieran zu beteiligen, um auf eine praxisgerechte und technisch sinnvolle Ausgestaltung der konkreten Anforderungen hinzuwirken. Zudem gilt es, die konkreten Anforderungen frühestmöglich in den Produktentwicklungszyklus einfließen zu lassen, so dass im Zeitpunkt der (erstmaligen) Anwendung der neuen Vorgaben diese in den in Verkehr zu bringenden Geräten bereits umgesetzt sind.

Tags: drahtlos Gerät IT-Sicherheitsanforderungen vernetzt


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.