Die Europäische Kommission will mittels einer Delegierten Verordnung die Cybersicherheit drahtloser Geräte erhöhen. Was bedeutet dies konkret?
Die Anzahl vernetzter Geräte steigt rasant. Während im Jahr 2015 weltweit ca. 15,4 Milliarden dieser Geräte im Einsatz waren, werden – Schätzungen zufolge – im Jahr 2025 bereits über 75,4 Milliarden vernetzte Geräte zu beruflichen und privaten Zwecken genutzt werden. Die Einführung der 5G-Technologie dürfte diesen Trend im Bereich der drahtlosen Geräte noch verstärken.
Gefahren für die Privatsphäre, personenbezogene Daten, Geschäftsgeheimnisse und IT-Systeme insgesamt
Mit diesem rasanten Anstieg wachsen auch die Risiken, die von nicht hinreichend gesicherten vernetzten Geräten ausgehen. Drahtlos angebundene, vernetzte Geräte wie Mobiltelefone, Tablets, Laptops, Smartwatches, Smart-Home-Geräte wie Smartmeter oder Überwachungssysteme und auch vernetzte Spielzeuge können ein Einfallstor für Cyberangriffe darstellen. Diese können nicht nur das einzelne Gerät und die auf dem Gerät gespeicherten Informationen, sondern auch andere in einem Netzwerk befindlichen Geräte oder gar ganze Telekommunikationsnetze und IT-Systeme betreffen und in Mitleidenschaft ziehen.
Beim geschäftlichen Einsatz von drahtlosen Geräten befindet sich eine Vielzahl von sensiblen und vertraulichen Informationen auf diesen Geräten. Zum Beispiel betrifft dies Kundenlisten, technische Zeichnungen, Innovationsideen zu neuen Produkten und Vertriebsstrategien. All dies kann Geschäftsgeheimnisse darstellen, die bei einer nicht hinreichenden Absicherung der drahtlosen Geräte gefährdet sind. Essenziell ist daher eine robuste technische Absicherung dieser Geräte gegen Cyberattacken.
Cybersicherheitsanforderungen in der Funkanlagenrichtlinie
Die Europäische Funkanlagenrichtlinie (Richtlinie 2014/53/EU), die in Deutschland durch das Funkanlagengesetz umgesetzt wird, normiert die Anforderungen für das Inverkehrbringen drahtloser Geräte in der Europäischen Union und beinhaltet nicht nur Anforderungen in Bezug auf den Gesundheitsschutz der Nutzer*, die elektromagnetische Verträglichkeit dieser Geräte und eine effektive und störungsfreie Frequenznutzung.
Hersteller bestimmter Kategorien drahtloser Geräte sollen nach den Vorschriften der zitierten Normtexte auch dazu verpflichtet werden, sicherzustellen, dass die von ihnen in den Verkehr gebrachten Geräte keine schädlichen Auswirkungen auf das Kommunikationsnetz, mit dem sie verbunden sind, oder seinen Betrieb haben und keine missbräuchliche Nutzung von Netzressourcen bewirken können, durch die eine unannehmbare Beeinträchtigung von Diensten verursacht würde. Konkret bedeutet dies z.B., dass Geräte die Verfügbarkeit von Telekommunikationsdiensten in dem Netz, an das sie angeschlossen sind, nicht beeinträchtigen dürfen. Zudem sollen drahtlose Geräte bestimmter Kategorien über Sicherheitsvorrichtungen verfügen, die gewährleisten, dass personenbezogene Daten und die Privatsphäre der Nutzer geschützt werden, und die bestimmte Funktionen zum Schutz der Nutzer vor Betrug unterstützen.
Diese in der Funkanlagenrichtlinie und dem Funkanlagengesetz normierten, abstrakten Anforderungen finden bis dato keine Anwendung auf drahtlose Geräte. Es fehlt an einer Konkretisierung der Anforderungen in technischer Sicht sowie an dem hierfür erforderlichen delegierten Rechtsakt der Europäischen Kommission, der die Kategorien von Geräten bestimmt, für die entsprechende Cybersicherheitsanforderungen gelten sollen. Gleichlaufend finden sich in der Übersicht über die unter der Funkanlagenrichtlinie geltenden harmonisierten Normen bis dato keine Normen, die sicherheitstechnische Anforderungen für drahtlose Geräte beinhalten. Dies soll sich nun ändern.
Delegierte Verordnung der Europäischen Kommission soll Cybersicherheit drahtloser Geräte erhöhen
Die Europäische Kommission hat Ende Oktober letzten Jahres den Entwurf einer Delegierten Verordnung veröffentlicht, die Angaben der Kommission zufolge künftig dazu beitragen soll, die Netzstabilität zu verbessern, die Privatsphäre der Verbraucher besser zu schützen und das Betrugsrisiko bei elektronischen Zahlungen zu minimieren.
Eine Konkretisierung der gesetzlichen, sehr abstrakt gehaltenen, grundlegenden Anforderungen, bspw. anknüpfend an die unterschiedlichen cybersicherheitsspezifischen Schutzziele, sucht man bei einem ersten Blick in den Entwurf der Delegierten Verordnung jedoch vergeblich. Der verbindliche Normtext lässt eine solche Konkretisierung vermissen und beschränkt sich stattdessen auf eine Festlegung der Kategorien drahtloser Geräte, für die künftig verbindliche Anforderungen im Bereich Cybersicherheit gelten sollen.
Anwendung finden soll die Verordnung grds. auf alle mit Funktechnologien ausgestatteten Geräte, die über das Internet kommunizieren können (wie bspw. Smartphones, Tablets und IoT-Geräte), auf Spielzeug und Kinderbetreuungsgeräte mit Funkfunktion (wie bspw. smarte Kinderspielzeuge und Babymonitore) sowie auf mit Funktechnologien ausgestattete tragbare Geräte (wie bspw. Smartwatches, Fitness-Tracker und Kopfhörer).
Im Detail erfolgt in Art. 1 der Delegierten Verordnung die nachstehende Zuordnung von grundlegenden Anforderungen der Funkanlagenrichtlinie zu den genannten Gerätekategorien:
| Grundlegende Anforderungen | Gerätekategorien |
| Verhinderung schädlicher Auswirkungen auf das Netz oder seinen Betrieb und missbräuchlicher Nutzung von Netzressourcen, wodurch eine unannehmbare Beeinträchtigung des Dienstes verursacht würde (Art. 3 Abs. 3 lit. d) Richtlinie 2014/53/EU) | Mit dem Internet verbundene Funkanlagen (= alle Funkanlagen, die selbst über das Internet kommunizieren können, unabhängig davon, ob sie direkt oder über andere Geräte kommunizieren) |
| Existenz von Sicherheitsvorrichtungen, die sicherstellen, dass personenbezogene Daten und Privatsphäre des Nutzers und Teilnehmers geschützt werden (Art. 3 Abs. 3 lit. e) Richtlinie 2014/53/EU) | Folgende Funkanlagen, sofern diese personenbezogene Daten, Verkehrsdaten oder Standortdaten verarbeiten können: – Mit dem Internet verbundene Funkanlagen. – Funkanlagen, die ausschließlich für die Kinderbetreuung konzipiert oder bestimmt sind. – Funkanlagen, die unter die Spielzeug-Richtlinie 2009/48/EG fallen. – Funkanlagen, die dazu konzipiert oder bestimmt sind, an Folgendem getragen, festgeschnallt oder befestigt zu werden: einem Teil des menschlichen Körpers, an von Menschen getragenen Kleidungsstücken |
| Unterstützung bestimmter Funktionen zum Schutz vor Betrug (Art. 3 Abs. 3 lit. f) Richtlinie 2014/53/EU) | Mit dem Internet verbundene Funkanlagen, wenn diese dem Besitzer oder Nutzer ermöglichen, Geld, monetäre Werte oder virtuelle Währungen zu übertragen |
Vollumfänglich ausgenommen vom Anwendungsbereich sind dagegen Funkanlagen, die Medizinprodukte und In-vitro-Diagnostika (sowie deren Zubehör) nach den einschlägigen Verordnungen darstellen. Für Funkanlagen in Kraftfahrzeugen, elektronische Mautsysteme und Luftfahrzeuge erklärt die Delegierte Verordnung die Anforderungen des Art. 3 Abs. 3 lit. e und f Funkanlagenrichtlinie für nicht anwendbar, soweit die genannten Anlagen unter die in der Delegierten Verordnung aufgeführten Rechtsakte fallen. Hintergrund der Ausnahmen ist, dass für diese Funkanlagen cybersicherheitsbezogene Aspekte bereits in den bereichsspezifischen Rechtsakten geregelt werden.
Die grundlegenden Anforderungen dienen mitunter – zwar nicht ausdrücklich, aber letztendlich tatsächlich – auch in gewissem Maße dem Geheimnisschutz. Da sie die drahtlosen Geräte sicherer gegenüber Cyberangriffen machen, wird das Risiko z.B. bei sowohl privat als auch geschäftlich genutzten drahtlosen Geräten faktisch verringert. Dies fördert die Sicherheit der auf diesen Geräten vorhandenen Geschäftsgeheimnisse. Aufgrund der gesetzlichen Anforderung, „angemessene Geheimhaltungsmaßnahmen“ zum Schutz von Geschäftsgeheimnissen zu treffen, werden Unternehmen aber nicht umhinkommen, die Einhaltung der neuen Sicherheitsanforderungen auf den drahtlosen Geräten ihrer Mitarbeitenden zu gewährleisten.
Technische Konkretisierung durch europäische Normungsorganisationen bleibt abzuwarten
Welche konkreten Cybersicherheitsanforderungen die Hersteller von drahtlosen Geräten künftig erfüllen müssen, um diese in der Europäischen Union in Verkehr bringen zu dürfen, ergibt sich aus der Delegierten Verordnung noch nicht. Die hierfür ausstehende technische Konkretisierung der grundlegenden Anforderungen in harmonisierten Normen dürfte schon bald den europäischen Normungsorganisationen obliegen. Die Europäische Kommission hat angekündigt, einen entsprechenden Normungsauftrag zu erteilen.
Dies dürfte nach Ablauf von zwei Monaten ab Annahme der Delegierten Verordnung durch die Europäische Kommission erfolgen. So lange haben das Europäische Parlament und der Europäische Rat Zeit, Einwände gegen den Rechtsakt zu erheben. Bleiben Einwände aus, ist mit einer Veröffentlichung der Delegierten Verordnung im Amtsblatt und deren Inkrafttreten 20 Tage nach Veröffentlichung zu rechnen. Da die Delegierte Verordnung einen Übergangszeitraum von 30 Monaten ab Inkrafttreten vorsieht, dürfte jedoch noch etwas Zeit vergehen, bis konkrete Cybersicherheitsanforderungen tatsächlich in der Praxis Anwendung finden.
Aus Herstellersicht gilt es gleichwohl bereits jetzt, die anstehende Ausarbeitung harmonisierter Normen im Blick zu behalten und sich hieran zu beteiligen, um auf eine praxisgerechte und technisch sinnvolle Ausgestaltung der konkreten Anforderungen hinzuwirken. Zudem sollten die Hersteller die konkreten Anforderungen frühestmöglich in den Produktentwicklungszyklus einfließen lassen, sodass diese im Zeitpunkt der (erstmaligen) Anwendung der neuen Vorgaben in den in Verkehr zu bringenden Geräten bereits umgesetzt sind.
Update #1: Wirksamwerden der neuen Anforderungen im Jahr 2024
Die Delegierte Verordnung der Europäischen Kommission wurde am 12. Januar 2022 im Amtsblatt der Europäischen Union veröffentlicht und trat am 1. Februar 2022 in Kraft. Art. 3 der Delegierten Verordnung sieht ein Wirksamwerden der neuen Anforderungen zum 1. August 2024 vor.
Update #2: Mandat für die Ausarbeitung der technischen Spezifikationen
Die Europäische Kommission hat den europäischen Normungsorganisationen CEN und CENELEC mit Durchführungsbeschluss vom 5. August 2022 das Mandat für die Ausarbeitung der technischen Spezifikationen für die vorstehend genannten Gerätekategorien erteilt.
Als Deadline für die Annahme der drei harmonisierten Normen ist in Annex I des Durchführungsbeschlusses der 30. September 2023 vorgesehen. Für die Umsetzung der Anforderungen bis zum Wirksamwerden der Delegierten Verordnung verbleiben sodann nur noch 10 Monate.
Update #3: Wirksamwerden der neuen Anforderungen verschoben auf 1. August 2025
Angesichts der nach wie vor laufenden Ausarbeitung der harmonisierten Normen durch CEN und CENELEC hat die Europäische Kommission den Zeitpunkt des Wirksamwerdens der neuen Anforderungen mittels Delegierter Verordnung 2023/2444 vom 20. Juli 2023 um ein Jahr auf den 1. August 2025 verschoben. Die Annahme der harmonisierten Normen ist nunmehr bis zum 30. Juni 2024 vorgesehen (siehe Durchführungsbeschluss der Europäischen Kommission vom 23. August 2023, C(2023)5624).
Die vorliegend nicht mit der Normung beauftragte Standardisierungsorganisation ETSI hat zwischenzeitlich in Gestalt der TS 103 929, Version 1.2.1, 2023-05) eine technische Spezifikation veröffentlicht, in der den neuen Cybersicherheitsanforderungen der Funkanlagenrichtlinie die Spezifikationen der existierenden Cybersicherheits-Standards ETSI EN 303 645 (Version 2.1.1) und IEC 62443-4-2:2019 zugeordnet werden. Dieses Mapping kann dabei helfen, einen ersten Eindruck über die potenziell zu erwartenden technischen Anforderungen zu gewinnen (wobei davon auszugehen ist, dass die künftigen Anforderungen über die vorgenannten Standards hinausgehen werden).
*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.
