Cyber Resilience Act verabschiedet – Der Paradigmenwechsel für Produkt-Cybersicherheit

Illustration Absmeier foto freepik

Jan Wendenburg: »Der Cyber Resilience Act wurde am 10. Oktober vom EU Council verabschiedet und verankert die Cybersecurity verpflichtend für alle Hersteller. Vernetzte Geräte müssen so entwickelt werden, dass sie über den gesamten Lebenszyklus hinweg mit aktueller Software vor Cyberangriffen geschützt sind.«

 

»Mit dem Cyber Resilience Act (CRA) wird erstmals der Grundsatz ›Security by Design‹ in das europäische Technikrecht aufgenommen«, sagt Jan Wendenburg, CEO des Düsseldorfer Cybersicherheitsunternehmens ONEKEY. Dieser »Paradigmenwechsel« habe unmittelbare Konsequenzen für alle Hersteller und Inverkehrbringer vernetzter Geräte, verweist er auf die weitreichenden Folgen der anstehenden gesetzlichen Regelungen für die Absicherung digitaler Produkte gegen Hackerangriffe.

So ist es in Zukunft nicht mehr ausreichend, die CRA-Konformität eines Produkts mit digitalen Elementen nur zum Zeitpunkt des Markteintritts zu gewährleisten, sondern es muss eine fortlaufende Risikobewertung und gegebenenfalls Aktualisierung der in den Geräten enthaltenen Soft- und Firmware erfolgen. »Die Hersteller müssen von Anfang an einen Mechanismus in ihre Produkte integrieren, um neue Softwareversionen einzuspielen und damit nach Auslieferung auftretende Sicherheitslücken zu schließen«, erklärt Jan Wendenburg. Versäumen sie es dieses Designmerkmal zu integrieren, dürfen die entsprechenden Produkte künftig in den Ländern der Europäischen Union nicht mehr verkauft werden, weist der CEO auf die Konsequenzen eines nachlässigen Umgangs mit dem Cyber Resilience Act hin.

 

»Extrem breite« Palette betroffener Produktkategorien

Die Palette der betroffenen Produktkategorien ist »extrem breit«, sagt Jan Wendenburg. Er nennt Beispiele: Geräte für das Smart Home und die Smart Security, vernetzte Haushaltsgeräte aller Art, Spielzeug mit WLAN-Anbindung, VoIP-Telefone, Netzwerkausrüstung wie Router, Switches oder Firewalls, vernetzte Medizingeräte, Fahrzeuge, Geräte des Industrial Internet of Things und industrielle Steuerungssysteme, wie sie im produzierenden Gewerbe von der Fertigung bis zur Logistik abteilungsübergreifend eingesetzt werden.

Jan Wendenburg führt aus: »Praktisch alle Bereiche der industriellen Automatisierung sind heute digitalisiert. Geräte, Maschinen und Anlagen, die früher rein mechanisch funktionierten, sind längst mit Steuerungselektronik ausgestattet und ans Netz angeschlossen. Doch viele Hersteller dieser Automatisierungsprodukte sind diesen Weg vom Maschinenbauer zum Softwarehersteller nicht wirklich selbst gegangen, sondern beziehen die digitalen Komponenten und die entsprechenden Programme von Zulieferern. Mit der CRA-Regulierung sind nun diese Hersteller direkt haftbar für die Digitaltechnik in ihren vernetzten Geräten. Hier sind viele Unternehmen bislang noch nicht ausreichend vorbereitet.«

 

Software-Know-how bei Industrieausrüstern ist heterogen

»Die Herstellerseite von industriellen Automatisierungskomponenten ist in Bezug auf das Software-Know-how« sehr heterogen, weiß Jan Wendenburg aus zahlreichen Projekten. Er analysiert: »Die vernetzten Produkte über ihren gesamten Lebenszyklus hinweg mit neuen Updates zu versehen, um immer wieder neu aufkommende Sicherheitslücken in der Software zu schließen, stellt für viele überwiegend mittelständische Hersteller von industrieller Automatisierungstechnik eine große Herausforderung dar.« Er weist darauf hin, dass die Datenbank der öffentlich bekannten Schwachstellen in Software, die von Hackern ausgenutzt werden können (CVE-Datenbank: Common Vulnerabilities and Exposures), über 240.000 Einträge umfasst. »Schon für IT-Abteilungen in der Konzernwelt ist es schwierig den Überblick über Cybersicherheitslücken zu behalten, für den Mittelstand ist das aber praktisch unmöglich«, befürchtet Jan Wendenburg.

Der Sicherheitsexperte verweist auf den Klassiker der IoT Hacks in Cybersicherheit, die weltweit bekannte Stuxnet-Angriffswelle im Jahr 2010, bei der über das Internet gezielt Scada-Systeme (Supervisory Control and Data Acquisition) von Siemens attackiert wurden. Diese industriellen Steuerungssysteme werden global in Industrieanlagen, Kraftwerken oder Pipelines eingesetzt. Stuxnet zielte darauf ab, die Drehgeschwindigkeit der von den Scada-Systemen gesteuerten Motoren zu verändern und dadurch die Maschinen physisch zu zerstören. Der Computervirus hatte damals tausende Anlagensteuerungen befallen und unter anderem die im Bau befindlichen Atomkraftwerke im Iran sabotiert, wofür er nach überwiegender Expertenmeinung eigens entwickelt und von einer staatlichen Behörde auf den Weg gebracht worden war.

»Spätestens seit 2010 ist klar, dass Cyberattacken Maschinen und Anlagen irreparabel zerstören können. Mit Inkrafttreten des EU Cyber Resilience Act haften die Hersteller und Inverkehrbringer dafür, wenn ihre digitalen Steuerungssysteme nicht von Grund auf so konzipiert sind, dass sie laufend mit aktueller Software ausgestattet werden können, die bestmöglich vor Angriffen schützt«, fasst Jan Wendenburg zusammen.

Als ersten Schritt empfiehlt der ONEKEY-CEO den Anbietern von vernetzten Geräten, Maschinen und Anlagen, eine »Software Bill of Materials« (SBOM) zu erstellen, d.h. eine genaue Stückliste aller in ihren Produkten verwendeten Komponenten. ONEKEY betreibt eine Product Cybersecurity & Compliance Platform (OCP), die SBOMs automatisch generiert und dabei potenzielle Sicherheitslücken identifiziert. Damit sind die Voraussetzungen geschaffen, um mögliche Sicherheitslücken zu verfolgen und dann gezielt zu schließen. »Mit unserer Plattform können Hersteller die Anforderungen des Cyber Resliience Act in weiten Teilen automatisieren und so die zusätzlichen Aufwände wesentlich reduzieren.«, sagt Jan Wendenburg.

 

ONEKEY ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination aus einer automatisierten Product Cybersecurity & Compliance Platform (PCCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert – ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von »Software Bill of Materials (SBOM)« können Software-Lieferketten proaktiv überprüft werden. »Digital Cyber Twins« ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte Compliance Wizard™ deckt bereits heute den kommenden EU Cyber Resilience Act (CRA) und bestehende Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.
Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.
International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Plattform und den ONEKEY Cybersecurity Experten. Effortless Product Cybersecurity & Compliance | ONEKEY

 

179 Artikel zu „Cyber Resilience Act“

Cyber Resilience Act: Drei Sofortmaßnahmen für Unternehmen

Lange wurde der Cyber Resilience Act (CRA) angekündigt, nun ist es offiziell: Am 10. Oktober 2024 ist er verabschiedet worden. Damit gelten ab dem November 2027 für eine Vielzahl vernetzter Geräte und deren Software EU-weite neue Mindestanforderungen in puncto Security – Schwachstellenmeldepflichten gelten sogar schon ab August 2026. Vor allem die Hersteller von Produkten werden…

EU Cyber Resilience Act richtig umsetzen: aus den Fehlern der DSGVO lernen

Zahl der vernetzten Geräte wächst bis 2050 weltweit voraussichtlich auf 24 Milliarden – vergrößerte Hacker-Angriffsflächen durch IoT.   Der bevorstehende EU Cyber Resilience Act (CRA, EU-Gesetz über Cyberresilienz) stellt einen wichtigen Schritt in der europäischen Cybersicherheitspolitik dar. Er zielt darauf ab, die digitale Abwehr in der Europäischen Union durch einen proaktiven Cybersicherheitsansatz zu verbessern. Im Gegensatz zu…

Cyber Resilience Act: Anforderungen nun klarer

Mehr Klarheit bei grundlegenden Anforderungen an Cybersecurity sowie zu den Normen, die sich im Rahmen des Cyber Resilience Act anwenden lassen – dazu trägt eine neue Veröffentlichung der Agentur der Europäischen Union für Cybersicherheit (ENISA) bei. »Das neue Paper gibt erstmals Einblicke in den Normungsprozess im Rahmen des Cyber Resilience Act. So liefert die ENISA…

Von der Firewall zur Cyberresilienz: Wie Axians den Mittelstand auf zukünftige Bedrohungen vorbereitet – Cyber Security in IT und OT

Im Interview erklärt Martin Lutz, Leader Cyber Squad & Deputy CISO – Central and Eastern Europe bei Axians die spezifischen Sicherheitsanforderungen von IT und OT und die Notwendigkeit der engen Zusammenarbeit und abgestimmten Sicherheitsstrategien dieser so unterschiedlichen Welten.

Jenseits des Labors: Cyberresilienz für die Biowissenschaften

Der Schutz von SaaS-Daten ist für biowissenschaftliche Unternehmen angesichts ihrer besonderen Herausforderungen und gesetzlichen Anforderungen von entscheidender Bedeutung.   Der Weg von Unternehmen im Bereich der Biowissenschaften (bzw. Life Sciences) von der Neugründung bis zur Finanzierung der Serien B und C durch exponentielles Wachstum gekennzeichnet, sowohl bei bahnbrechenden Innovationen als auch bei den Daten, mit…

Digitalisierung und Cyberresilienz machen eine Kulturrevolution in den Unternehmen unumgänglich

Wie Cyberresilienz die Prozesse rund um Datensicherheit und Datensicherung neu aufstellt. Digitalisiertes Wirtschaften wälzt die Unternehmenskultur um. Denn der Zugriff auf in Echtzeit verfügbaren Informationen ermöglicht eine neue Geschwindigkeit sowie höhere Produktivität und unterstützt immer mehr Stakeholder im Unternehmen mit effizienter Unterstützung der Geschäftsabläufe durch die IT. Die Kehrseite ist die Anfälligkeit der Abläufe für…

Gravierende Mängel in der industriellen Cybersicherheit

Fast die Hälfte der Befragten hält die aktuellen Schutzmaßnahmen der Wirtschaft vor Cyberangriffen für unzureichend. Fast ein Drittel kennt die relevanten Standards und Vorschriften nicht.   Bei einer aktuellen Befragung von IT-Verantwortlichen aus der deutschen Industrie zeigte sich nicht einmal die Hälfte (46 Prozent) davon überzeugt, dass die Wirtschaft ausreichend vor Cyberangriffen geschützt ist. Weniger…

So lässt sich das Bermudadreieck aus Cyberbedrohungen, IT-Ausfällen und EU-Regularien umschiffen

CIOs und CISOs geraten aus verschiedenen Richtungen unter Druck. Mark Molyneux, EMEA CTO bei Cohesity, gibt in einem Leitfaden Empfehlungen, wie Unternehmen folgenden Herausforderungen begegnen können:   Wachsende Bedrohung durch Cyberangriffe Die Bedrohungen für Unternehmensdaten nehmen ständig zu. Mit dem einfachen Zugang zu KI und SaaS-Modellen können auch weniger Versierte Attacken ausführen, wodurch die Zahl…

Zero Trust gegen KI-basierte Cyberangriffe

Das Thema künstliche Intelligenz ist weiterhin omnipräsent. KI wird ein ähnliches Potenzial nachgesagt wie der Dampfmaschine oder dem elektrischen Strom. Auch der Bereich der Cybersicherheit wird durch KI umgekrempelt.   Insbesondere KI-basierte Angriffe und die beste Verteidigung dagegen stehen in vielen Diskussionen im Fokus. KI-basierte Angriffe sind sehr wahrscheinlich noch raffinierter, zielgerichteter und hartnäckiger als…

Cyberkriminelle nutzen CrowdStrike-Outage

Nach der CrowdStrike-Panne vom 19. Juli 2024 entdeckten Akamai-Forscher mehr als 180 neu erstellte schädliche Domains. Diese gaben vor, Betroffenen bei der Navigation durch ihre IT-Ausfälle behilflich zu sein. Mit mehr als 20 Prozent des beobachteten Angriffsverkehrs gehörten gemeinnützige Organisationen und das Bildungswesen zu den am stärksten betroffenen Branchen. Der Sicherheitsexperte Akamai hat die am…

Cyberbedrohungen: Banküberfall 4.0

Wie gut sind Finanzdienstleister auf Cyberbedrohungen vorbereitet? Eine aktuelle Studie von Lünendonk und KPMG zeichnet ein genaues Bild der IT-Sicherheit in der Finanzbranche.   Das Thema Nachhaltigkeit dominiert seit einigen Jahren nicht nur den öffentlichen Diskurs, es ist auch im Herzen des Finanzsektors angekommen. Etwa in Gestalt nachhaltiger Investments und ESG-Regulatorik. Doch im Schatten dieser…

Cybersicherheit nicht kaputtsparen: Unternehmen stehen auf der Investitionsbremse

Kaum Fortschritte bei der Cybersicherheit: Im Vergleich zum Jahr 2023 ist der Reifegrad der Cybersicherheit großer, international agierender Unternehmen um lediglich ein Prozent auf nun 53 Prozent gestiegen. Das ist das Ergebnis der Wavestone Cyber Benchmark 2024. In einer umfassenden Analyse hat Wavestone fast 200 Sicherheitsmaßnahmen von mehr als 150 Unternehmen unter die Lupe genommen.…

»EU AI Act? Sagt mir nichts« – Zwei Drittel der Entscheider kennen den Inhalt des Gesetzes nicht​

  Viele Unternehmen in Deutschland, Österreich und der Schweiz fühlen sich laut Umfrage des IT-Dienstleisters adesso schlecht vorbereitet und beklagen Qualität sowie Quantität eigener Daten. Der EU Artificial Intelligence Act (EU AI Act) – das kürzlich beschlossene und weltweit erste KI-Gesetz – hat weitreichende Auswirkungen auf den Einsatz der Technologie in allen Unternehmen, die in…

Wissenswertes zum Digital Operational Resilience Act (DORA)

Der Digital Operational Resilience Act (DORA) wurde von der Europäischen Union im Jahr 2022 verabschiedet. Ziel des Gesetzes ist es, grundlegende Lücken innerhalb der bereits bestehenden Vorgaben für den Banken- und Finanzdienstleistungssektor zu schließen. Insbesondere in Bezug auf die operationelle Resilienz. Bislang waren Banken und Finanzdienstleister zwar dafür verantwortlich, andere Arten von operationellen Risiken zu…

Data Protection als Service: Best Practices für Ausfallsicherheit und Sichtbarkeit

In der heutigen, zunehmend komplexen und Cloud-gesteuerten Welt stehen Unternehmen vor einem schwierigen Spagat: Sie müssen ihre Kosten senken, ihre Betriebsabläufe optimieren und sich gleichzeitig gegen anhaltende Cyberbedrohungen schützen. HYCU und Okta befassen sich mit Strategien für die SaaS-Resilienz und konzentrieren sich auf die Erlangung vollständiger Transparenz und Schutz in Cloud-basierten Umgebungen.   Die Ausweitung…

Security as a Service: Die umfassende Lösung für moderne Cybersecurity-Herausforderungen

In unserer digital vernetzten Welt sind Unternehmen und Organisationen ständig mit komplexen IT-Sicherheitsbedrohungen konfrontiert. Laut dem aktuellen Allianz Risk Barometer und dem Digitalverband Bitkom sind Cybervorfälle das größte Risiko für Unternehmen weltweit, mit Schäden in Milliardenhöhe. In diesem Kontext bietet Security as a Service (SECaaS) eine flexible und effektive Lösung, um auf die dynamische Bedrohungslage…

Neue Anforderungen durch den AI Act: Fünf Handlungsempfehlungen

Das erste Gesetz für KI ist seit gestern abgesegnet und gibt Herstellern von KI-Anwendungen zwischen sechs Monaten und drei Jahren Zeit, sich den neuen Regeln anzupassen. Wer KI in sensiblen Bereichen einsetzen will, wird die KI-Daten und ihre Qualität streng kontrollieren und Transparenz schaffen müssen – klassische Kerndisziplinen aus dem Datenmanagement.   Die EU hat…