Distributoren werden zu Herstellern: Cyber Resilience Act der EU umfasst auch Importeure

Distributoren werden zu Herstellern: Cyber Resilience Act der EU umfasst auch Importeure

OEM-Ware wird zum Cyberrisiko für Ladenketten, Einkaufsgenossen-schaften und viele mehr

Düsseldorf, 24. Oktober 2022 – Mit dem Cyber Resilience Act sollen Lücken in der Cybersicherheit über die gesamte Lieferkette von Produkten geschlossen werden und Verbraucher sowie Unternehmen vor gefährlichen Attacken durch Hacker geschützt werden. Damit stehen nun auch Importeure und Distributoren in der Haftung – und werden von der EU teilweise sogar als Hersteller angesehen. „Wir haben damit die Situation, dass Importeure von OEM-Ware, die nur gelabelt wird – bis hin zum Internetanbieter, der seinen Kunden Devices unter seinem Namen zur Verfügung stellt – als Hersteller gelten und damit auch die Regelungen für Produzenten vollumfänglich erfüllen müssen“, sagt Jan Wendenburg, Geschäftsführer von ONEKEY. Die Folge: Jedes Produkt mit digitalen Elementen – also einem Mikroprozessor – muss während des gesamten Lebenszyklus vor durch von Hackern ausnutzbaren Schwachstellen geschützt werden. Damit verbunden sind Melde- und Sorgfaltspflichten sowie die Erstellung eines Stammbaums aller digitalen Komponenten in Form einer Software Bill of Materials (SBOM). Bisher sind Importeure und große Distributoren von OEM-Ware aus Asien allerdings kaum auf diesen Fall eingerichtet und notwendige Ressourcen und Kompetenzen müssen rasch aufgebaut werden, um diese Prüfungen vorzunehmen.

EU greift in Handelsketten ein  
„Die EU-Kommission greift damit in die gewachsenen Strukturen des IT-Distributionsmodells ein. Viele Unternehmen bestellen Whitelabel-Ware bei asiatischen Großherstellern, die allerdings selten den neuen Sicherheitsanforderungen des Cyber Resilience Acts entsprechen und an der Einhaltung auch kein primäres Interesse haben. Die neue und für Verbraucher und Anwender in der Wirtschaft richtige Verordnung erfordert damit ein strukturelles Umdenken des bisherigen Handelsmodells“, erklärt Jan Wendenburg von ONEKEY weiter. Sein Unternehmen ermöglicht eine softwaregestützte automatisierte Analyse von vernetzten, smarten Geräten inklusive aller verwendeten Baugruppen und Komponenten zur Erkennung bislang unbekannter Schwachstellen. Auf dieser Basis kann ONEKEY bereits heute eine SBOM mit der kompletten DNA eines vernetzten Gerätes erstellen.  
Unternehmen, die rechtzeitig ihre Prozesse anpassen, können die Time-to-Market für neue Produkte auch auf Basis der neuen Regelungen optimieren und das Haftungsrisiko reduzieren. Automatisierte Analyse- und Prüfroutinen sind allerdings die Voraussetzung, denn auch im Fall eines Updates einer der Komponenten ist die Sicherheit und Integrität des Geräts weiter zu gewährleisten.

Sicherheit auch für Bestandsgeräte  
„Wir müssen uns darauf verlassen können, dass die Produkte, die im Binnenmarkt angeboten werden, sicher sind“, erklärte dazu die für Digitales zuständige Kommissionsvizepräsidentin Margrethe Vestager in einer Presseerklärung der EU. „Dazu nehmen wir diejenigen in die Pflicht, die die Produkte in Verkehr bringen“, präzisiert Vestager weiter. Mit dem Konzept der „integrierten Cybersicherheit“ wolle die Kommission gegensteuern. „Dieser Schritt ist richtig und wichtig. In den letzten Monaten hat nicht nur die Häufigkeit, sondern auch die Gefährlichkeit der Attacken zugenommen. Zudem wird mehr und mehr klar, dass allein in vernetzten Produktions- und Unternehmensumgebungen unzählige Anlagen im Einsatz sind, die noch zahlreiche Schwachstellen enthalten und dringend ebenfalls untersucht werden müssten“, analysiert Cybersecurity-Spezialist Wendenburg. So häufen sich bei ONEKEY die Anfragen aus Industrie und Wirtschaft, und eine Vielzahl von Sicherheitslücken bis zu möglichen Zero-Day-Exploits konnten gefunden und behoben werden.

Fragen Sie sich, ob Sie auf den Cyber Resilience Act vorbereitet sind? Unter folgendem Link können Sie bei ONEKEY ein CRA Readiness Assessment buchen: https://onekey.com/cra-readiness-assessment 

Über ONEKEY:  
ONEKEY ist ein führender europäischer Spezialist für automatische Security & Compliance Analysen für Geräte in der Industrie (IIoT), Produktion (OT) und dem Internet der Dinge (IoT). Über automatisch erstellte „Digital Twins“ und „Software Bill of Materials (SBOM)“ der Geräte analysiert ONEKEY eigenständig Firmware auf kritische Sicherheitslücken und Compliance Verstöße, ganz ohne Sourcecode, Geräte- oder Netzwerkzugriff. Schwachstellen für Angriffe und Sicherheitsrisiken werden in kürzester Zeit identifiziert und können so gezielt behoben werden. Die einfach in die Software-Entwicklung und Procurement-Prozesse zu integrierende Lösung ermöglicht für Hersteller, Inverkehrbringer und Nutzer von IoT-Technologie die schnelle, automatische Sicherheits- und Compliance-Prüfung bereits vor einer Nutzung und darüber hinaus 24/7 über den kompletten Produktlebenszyklus. Führende Unternehmen, wie z. B. SWISSCOM, VERBUND AG und ZYXEL, nutzen heute diese Plattform – Universitäten und Forschungseinrichtungen können die ONEKEY Plattform für Studienzwecke kostenfrei nutzen.