Folge 2: Warum es den CRA gibt.
Feierabend, TV einschalten und die Tagesschau streamen. Der neue Fernseher läuft mit dem Android-Betriebssystem. Plötzlich bekommen sie von Ihrem Provider eine E-Mail, die ihnen mitteilt, dass eins ihrer Geräte im Netz korrumpiert sei. BadBox 2.0 hat offenbar zugeschlagen. Sie ärgern sich. Denn der smarte Bildgeber war ein extrem verlockendes Sonderangebot. Die Marke kannten sie nicht, und als sie im Netz danach suchten, gab es nicht einmal eine Webseite. Also suchen sie alle Informationen zu der Bedrohung. Und nun wissen Sie, dass ab Werk die Installation von Software jenseits des Playstores erlaubt war. Geht eigentlich gar nicht. Eine solche Einstellung wird nicht für durchschnittliche Nutzende empfohlen. Diese aber schlich sich im vergangenen Jahr in Zehntausende von Geräten ein und fügte per Schadsoftware das IoT-Gerät einem Botnetz zu. Man kann sich vorstellen, welchen Schaden das verursachen kann.
Plausible Notwendigkeit
Eigentlich könnte man an dieser Stelle mit dem Text aufhören. Denn es ist umgehend plausibel, dass ein Hersteller fahrlässig handelt, wenn er Geräte in Umlauf bringt, die ab Werk unsicher sind. Google, Hersteller und Herausgeber von Android, zertifiziert Geräte für den Playstore via einem Verfahren, das Google Play Protect heißt. Und seriöse Hersteller schicken ihre Geräte selbstredend durch die Tour de Force, was mit Aufwand verbunden ist.1 Dennoch kommen immer wieder Geräte ohne diese Zertifizierung, aber infiziert in den Handel. Klinkt man die Geräte ans Internet an, verbinden sie sich automatisch mit einem Botnetz und stellen Arges an.
Jedes Jahr im November gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Lagebericht zur IT-Sicherheit in Deutschland heraus.2 Das seit 2025 leider nur noch im Internet ausgelieferte Werk bündelt alle Daten des BSI und erstellt daraus einen umfassenden Überblick über die Bedrohungslandschaft, mit der sich Deutschland konfrontiert sieht. Zu BadBox schreibt das BSI:
„Angreifer können diese Systeme dann für Cyberangriffe wie Werbebetrug, das Anlegen gefälschter Social‑Media‑Konten sowie als Proxy‑Server zur Verschleierung anderer Angriffe verwenden. Vo1d besitzt zudem auch Funktionalitäten zur Durchführung von DDoS‑Angriffen. In Deutschland konnte das BSI den Zugriff der Angreifer auf etwa 30.000 mit BadBox vorinfizierte Geräte unterbinden, indem es die Kommunikation mit deren Kontrollservern blockierte und über die Internetanbieter die Gerätebesitzer informierte.“3
Unzureichende Marktkontrolle
Daran kann man erkennen, dass es nicht ausreichend ist, wenn ein Softwarehersteller seine Kunden über strenge Verfahren verbindlich dazu auffordert, Regeln einzuhalten, um Schäden zu vermeiden – leider. Dass Kunden gern günstig einkaufen, kann man ihnen nicht vorwerfen. Wenn aber die Provider von Betriebssystemen zwar nach bestem Wissen und Gewissen versuchen, Schädlinge draußen zu halten, es aber bei Anbietern, die solche Regeln ignorieren, nicht schaffen, sich durchzusetzen, fragt man sich, wie man Verbraucher:innen nachhaltig schützen kann. Die Antwort ist einfach: In solch einem Fall muss der Gesetzgeber aktiv werden. Und angesichts der globalen Bedrohungen macht es Sinn, wenn nicht einzelne Staaten Insellösungen in ihre jeweiligen Gesetzbücher schreiben. BadBox ist ein Beispiel, warum es den Cyber Resilience Act (CRA) gibt.
Der CRA ist also nicht vom Himmel gefallen. Denn Europa hat genau deswegen außerdentlich hohe Standards, weil wir Bürger:innen im Zentrum politischen und administrativen Handelns stehen, und zwar grenzübergreifend. Aus diesem Grund ist das Leben hier und in den meisten Ländern Europas noch weitgehend unbeschwert, ja sicher zu leben. Es existiert ein großer Katalog an Regulierungen, die grundlegende Sicherheitsvorschriften vorgeben. Wer Handel in den Staaten der EU treiben will, muss ich an diese Regeln halten. Andernfalls bleibt ihm der Zugang zu europäischen Märkte verwehrt.
Brennende Lichterketten
Bürger:innen können selbstredend entscheiden, ob sie minderwertige Elektrogeräte möglicherweise illegal oder aus internationalen Quellen erwerben. Das jedoch sollte man sich sehr gut überlegen. Das Wirken von BadBox und anderen Schädlingen sieht man leider nicht so gut, wie eine billige Lichterkette für den Weihnachtsbaum, die beim ersten Einschalten in Flammen aufgeht. Bei solchen Elektrogeräten heißt es Obacht. Besser, sie bauen auf Produkte, die ein CE-Siegel tragen. Denn damit zeigt ein Hersteller an, dass sein Produkt zumindest grundsätzlich den herrschenden Gesetzen in Europa Rechnung trägt. Wir kennen das Zeichen von jedem Netzteil, von – fast – jedem Switch oder Router oder Laptop. Bislang hat die EU jedoch noch kein Auge auf Erzeugnisse mit „digitalen Elementen“ geworfen. Das CE-Siegel auf der Unterseite des Laptops bezieht sich also derzeit nur auf das Elektrische, nicht aber auf diese vernetzte Innerei aus Software und Hardware. Das ändert sich mit dem CRA. Der nämlich soll verhindern, dass gefährliche Gerätschaften auf den europäischen Binnenmarkt kommen.
Darum also gibt es den CRA. Die Kommission und Spezialisten der EU haben sich das Marktgeschehen angeschaut. Sie sind zu dem Schluss gekommen, dass ein Großteil der Produkte mit digitalen Elementen gerade nicht sicher ist. Wie unser Billigfernseher auf BadBox-Basis. Außerdem, so stellte der Gesetzgeber fest, seien die Bürger:innen meist nicht hinreichend informiert. Deshalb wurden mit dem CRA Richtlinien aufgestellt, an die man sich spätestens vom 11. Dezember 2027 an als Hersteller orientieren muss. Tut man das, gibt es das CE-Siegel. CE ist die Abkürzung für „Conformité Européenne“, also europäische Konformität. Das bedeutet, dass der Hersteller von Produkten mit digitalen Elementen die grundsätzlichen EU-Regeln eingehalten hat. Welche das sind, das beschreiben wir in den nachfolgenden Beiträgen.
In Folge 3 betrachten wir die Betroffenheit: Welche Klassen von Geräten gibt es? Welche Folgen hat das für mein Unternehmen? Worauf muss ich achten?
1 https://www.einfochips.com/blog/how-to-obtain-googles-gms-license-for-android-devices/.
2 https://medien.bsi.bund.de/lagebericht/de/.
3 https://medien.bsi.bund.de/lagebericht/de/vorinstallierte-schadsoftware-auf-iot-geraeten/.