Cyber Resilience Act verbietet Produkte mit bekannten Sicherheitslücken
Hersteller dürfen zukünftig keine smarten Produkte mehr mit bekannten Sicherheitslücken in der EU in den Verkehr bringen – es drohen empfindliche Strafen.
Das National Institute of Standards and Technology hat allein in den USA bis Mitte 2024 rund 14.000 Common Vulnerabilities and Exposures (CVE) – Sicherheitslücken und Schwachstellen in Computersystemen – veröffentlicht. Nach der kommenden EU-Gesetzgebung, dem Cyber Resilience Act (CRA), dürfen Geräte demnächst nicht mehr mit bekannten ausnutzbaren Schwachstellen ausgeliefert werden. Treten dennoch bekannte und ausnutzbare Schwachstellen auf, haften Hersteller, Verkäufer oder Importeure als Unternehmen und die gesamte Unternehmensführung.
Unternehmen sind daher gut beraten, jetzt sowohl eine effiziente CVE-Erkennung als auch ein Impact Assessment einzuführen, um die eigenen Produkte besser zu durchleuchten und sich gegen schwerwiegende Folgen von Schwachstellenszenarien zu wappnen. „Der CRA fordert von allen Herstellern verpflichtende Prüfungen, Überwachung und Dokumentation der Produkt-Cybersicherheit, dazu gehört auch die Prüfung auf unbekannte Schwachstellen, den sogenannten ‚Zero-Days‘“, sagt Jan Wendenburg, CEO von ONEKEY. Zero-Day bezieht sich auf „Null Tage“, die ein Hersteller oder Entwickler Zeit hat, den Sicherheitslücken zu beheben.
Wissen um die eigenen Schwachstellen
Viele Hersteller oder Inverkehrbringer kennen die potenziellen Schwachstellen ihrer eigenen Produkte nur unzureichend, die sich beispielsweise bei Industriesteuerungen auch in Komponenten mit eigener Firmware von Zulieferern verbergen können. Generell können Hardware und Firmware sowie alle IoT-Devices von solchen Schwachstellen betroffen sein. Mit dem ONEKEY Compliance Wizard bieten die Cybersicherheitsexperten von ONEKEY eine umfassende Cybersicherheitsbewertung von Produkten mit digitalen Elementen an. Durch die Kombination von automatischer Schwachstellenerkennung, CVE-Priorisierung und Filterung mit einem ganzheitlichen, interaktiven Compliance-Fragebogen werden Aufwand und Kosten von Cybersicherheits-Compliance-Prozessen reduziert und das Risiko drohender Bußgelder verringert.
Risk-Assessment und Software Bill of Materials
Mit einem sogenannten CRA Assessment kann die aktuelle und zukünftige Compliance zu den Anforderungen des CRA ermittelt und so frühzeitig potenzieller Handlungsbedarf identifiziert werden. Hersteller und Importeure müssen im Zuge der neuen Anforderungen auch eine umfassende Dokumentation der Soft- und Firmwarekomponenten ihrer Produkte führen. Dafür ist nach CRA Vorschriften eine Software Stückliste, die Software Bill of Materials (SBOM), zu erstellen und zu überwachen. So kann die gesamte Lieferkette hinsichtlich der Sicherheit von Produkten und Komponenten – also auch zugekaufte Komponenten mit eigener Firmware – dokumentiert werden.
Diese Anforderungen können mit vertretbarem Aufwand nur durch Automatisierung effizient abgebildet werden. Mit der ONEKEY Plattform kann die Firmware automatisch auf Schwachstellen untersucht und eine SBOM erzeugt werden. Alle Geräte benötigen zukünftig entweder eine Sicherheits-Selbsterklärung oder externe Zertifizierung. „Durch Automatisierung lässt sich der Aufwand bei der Selbsterklärung oder Vorbereitung der Zertifizierung deutlich reduzieren“, sagt Wendenburg.