Mit dem neuen Cyber Resilience Act (CRA) gelten ab sofort verpflichtende Cybersicherheitsstandards für alle vernetzten Produkte auf dem EU-Markt – das stärkt die Produktsicherheit für vernetzte Geräte. Hersteller stehen in der Verantwortung, lebenslange Sicherheitsupdates bereitzustellen.
Am 10. Oktober 2024 verabschiedete der EU-Rat den Cyber Resilience Act (CRA), der strikte Cybersicherheitsauflagen für alle vernetzten Geräte fordert. Die neue Regelung verpflichtet Hersteller, ihre Produkte „Security by Design“ zu entwickeln und über den gesamten Lebenszyklus regelmäßig mit Sicherheitsupdates zu versorgen. Wie Jan Wendenburg, CEO des Cybersicherheitsunternehmens ONEKEY, erläutert, bedeutet dies einen Paradigmenwechsel in der Produktsicherheit: Anbieter vernetzter Geräte – von Haushaltsgeräten bis hin zu Industrieanlagen – müssen künftig nicht nur bei Markteintritt konform sein, sondern kontinuierlich Bedrohungen erkennen und beheben.
„Gerade mittelständische Hersteller stehen hier vor einer Herausforderung,“ so Wendenburg, denn viele beziehen digitale Komponenten von Zulieferern. Er empfiehlt ihnen eine „Software Bill of Materials“ (SBOM), um Sicherheitslücken zu identifizieren und zu beheben. Mit der ONEKEY-Plattform sollen Unternehmen diese Anforderungen weitgehend automatisieren können und somit Compliance-Verstöße und Schwachstellen proaktiv überwachen.
Weitere Informationen zur ONEKEY-Lösung gibt es in der folgenden Pressemitteilung des Unternehmens.
Pressemitteilung von ONEKEY
Cyber Reslilience Act verabschiedet – Der Paradigmenwechsel für Produkt-Cybersicherheit
Jan Wendenburg: „Der Cyber Resilience Act wurde am 10. Oktober vom EU Council verabschiedet und verankert die Cybersecurity verpflichtend für alle Hersteller. Vernetzte Geräte müssen so entwicklet werden, dass sie über den gesamten Lebenszyklus hinweg mit aktueller Software vor Cyberangriffen geschützt sind.“
„Mit dem Cyber Resilience Act (CRA) wird erstmals der Grundsatz ‚Security by Design‘ in das europäische Technikrecht aufgenommen“, sagt Jan Wendenburg, CEO des Düsseldorfer Cybersicherheitsunternehmens ONEKEY. Dieser „Paradigmenwechsel“ habe unmittelbare Konsequenzen für alle Hersteller und Inverkehrbringer vernetzer Geräte, verweist er auf die weitreichenden Folgen der anstehenden gesetzlichen Regelungen für die Absicherung digitaler Produkte gegen Hackerangriffe.
So ist es in Zukunft nicht mehr ausreichend, die CRA-Konformität eines Produkts mit digitalen Elementen nur zum Zeitpunkt des Markteintritts zu gewährleisten, sondern es muss eine fortlaufende Risikobewertung und gegebenenfalls Aktualisierung der in den Geräten enthaltenen Soft- und Firmware erfolgen. „Die Hersteller müssen von Anfang an einen Mechanismus in ihre Produkte integrieren, um neue Software-Versionen einzuspielen und damit nach Auslieferung auftretende Sicherheitslücken zu schließen“, erklärt Jan Wendenburg. Versäumen sie es dieses Designmerkmal zu integrieren, dürfen die entsprechenden Produkte künftig in den Ländern der Europäischen Union nicht mehr verkauft werden, weist der ONEKEY-CEO auf die Konsequenzen eines nachlässigen Umgangs mit dem Cyber Resilience Act hin.
„Extrem breite“ Palette betroffener Produktkategorien
Die Palette der betroffenen Produktkategorien ist „extrem breit“, sagt Jan Wendenburg. Er nennt Beispiele: Geräte für das Smart Home und die Smart Security, vernetzte Haushaltsgeräte aller Art, Spielzeug mit WLAN-Anbindung, VoIP-Telefone, Netzwerkausrüstung wie Router, Switches oder Firewalls, vernetzte Medizingeräte, Fahrzeuge, Geräte des Industrial Internet of Things und industrielle Steuerungssysteme, wie sie im produzierenden Gewerbe von der Fertigung bis zur Logistik abteilungsübergreifend eingesetzt werden.
Jan Wendenburg führt aus: „Praktisch alle Bereiche der industriellen Automatisierung sind heute digitalisiert. Geräte, Maschinen und Anlagen, die früher rein mechanisch funktionierten, sind längst mit Steuerungselektronik ausgestattet und ans Netz angeschlossen. Doch viele Hersteller dieser Automatisierungsprodukte sind diesen Weg vom Maschinenbauer zum Softwarehersteller nicht wirklich selbst gegangen, sondern beziehen die digitalen Komponenten und die entsprechenden Programme von Zulieferern. Mit der CRA-Regulierung sind nun diese Hersteller direkt haftbar für die Digitaltechnik in ihren vernetzten Geräten. Hier sind viele Unternehmen bislang noch nicht ausreichend vorbereitet.“
Software-Know-how bei Industrieausrüstern ist heterogen
„Die Herstellerseite von industriellen Automatisierungskomponenten ist im Bezug auf das Software-Know-how“ sehr heterogen, weiß Jan Wendenburg aus zahlreichen Projekten. Er analysiert: „Die vernetzten Produkte über ihren gesamten Lebenszyklus hinweg mit neuen Updates zu versehen, um immer wieder neu aufkommende Sicherheitslücken in der Software zu schließen, stellt für viele überwiegend mittelständische Hersteller von industrieller Automatisierungstechnik eine große Herausforderung dar.“ Er weist darauf hin, dass die Datenbank der öffentlich bekannten Schwachstellen in Software, die von Hackern ausgenutzt werden können (CVE-Datenbank: Common Vulnerabilities and Exposures), über 240.000 Einträge umfasst. „Schon für IT-Abteilungen in der Konzernwelt ist es schwierig den Überblick über Cybersicherheitslücken zu behalten, für den Mittelstand ist das aber praktisch unmöglich“, befürchtet Jan Wendenburg.
Der Sicherheitsexperte verweist auf den Klassiker der IoT Hacks in Cybersicherheit, die weltweit bekannte Stuxnet-Angriffswelle im Jahr 2010, bei der über das Internet gezielt sogenannte Scada-Systeme (Supervisory Control and Data Acquisition) von Siemens attackiert wurden. Diese industriellen Steuerungssysteme werden global in Industrieanlagen, Kraftwerken oder Pipelines eingesetzt. Stuxnet zielte darauf ab, die Drehgeschwindigkeit der von den Scada-Systemen gesteuerten Motoren zu verändern und dadurch die Maschinen physisch zu zerstören. Der Computervirus hatte damals tausende Anlagensteuerungen befallen und unter anderem die im Bau befindlichen Atomkraftwerke im Iran sabotiert, wofür er nach überwiegender Expertenmeinung eigens entwickelt und von einer staatlichen Behörde auf den Weg gebracht worden war.
„Spätestens seit 2010 ist klar, dass Cyberattacken Maschinen und Anlagen irreparabel zerstören können. Mit Inkrafttreten des EU Cyber Resilience Act haften die Hersteller und Inverkehrbringer dafür, wenn ihre digitalen Steuerungssysteme nicht von Grund auf so konzipiert sind, dass sie laufend mit aktueller Software ausgestattet werden können, die bestmöglich vor Angriffen schützt“, fasst Jan Wendenburg zusammen.
Tipps von ONEKEY
Als ersten Schritt empfiehlt der ONEKEY-CEO den Anbietern von vernetzten Geräten, Maschinen und Anlagen, eine „Software Bill of Materials“ (SBOM) zu erstellen, d.h. eine genaue Stückliste aller in ihren Produkten verwendeten Komponenten. ONEKEY betreibt eine Product Cybersecurity & Compliance Platform (OCP), die SBOMs automatisch generiert und dabei potenzielle Sicherheitslücken identifiziert. Damit sind die Voraussetzungen geschaffen, um mögliche Sicherheitslücken zu verfolgen und dann gezielt zu schließen. „Mit unserer Plattform können Hersteller die Anforderungen des Cyber Resliience Act in weiten Teilen automatisieren und so die zusätzlichen Aufwände wesentlich reduzieren.“, sagt Jan Wendenburg.
ONEKEY ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination aus einer automatisierten Product Cybersecurity & Compliance Platform (PCCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert – ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von “Software Bill of Materials (SBOM)” können Software-Lieferketten proaktiv überprüft werden. „Digital Cyber Twins“ ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte Compliance Wizard™ deckt bereits heute den kommenden EU Cyber Resilience Act (CRA) und bestehende Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.
Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.
International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Plattform und den ONEKEY Cybersecurity Experten.
Weitere News aus dem Handel auf SmartWeekly.Business: