Fünfjahresplan
EU nimmt Hersteller länger in die Verantwortung
Der Cyber Resilience Act (CRA) verpflichtet Hersteller, ab 2027 mindestens fünf Jahre lang Sicherheitsupdates für Produkte bereitzustellen, die mit dem Internet verbunden sind.
Nicht nur Computer und Smartphones, sondern auch Kühlschränke oder Waschmaschinen sind immer häufiger mit dem Internet verbunden und bisweilen sogar darauf angewiesen. Doch sobald der Hersteller die Softwareunterstützung einstellt, schauen Verbraucher in die Röhre: Obwohl das Gerät mechanisch noch einwandfrei funktioniert, kann es ohne Sicherheitsupdate nicht mehr gefahrlos genutzt werden, weil Angreifer durch die Lücken in die heimischen Netzwerke eindringen könnten. Der bekannteste Fall ist das Mirai-Botnetz, das seit 2016 weltweit Millionen ungesicherter Webcams, Rauchmelder und anderer IoT-Geräte für DDoS-Angriffe kaperte.
Die EU nimmt die Hersteller künftig stärker in die Pflicht, um Kriminellen den Aufbau solcher Botnetze zu erschweren. Der neue Cyber Resilience Act (CRA) sieht vor, dass Hersteller ab 2027 für die meisten Geräte und Softwareprogramme mindestens fünf Jahre lang Sicherheitsupdates bereitstellen müssen. Die Frist beginnt jedoch nicht mit dem Kaufdatum, sondern mit der ersten Veröffentlichung einer Software oder dem ersten Inverkehrbringen eines Produkts in der EU. Wenn Sie also einen vier Jahre alten Ladenhüter kaufen, muss der Hersteller nur noch ein weiteres Jahr Sicherheitsupdates bereitstellen. Die Sicherheit muss bereits zum Zeitpunkt der Veröffentlichung gewährleistet sein. Dazu sollen Programme und Geräte bei der ersten Inbetriebnahme automatisch die neueste Version herunterladen.