VdTÜV-Position zum Cybersecurity Act der EU-Kommission veröffentlicht: „Das Internet der Dinge muss Teil der europäischen Produktregulierung werden!“

+++ VdTÜV begrüßt Cybersecurity Act +++ Digital-TÜV für IT-Sicherheit im Internet der Dinge +++ VdTÜV fordert verpflichtende Prüfung von Produkten mit hohem Sicherheitsrisiko +++
Robot-IoT-AT-Künstliche-Intelligenz
Humanoid robot Pepper (Photo by Alex Knight on Unsplash)

Zum Verordnungsentwurf der EU-Kommission zur Zertifizierung im Internet der Dinge (IoT) äußert sich der Geschäftsführer des Verbandes der TÜV e.V. Joachim Bühler: „Die jüngsten Sicherheitslücken in Hardware-Chips, Kinderspielzeug und W-LAN-Routern haben noch einmal deutlich gemacht, wie wichtig IT-Sicherheit für Wirtschaft und Gesellschaft ist. Wir brauchen einen Digital-TÜV, der unabhängig sogenannte IoT-Geräte verpflichtend prüft!“ Der von der EU-Kommission vorgeschlagene Cybersecurity Act sei dafür ein Schritt in die richtige Richtung. Der VdTÜV fordert aber Nachbesserung.

„Freiwillige Überprüfung reicht bei sicherheitsrelevanten Produkten nicht mehr aus. Verbraucher und Industrie brauchen Orientierung bei Cybersicherheit. Deshalb muss das Internet der Dinge Teil der europäischen Produktregulierung werden und besonders sicherheitsrelevante Produkte müssen verpflichtend überprüft und zertifiziert werden“, erläutert Bühler. Nur ein beständiger Zertifizierungsrahmen auf Grundlage einheitlicher Binnenmarktvorschriften ermögliche, dass digitale Produkte und Dienste bei Markteintritt und während des gesamten Produktlebenszyklus sicher bleiben.

Als Teil der europäischen Cybersicherheitsstrategie 2017 hat die EU-Kommission den Entwurf der Verordnung "Cybersecurity Act" veröffentlicht. Ein einheitlicher europäischer Rahmen für die Zertifizierung von IoT-Produkten schafft Vertrauen in die Sicherheit von Produkten und erhöht das grundsätzliche Cybersicherheitsniveau im Markt, so Bühler. „Etablierte europäische Zertifikate, wie das GS-Zeichen, sind zudem international anerkannt und bürgen für hohe Qualität.“

Der VdTÜV fordert in seinem jetzt vorgelegten Positionspapier aber noch mehr Mut von der EU-Kommission. „Wir brauchen einen europäischen Weg bei Cybersicherheit. Dazu müssen wir definieren, was zur nationalen Sicherheit zählt und damit staatliche Aufgabe ist, und was im digitalen Massenmarkt von unabhängigen Dritten wie den TÜV-Organisationen geprüft werden soll.“ Der europäische Weg, der sogenannte "New Legislative Framework", bedeutet keine reine staatliche Überprüfung von Sicherheit wie etwa in China und auch keine reine Herstellerselbsterklärung wie in den USA. In Europa hat sich die unabhängige Drittprüfung als effizientes und nachhaltiges Instrument bewährt. „Mit der unabhängigen Drittprüfung können wir schnell und unkompliziert digitale Innovationen sicher machen und Verbrauchern und Industrie Orientierung geben“, so Bühler weiter.

Außerdem tritt der TÜV dafür ein, Zugang zu Daten bei digitalen Produkten für Sicherheitsprüfungen vorzusehen. Die Sicherheitsrisiken bestehen bei intelligenten digitalen Produkten nicht nur in dem Produkt selbst, sondern zunehmend in der Cloud, über die ein Gerät gesteuert wird. „Die TÜV-Prüfung muss daher über das reine Produkt hinausgehen und auch Steuerungssoftware oder Datenmanagementsysteme umfassen.“

VdTÜV-Positionspapier zum Verordnungsentwurf