Internet of Things - Das “Internet der Sachen” wird bald besser reguliert

In den USA mag man sich durch potenzielle Tech-Vorschriften quälen, aber in der Europäischen Union stürzen sich die Regulierungsbehörden weiterhin kopfüber in die Zügelung der Technologie.

Nach wegweisenden Gesetzen wie der Datenschutz-Grundverordnung (DSGVO), die 2018 in Kraft trat, und dem Digital Services Act, der Anfang des Monats endgültig verabschiedet wurde, wendet die EU nun ihre Aufmerksamkeit den vielen Geräten zu, die das Internet der Dinge ausmachen.

Welche Daten werden genutzt - und wer sollte das wissen

Die Europäische Kommission schlug Mitte September den Cyber Resilience Act vor, der stärkere Cybersicherheitsmaßnahmen für IoT-Geräte vorschreiben würde. Insbesondere sollen Hersteller von vernetzten Geräten verpflichtet werden, im Falle eines Cyberangriffs Behörden und Kunden gleichermaßen zu informieren und in der Lage sein, schnell auf Vorfälle zu reagieren.

Das Gesetz wäre die erste Cybersicherheitsverordnung der EU für die IoT-Branche, deren Wert im Vorschlag auf fast 1,5 Billionen Euro geschätzt wird. Das sind “Smarte” Küchengeräte wie ein Kühlschrank oder eine Kaffeemaschine, welche über das Internet verbunden sind; auch eine Livestreaming-Dashcam ist damit gemeint. Sollte das Gesetz verabschiedet werden, hätte dies Auswirkungen auf multinationale Unternehmen, die in der EU tätig sind, und könnte möglicherweise zu ähnlichen Maßnahmen in den USA führen, so Madeline Cheah, leitende Sicherheitstechnologin bei der Technologieberatungsfirma Cambridge Consultants, ähnlich wie bei dem von der DSGVO inspirierten kalifornischen Datenschutzgesetz.

"Ein Gesetz, das sicherstellt, dass man angeben muss, welche Art von Daten ein Gerät sammelt, wäre für die Kunden sehr nützlich und würde auch die Hersteller dazu bringen, darauf zu achten, welche Art von Daten sie sammeln", sagte Vijay Prakash, Forscher an der Tandon School of Engineering der New York University. "In gewisser Weise ist es ein großartiges Sprungbrett für die DSGVO."

Abschätzung der Auswirkungen

Die vorgeschlagene Gesetzgebung ist ein Versuch, die Cyberkriminalität zu bekämpfen, die laut einer Folgenabschätzung der Europäischen Kommission bis 2021 weltweit jährlich 5,5 Billionen Euro kosten wird.

Im Falle einer Verabschiedung würde das Gesetz 2024 in Kraft treten, was laut Prakash genügend Zeit für die Unternehmen sein sollte, sich auf die neuen Regeln einzustellen. Prakash betonte jedoch, dass die Regierung ihrerseits die notwendige Infrastruktur schaffen muss, um die Einhaltung der Vorschriften zu gewährleisten.

Der Vorschlag schätzt, dass die Einhaltung der Vorschriften Softwareentwickler und Hardwarehersteller "insgesamt 29 Milliarden Euro kosten wird, und sieht vor, dass die Nichteinhaltung der grundlegenden Cybersicherheitsanforderungen" zu Geldstrafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Vorjahresumsatzes führen wird, je nachdem, welcher Betrag höher ist. Darüber hinaus ist die Europäische Kommission befugt, Geräte zurückzurufen oder zu verbieten, wenn sie nicht den Vorschriften entsprechen.

Die USA verfügen zwar nicht über eine umfassende IoT-Verordnung wie die in der EU vorgeschlagene, haben aber Ende 2020 ein Gesetz verabschiedet, das Cybersicherheitsstandards für IoT-Geräte festlegt, die von der Regierung gekauft werden.

Cheah sagte, dass Unternehmen die von der EU vorgeschlagenen Vorschriften als Möglichkeit nutzen könnten, das Vertrauen der Kunden in ihre Produkte zu gewinnen.

"Es geht darum, es eher als eine Investition zu betrachten. Es geht nicht nur darum, dass es eine zusätzliche Aufgabe ist, sondern auch darum, das Vertrauen der Kunden zu gewinnen, und alles, was das Vertrauen der Kunden gewinnt, ist gut", sagte Cheah.

Die Thales Group, ein französischer multinationaler IoT-Hersteller für die Luft- und Raumfahrt- sowie die Verteidigungsindustrie, erklärte in einer per E-Mail verschickten Erklärung von Sprecher Matthew Cox, dass sie solche EU-Vorschriften, die darauf abzielen, die Cybersicherheitsfunktionen von IoT-Geräten zu verbessern, positiv begrüße und gut positioniert sei, um jedes Unternehmen zu unterstützen, das eine Cybersicherheitsstrategie umsetzen möchte.

"Verordnungen sind wichtig, um Orientierung zu geben", schrieb Cox. "Unsere Experten antizipieren Vorschriften und sind Teil mehrerer Arbeitsgruppen für Sicherheitsstandards."

Cheah sagte auch, dass Vorschriften wie diese den Unternehmen, die in Cybersicherheit investieren wollen, die dringend benötigte Klarheit verschaffen können.

"Was die Verordnung tatsächlich schafft, ist Klarheit, weil das IoT so breit und weitreichend ist und so viele verschiedene Technologien umfasst", sagte Cheah. "Vor allem, wenn ein Unternehmen zum Beispiel neu in diesem Bereich ist oder in der Vergangenheit Investitionen getätigt hat, aber nicht wusste, in welche Richtung es weiter investieren oder in welchen Markt es sich bewegen sollte, kann eine Regulierung diese Klarheit schaffen."