Letztes Update: 08. Juni 2024
Der Cyber Resilience Act verbietet künftig das Inverkehrbringen von Produkten mit bekannten Sicherheitslücken in der EU. Hersteller, Verkäufer und Importeure müssen sich auf strenge Prüfungen und Dokumentationen einstellen, um empfindliche Strafen zu vermeiden.
Der Cyber Resilience Act (CRA) markiert einen entscheidenden Wendepunkt in der Cybersicherheit innerhalb der Europäischen Union. Ab sofort dürfen Hersteller keine smarten Produkte mehr mit bekannten Sicherheitslücken in den Verkehr bringen. Diese neue Gesetzgebung zielt darauf ab, die Sicherheit von Geräten im privaten und industriellen Umfeld zu erhöhen und die Risiken für Verbraucher und Unternehmen zu minimieren.
Allein in den USA wurden im Jahr 2024 bisher 14.286 CVEs (Common Vulnerabilities and Exposures) auf der Website des National Institute of Standards and Technology veröffentlicht. Diese CVEs bezeichnen Sicherheitslücken und andere Schwachstellen in Computersystemen, die einem Hacker einen Angriff ermöglichen können. Der Cyber Resilience Act Sicherheitslücken Verbot stellt sicher, dass Geräte nicht mehr mit bekannten ausnutzbaren Schwachstellen ausgeliefert werden dürfen. Sollten dennoch solche Schwachstellen auftreten, haften Hersteller, Verkäufer oder Importeure als Unternehmen und die gesamte Unternehmensführung.
Beim Thema Cyber-Resilienz ist für die Zukunft unter der Gesetzgebung des Cyber Resilience Act klar, dass Kunden – im privaten wie im industriellen Umfeld – einen effektiven Anspruch auf sichere Software haben. Der Wettlauf allerdings, wer Schwachstellen zuerst entdeckt, geht weiter: Unternehmen sind daher gut beraten, jetzt sowohl eine effiziente CVE-Erkennung als auch ein Impact Assessment einzuführen, um die eigenen Produkte besser zu durchleuchten und sich gegen schwerwiegende Folgen von Schwachstellenszenarien zu wappnen.
„Der CRA fordert von allen Herstellern verpflichtende Prüfungen, Überwachung und Dokumentation der Produkt-Cybersicherheit, dazu gehört auch die Prüfung auf unbekannte Schwachstellen, den sogenannten ‚Zero-Days‘“, sagt Jan Wendenburg, CEO des auf Cybersecurity spezialisierten Unternehmens ONEKEY mit Sitz in Düsseldorf. Diese Prüfungen sind essenziell, um sicherzustellen, dass keine bekannten Sicherheitslücken in den Produkten vorhanden sind.
Der Begriff Zero-Day steht für neu entdeckte Sicherheitslücken, über die Hacker angreifen können, und bezieht sich auf „Null Tage“, die ein Hersteller oder Entwickler Zeit hat, den Fehler zu beheben. Viele Hersteller oder Inverkehrbringer kennen die potenziellen Schwachstellen ihrer eigenen Produkte nur unzureichend, die sich beispielsweise bei Industriesteuerungen auch in Komponenten mit eigener Firmware von Zulieferern verbergen können. Generell können Hardware und Firmware sowie alle Devices des Internet of Things (IoT) von solchen Schwachstellen betroffen sein.
Mit dem ONEKEY Compliance Wizard bieten die Cybersicherheitsexperten von ONEKEY eine umfassende Cybersicherheitsbewertung von Produkten mit digitalen Elementen an. Durch die Kombination von automatischer Schwachstellenerkennung, CVE-Priorisierung und Filterung mit einem ganzheitlichen, interaktiven Compliance-Fragebogen werden Aufwand und Kosten von Cybersicherheits-Compliance-Prozessen deutlich reduziert und das Risiko drohender Bußgelder minimiert.
Mit einem sogenannten CRA Assessment kann die aktuelle und zukünftige Compliance zu den Anforderungen des CRA ermittelt und so frühzeitig potenzieller Handlungsbedarf identifiziert werden. Dafür können Unternehmen auf das Wissen der ONEKEY-Experten für Cybersicherheit zurückgreifen. Hersteller und Importeure müssen im Zuge der neuen Anforderungen auch eine umfassende Dokumentation der Soft- und Firmwarekomponenten ihrer Produkte führen.
Dafür ist nach CRA Vorschriften eine Software Stückliste, die sogenannte Software Bill of Materials (SBOM), zu erstellen und zu überwachen. So kann die gesamte Lieferkette hinsichtlich der Sicherheit von Produkten und Komponenten – also auch zugekaufte Komponenten mit eigener Firmware – dokumentiert werden. Diese Anforderungen können mit vertretbarem Aufwand nur durch Automatisierung effizient abgebildet werden. Mit der ONEKEY Plattform kann die Firmware automatisch auf Schwachstellen untersucht und eine SBOM erzeugt werden.
Alle Geräte benötigen zukünftig entweder eine Sicherheits-Selbsterklärung oder externe Zertifizierung. „Durch Automatisierung lässt sich der Aufwand bei der Selbsterklärung oder Vorbereitung der Zertifizierung deutlich reduzieren. Dies stellen wir mit der ONEKEY Plattform einfach zur Verfügung. Jetzt liegt es an den Unternehmen, die notwendigen Maßnahmen zur Erfüllung des CRA auch umzusetzen“, resümiert Jan Wendenburg von ONEKEY.
ONEKEY ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination aus einer automatisierten Product Cybersecurity & Compliance Platform (PCCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert - ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von "Software Bill of Materials (SBOM)" können Software-Lieferketten proaktiv überprüft werden. „Digital Cyber Twins“ ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte Compliance Wizard™ deckt bereits heute den kommenden EU Cyber Resilience Act (CRA) und bestehende Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab. Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.
International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Plattform und den ONEKEY Cybersecurity Experten. Diese Unternehmen haben erkannt, dass der Cyber Resilience Act Sicherheitslücken Verbot nicht nur eine gesetzliche Pflicht, sondern auch eine Chance ist, die eigene Cybersicherheit zu stärken und das Vertrauen der Kunden zu gewinnen.
Der Cyber Resilience Act ist ein wichtiger Schritt zur Verbesserung der Sicherheit von Smart-Living-Produkten. Er untersagt den Verkauf von Produkten mit bekannten Sicherheitslücken. Dies bedeutet, dass Hersteller ihre Produkte sorgfältiger testen und aktualisieren müssen, bevor sie auf den Markt kommen. Sicherheitslücken können erhebliche Risiken darstellen, besonders in Bereichen wie kritischen Infrastrukturen. Ein umfassender Ansatz zur Implementierung von Sicherheitslösungen ist daher unerlässlich. Mehr dazu erfahren Sie in unserem Artikel KRITIS Sicherheitslösungen ganzheitlich umsetzen.
Auch im Bereich der digitalen Zahlungsabwicklung sind Sicherheitslücken ein großes Thema. Arztpraxen und andere Gesundheitseinrichtungen müssen sicherstellen, dass ihre Systeme gegen Cyberangriffe geschützt sind. Der Cyber Resilience Act wird dazu beitragen, die Sicherheit in diesen Bereichen zu erhöhen. Weitere Informationen finden Sie in unserem Beitrag zur digitalisierten Zahlungsabwicklung Arztpraxen.
Ein weiteres Beispiel für die Bedeutung von Sicherheit im digitalen Raum ist der Schutz vor Identitätsdiebstahl in sozialen Medien. Der Cyber Resilience Act zielt darauf ab, auch hier die Sicherheitsstandards zu erhöhen. Tipps und Tricks, wie Sie sich schützen können, finden Sie in unserem Artikel zum Social-Media-Identitätsdiebstahl Schutz.
