vor 4 Stunden
1
Dominik Merli ist Professor für IT-Sicherheit an der Technischen Hochschule Augsburg und leitet dort das Institut für innovative Sicherheit. Auf seinem Youtube-Kanal @ProfMerli klärt er über Cybersicherheit auf. Großen Zuspruch erhielt seine Parodie von „Gangsta’s Paradise“ des US-Musikers Coolio, das er zusammen mit seinem Alter Ego MC Black Hat veröffentlichte.
Herr Professor Merli, wollen wir zuerst über Hip-Hop oder IT-Sicherheit sprechen?
Wir können gerne mit dem trockenen Teil der Cybersicherheit starten.
Vielleicht können Sie kurz ausführen, was der Cyber Resilience Act ist.
Durch den Cyber Resilience Act sollen Produkte sicherer werden. Es geht nicht um die IT-Sicherheit im Unternehmen, sondern um Produkte, die ab Dezember 2027 in der EU verkauft werden. Hersteller müssen beispielsweise eine Risikoanalyse durchführen, sich also Gedanken machen, welche Bedrohungen es für ihr Produkt gibt. Auch was den Support angeht, müssen sie angeben, wie lange sie künftig Sicherheitsupdates bereitstellen werden. Das Ziel all dessen ist, dass wir in der ganzen Gesellschaft auf ein höheres Cybersicherheits-Niveau kommen.
Das Thema ist nicht neu. Wieso gibt es erst jetzt ein EU-Gesetz dafür?
Man hat immer gehofft, dass der Markt das regeln wird. Aber es sind heute noch viel zu wenige Produkte standardmäßig mit Cybersicherheit ausgestattet und die Bedrohungslage nimmt zu.
Was sind typische Bedrohungsszenarien?
Angreifer agieren wie mittelständische Unternehmen. Sie verdienen ihr Geld durch Cyberangriffe. Meist werden Daten von Unternehmen oder Privatpersonen verschlüsselt und erst gegen Geld wieder freigegeben. Oder unsichere Geräte werden von außen übernommen und von Kriminellen an potentielle Angreifer vermietet. Das passierte beispielsweise mit vernetzten IP-Kameras und Videorekordern. Es geht also nicht nur um die Erbeutung von Daten, die geheim bleiben sollten. Sicherheit bedeutet auch Schutz vor Sabotage. In der heutigen Autofertigung könnte die Produktion manipuliert werden, indem der aufgetragene Lack dünner eingestellt wird, ohne dass es wer merkt. Die Autos rollen vom Band und am Ende sind Tausende davon auf der Straße, die deutlich früher rosten, was enorme finanzielle Schäden erzeugt. Die dritte Bedrohung sind Cyberangriffe auf Dienste, auf die wir angewiesen sind. Wenn beispielsweise Behördensysteme oder der Strom ausfallen, entstehen große Schäden.
Wo besteht aktuell sicherheitspolitischer Verbesserungsbedarf?
Unternehmen müssen für ihre Sicherheitslücken Verantwortung übernehmen. Der Cyber Resilience Act schreibt ein Schwachstellenmanagement vor. Ob das Erfolg hat, wird sich zeigen. Ein anderes Thema ist die Kriminalisierung engagierter Nutzer. In Deutschland gibt es den sogenannten Hacker-Paragraphen, der keine Unterscheidung zwischen Sabotageakten und dem guten Willen kennt. Wenn Forscher oder Entwickler eine Sicherheitslücke entdecken und diese dem Hersteller melden, erhalten sie gegebenenfalls Anwaltsbriefe. Da wünschen wir uns, dass die Politik diese Menschen, die im Interesse der Gesellschaft Schwachstellen aufdecken, endlich schützt.
Der Cyber Resilience Act trifft Unternehmen. Was können Verbraucher tun?
Überprüfen, welche digitalen Geräte man im Haus hat und was passieren würde, wenn diese ausfallen. Das betrifft vor allem Smart-Home-Geräte, wie die Steuerung der Lüftungsanlage oder der Rollläden, aber auch Videokameras und Router. Auch bei der Kaufentscheidung sollte Cybersicherheit eine Rolle spielen.
Wieso wählen Sie Youtube, um auf das Thema aufmerksam zu machen?
Cybersicherheit ist oft negativ belegt. Durch die Kombination von videobasiertem Lernen mit Musik, die ja doch positive Emotionen hervorrufen kann, will ich das ändern. Auch weil ich feststelle, dass in den Medien die EU-Verordnung über künstliche Intelligenz sehr viel Aufmerksamkeit erhalten hat, während der Cyber Resilience Act vollkommen unbekannt ist, obwohl er in der EU alle Produkte betrifft, die in irgendeiner Weise digitale Elemente enthalten.
English (US) ·