Entwicklung der Cyber-Sicherheitszertifizierung in der EU – mehr Unsicherheit durch „Sicherheit für alle“?
von , veröffentlicht am 09.12.2018Dennis-Kenji Kipker/Dario Scholz
Nachdem am 29. Mai 2018 der Rat der Europäischen Union seinen „Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die "EU-Cybersicherheitsagentur" (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik ("Rechtsakt zur Cybersicherheit")“ – kurz: „Cybersecurity-Verordnung“ – vorgestellt hat, ist einige Zeit ins Land gegangen. Grund mehr, auch in Anbetracht des nahenden Abschlusses des Gesetzgebungsverfahrens einige Überlegungen zu einem der wesentlichen Eckpunkte des Entwurfes anzustellen – nämlich der viel diskutierten Cyber-Sicherheitszertifizierung.
In diesem Zusammenhang sieht der Verordnungsentwurf erstmals vor, ein europaweit vereinheitlichtes System zur IT-Sicherheitszertifizierung von IKT-Prozessen, -Produkten und -Diensten zu implementieren, worunter insbesondere auch Geräte des Internet-of-Things (IoT) fallen. Unterschieden werden kann dabei zwischen der Selbstbewertung der Konformität durch den Hersteller oder Anbieter sowie der Drittzertifizierung. Nur falls IKT-Dienste oder -Produkte im Zusammenhang mit Kritischen Infrastrukturen betrieben werden, ist die Zertifizierung verpflichtend, anderenfalls erfolgt diese auf freiwilliger Basis des jeweiligen Unternehmens. Für die freiwillige Zertifizierung wird zwischen den drei Anforderungsniveaus „niedrig“, „mittel“ und „hoch“ unterschieden. Die Selbstbewertung durch den Hersteller oder Diensteanbieter ist nur für das Zertifizierungsniveau der Sicherheitsstufe „niedrig“ möglich. Für eine freiwillige Zertifizierung der Stufe „mittel“ oder „hoch“ ist die Zertifizierung demgegenüber durch einen unabhängigen Dritten durchzuführen.
Der Verordnungsvorschlag sieht in Konkretisierung der Anforderungen an die Cyber-Sicherheitszertifizierung verschiedene prozessuale Vorgaben vor, die gemäß den Stufen der einzelnen Zertifizierungsniveaus gestaffelt sind. Strebt ein Hersteller etwa die Zertifizierung der Stufe „niedrig“ an, so wird eine Überprüfung der technischen Dokumentation des zu zertifizierenden Produkts durch das Unternehmen selbst vorgeschlagen, wobei dieses Vorgehen für die beiden anspruchsvolleren Zertifizierungsniveaus sukzessiv um zusätzliche Maßnahmen erweitert wird. So soll, bezogen auf die Stufe „mittel“, der Zertifizierungsprozess durch eine Überprüfung der technischen Dokumentation erweitert werden. Ein tatsächlicher Wirksamkeitstest der im Produkt vorhandenen Sicherheitsmechanismen ist dagegen erst für die Zertifizierung mit dem Niveau „hoch“ vorgesehen. Zur Förderung des Verbraucherschutzes soll der Hersteller im Falle der Selbstzertifizierung auf die eigenständige Konformitätserklärung hinweisen. Damit die Selbstzertifizierung aber auch in der Praxis tatsächlich nachweisbar ist, unterliegen ihre Resultate der Überwachung und Kontrolle der nationalen Cyber-Sicherheitsbehörden.
Letztlich wird man feststellen müssen, dass genau dieses zunächst marktfördernd erscheinende Konzept eines freiwilligen EU-Zertifizierungsrahmens zur Cybersecurity Anlass zur Kritik bietet. Zwar ist es grundsätzlich begrüßenswert, dass ein System der Zertifizierung von IKT-Produkten, -Diensten und -Prozessen geschaffen werden soll, das konkrete Anforderungen an die jeweiligen Zertifizierungsstufen enthält. Ein solcher Zertifizierungsrahmen würde durch seine Freiwilligkeit aber letztlich die Zertifizierung von Infrastrukturen, die nicht dem KRITIS-Sektor zugehörig sind, untergraben. Der Rat der EU setzt als im Ergebnis unzureichende Prämisse voraus, dass die IT-Sicherheitszertifizierung als durchschlagendes Verkaufsargument dient. Die Hersteller würden deshalb bereits aus ökonomischen Gründen eine freiwillige Zertifizierung durchführen. Die diesem Argument innewohnende Logik setzt jedoch voraus, dass die Verbraucher tatsächlich den Nutzen einer solchen IT-Sicherheitszertifizierung von sich aus erkennen und – weiter noch – sich diese Erkenntnis gleichsam in den Willen überträgt, ein möglicherweise teureres, aber sicherheitszertifiziertes IoT-Produkt einem nicht zertifizierten Produkt oder Dienst vorzuziehen. Selbst wenn diese grundsätzlich fragwürdige Annahme zutrifft, dürfte es für den zumeist IT-sicherheitsunerfahrenen Verbraucher schwierig sein, zwischen Zertifizierungen durch im Wesentlichen anforderungslose Selbstbewertung und solchen durch anspruchsvollen Dritt-Stellen zu unterscheiden, mit dem widersinnigen Resultat, dass ein breit gefächertes, zunächst attraktiv erscheinendes Zertifizierungsfenster zu einer Verringerung des Vertrauens in entsprechend ausgestellte Gütesiegel führt. Das Gütesiegel der Stufe „niedrig“ torpediert auf diese Weise letztlich anspruchsvollere Zertifizierungsrahmen zur IT-Sicherheit – und das auch über die EU Cybersecurity-Verordnung hinaus. Unter diesem Gesichtspunkt sollte die bisherige, allgemein weitestgehend positive Bewertung der vorgeschlagenen europäischen Cyber-Sicherheitszertifizierung nochmals überdacht werden.
UPDATE vom 11.12.2018: Manchmal geht es schneller, als man denkt: In der vergangenen Nacht wurde die politische Einigung zur Cybersecurity-Verordnung erzielt - zum letztmöglichen Termin in diesem Jahr. Inhaltlich blieb das hier diskutierte freiwillige Zertifizierungsmodell aber bestehen.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
