Wie lange sollen Smartphones, Tablets oder Smart-Home-Geräte mit Sicherheitsupdates versorgt werden? Mit dieser Frage wird sich demnächst die EU im Rahmen des Cyber Resilience Act (CRA) befassen. Im Vorfeld der Trilog-Verhandlungen zu dem Vorhaben zwischen EU-Kommission, -Rat und -Parlament lassen deutsche Verbraucherschützer mit einer Maximalforderung aufhorchen.

Der Verbraucherzentrale Bundesverband (vzbv) forderte in dieser Woche, dass die Hersteller dazu verpflichtet werden sollen, Updates für die gesamte Lebensdauer eines Produkts bereitzustellen. Die von der EU-Kommission geplante Grenze von fünf Jahren ab der Markteinführung eines Geräts sei willkürlich gewählt, heißt es in einem Positionspapier des vzbv.

"Der vzbv fordert Brüssel auf, Sicherheitsupdates für eine ausreichend lange Zeit zur Verfügung zu stellen, die nicht künstlich verkürzt werden darf", teilte der vzbv mit. Ansonsten würden Verbraucher nach Ablauf des Zeitraums von fünf Jahren unsichere Geräte einsetzen.

"Auch dürfen die Risiken von Smart-Home-Produkten im privaten Haushalt, Produkten für Kinder oder Wearables – vernetzte Geräte, die direkt am Körper getragen werden – nicht einer reinen Herstellerprüfung überlassen werden. Hier braucht es unabhängige Prüfungen durch Drittstellen, um Produkte umfassend abzusichern", so der vzbv weiter. Wichtig sei zudem, dass Verbraucher bei Verstößen ihre Rechte durchsetzen und Verbände kollektivrechtlich dagegen vorgehen können.

 

Zur Frage, wie die gesamte (d. h. die erwartete) Lebensdauer für die einzelnen Produktkategorien definiert wird, soll eine Datenbank mit Statistiken zur durchschnittlichen Nutzungsdauer aufgebaut werden. "Die erwartete Lebensdauer der verschiedenen Produktkategorien muss öffentlich zugänglich und vergleichbar sein. Die Hersteller müssen Sicherheitsupdates automatisch installieren und sie von funktionalen Updates trennen", heißt es in dem Positionspapier.

Offen bleibt die Frage, ob die kommende Update-Pflicht nur für kritische Schwachstellen (mit der beispielsweise Angreifer ein Gerät aus der Ferne kapern können) gelten soll oder auch für jede noch so kleine Lücke mit niedrigem Schweregrad.

Fakt ist, dass die Zeiten, in denen Anwender ihre Geräte alle ein bis zwei Jahre ausgetauscht haben, längst vorbei sind. Die Nutzungsdauer eines gekauften Smartphones oder Tablets hat sich deutlich verlängert und geht in die Richtung eines Laptops oder Desktop-Rechners. Die Geräte haben einen hohen Entwicklungsstand erreicht, bedeutende Neuerungen gibt es nur noch selten und die stark gestiegene Rechenleistung ermöglicht eine Nutzung über viele Jahre hinweg.

Entsprechend notwendig ist es, dass die Geräte für längere Zeiträume mit Sicherheitsaktualisierungen versorgt werden als in der Vergangenheit. Apple war und ist hier Vorreiter, die von der EU-Kommission geforderten fünf Jahre übererfüllen die Kalifornier bei iPhone, iPad & Co. bereits seit langer Zeit. Andere Hersteller ziehen, wenn auch zögerlich, langsam nach.

Die kommende Update-Pflicht wird für alle vernetzten Geräte gelten, d. h. auch für Router, Smartwatches, Lautsprecher oder Fernseher. Unabhängig von der kommenden Regelung können Konsumenten schon jetzt bevorzugt diejenigen Hersteller auswählen, die eine lange Update-Versorgung gewährleisten.