Eine 3D-Animationsfigur eines Mannes kniet in einem modernen Rechenzentrum und betrachtet aufmerksam leuchtend rote Schlosssymbole und blaue holografische Schutzschilde an einem Server-Rack.
Bild: Secure by Default – (Google Gemini/stk)

Secure by Default: Neue Regeln verändern die IT-Sicherheit

Cyberangriffe nutzen oft simple Standardfehler aus. Die NCP engineering GmbH erläutert in einem Blog-Beitrag, warum Hersteller ihre Systeme künftig ab Werk schützen müssen und welche Rolle die EU-Regulierung dabei spielt.

„Entwickler müssen IT-Systeme heute von Grund auf sicher gestalten“, schreibt NCP zu Beginn des Blog-Beitrags. Der Secure-by-Default-Ansatz geht noch einen Schritt weiter: Schon die Werkseinstellung soll so viel Schutz bieten, dass Administratoren oder Anwender nicht mehr nachjustieren müssen.

Dazu zählen verschlüsselte Kommunikationswege, das Least-Privilege-Prinzip bei Zugriffsrechten sowie abgeschaltete Dienste, die niemand benötigt. Switches mit verschlüsseltem Management oder automatisch verschlüsselte Cloud-Buckets gelten als positive Beispiele für diese Strategie.

Benutzerfreundlichkeit: Hersteller fürchten frustrierte Kunden

Warum liefern viele Anbieter ihre Produkte trotzdem freizügig konfiguriert aus? NCP nennt einen handfesten Grund: Hersteller fürchten Supportanfragen und sinkende Verkaufszahlen, wenn restriktive Voreinstellungen die Nutzer ausbremsen.

Dieser laxe Umgang mit Grundeinstellungen kollidiert allerdings mit geltendem Recht. Die Datenschutz-Grundverordnung verlangt bereits einen „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. Die neuen EU-Vorgaben verschärfen den Druck zusätzlich.

Cyber Resilience Act: Brüssel verpflichtet alle Hersteller

Seit Dezember 2025 gilt in Deutschland die NIS-2-Richtlinie. Betriebe in Sektoren wie Energie, Gesundheit oder Wasser müssen sich registrieren, Risikoanalysen erstellen, Lieferketten absichern, eine Multi-Faktor-Authentifizierung einrichten und Netzwerke segmentieren.

Der Cyber Resilience Act geht laut NCP noch weiter: Er definiert ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte im EU-Markt. Hersteller müssen Risikobewertungen durchführen, Schwachstellen an die EU-Behörde ENISA melden und Sicherheits-Updates über den gesamten Support-Zeitraum bereitstellen – in der Regel mindestens fünf Jahre.

Schwache Standardpasswörter dürfen laut Bundesamt für Sicherheit in der Informationstechnik nicht mehr zum Einsatz kommen. Automatische Patch-Installationen sollen hingegen zum Standardprogramm zählen. Welche Rolle dabei VPN, Multi-Faktor-Authentifizierung und Endpoint Security beim Remote Access spielen, erläutert NCP im weiteren Verlauf des Beitrags.

Diesen Blog jetzt lesen