Cyber Resilience Act vor Verabschiedung: EU einigt sich auf Regeln für vernetzte Produkte
Cyber Resilience Act vor Verabschiedung: EU einigt sich auf Regeln für vernetzte Produkte
Hersteller müssen in der EU künftig länger Sicherheitsupdates bereitstellen
BSI legt Regelwerk für eine SBOM (Software Bill of Materials) vor
ONEKEY erfüllt mit seiner IoT/OT-Product Cybersecurity & Compliance Platform (PCCP) bereits heute die Anforderungen an die SBOM
Düsseldorf, 22. Februar 2024 – Mit dem Cyber Resilience Act der Europäischen Kommission wird in Kürze das umfassendste Gesetz zur Regelung der Produkt-Cyber-Sicherheit in Europa in Kraft treten. Jüngst wurden nun einige Änderungen beschlossen, die den Geltungsbereich des Gesetzes konkretisieren. Die formelle Verabschiedung wird in Fachkreisen als sicher angenommen.
„Die Konkretisierung des CRA ist aus unserer sicherheitsanalytischen Sicht sehr zu begrüßen, besonders das für Endverbraucher und Verbraucherinnen noch weiter ausgedehnte Sicherheitsniveau. Die Geräteklassen wurden neu erfasst: So wurden in Artikel 6 zwei zusätzliche Cybersicherheitsrisikoklassen für kritische Hard- und Softwareprodukte eingeführt, deren Kernfunktionen in Anhang III der Verordnung aufgelistet sind. Eine Geräteklasse umfasst besonders kritische Anlagen und Geräte. Auch sämtliche Smart Home-Geräte und interaktives Spielzeug sind jetzt explizit enthalten.
In unseren Tests konnten wir feststellen, dass solche Geräte oft wesentliche Sicherheitslücken aufweisen, die einfach durch eine automatische Analyse zu wesentlichen Teilen identifiziert und somit schneller behoben werden könnten. Möglicherweise noch nachgeschärft werden sollte der Bereich Industrieprodukte und Router, der aus dem vorigen Entwurf nicht in die aktuelle Version übernommen wurde“, sagt Jan Wendenburg, CEO von ONEKEY. Das Düsseldorfer Unternehmen betreibt eine Product Cybersecurity & Compliance Analyseplattform, die die in allen Geräten mit Netzwerkzugang enthaltene Software analysiert und neben einer exakten Auflistung als Software-Stückliste (SBOM) auch eine detaillierte Sicherheitsanalyse mit Risikobewertung möglicher Schwachstellen ermöglicht. ONEKEY prüft und identifiziert automatisiert kritische Sicherheitslücken und Compliance-Verstöße in eingebetteter Software, insbesondere in Geräten des Internets der Dinge, und übernimmt deren Überwachung und Management über den gesamten Produktlebenszyklus. Die zukünftig vorgeschriebene Compliance-Selbsterklärung können Hersteller nun einfacher mit dem neuen ONEKEY Compliance Wizard, d.h. einem virtuellen Assistenten, erstellen und bei Bedarf per Export auch an externe Zertifizierer übergeben.
Kürzere Fristen erfordern schnelle Reaktion der Hersteller
Für viele Hersteller sind die von der EU eingeräumten 36 Monate Übergangsfrist schon heute knapp – die Entwicklung neuer Produkte und Software benötigt in der Regel Jahre – daher müssen alle Hersteller unverzüglich mit der Umsetzung beginnen. Die automatische Analyseplattform von ONEKEY ermittelt in Minuten Schwachstellen und Compliance-Verstöße und spart so für Hersteller von vernetzten Geräten viel Zeit und Kosten bei der Entwicklung. Für die Meldung von aufgefundenen Sicherheitslücken werden die Fristen im letzten CRA-Entwurf verkürzt: „Neue Sicherheitslücken müssen innerhalb von 24 Stunden an die nationalen Aufsichtsbehörden und die Europäische Behörde für Netz- und Informationssicherheit ENISA gemeldet werden. Für Unternehmen, die Geräte mit Internet- oder Netzwerkzugang herstellen oder in Verkehr bringen, wird damit das rechtzeitige Risikomanagement und die gründliche Analyse der eigenen Produkte noch wichtiger, um mögliche gravierende Zero-Day-Lücken schon lange vor dem finalen Inkrafttreten des CRA zu identifizieren und zu schließen“, so Jan Wendenburg von ONEKEY weiter. Ein wesentlicher Bestandteil ist dabei die Software-Stückliste – die SBOM (Software Bill of Materials) – die laut EU und Behörden wie dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zentrale Rolle in der zukünftigen Sicherheitsarchitektur einnehmen wird.
SBOM per Mausklick
Auch die Frage der Haftung für Open Source Software wurde neu geregelt: In den bisherigen Entwürfen des CRA wurde die Einhaltungspflicht den Erstellern der Software auferlegt. Die aktuelle Fassung nimmt jedoch Open-Source-Organisationen sowie natürliche Personen als Mitwirkende an Open-Source-Projekten explizit von der Haftung aus. „Damit liegt die Verantwortung für die Einhaltung der EU-Vorgaben allein bei den Unternehmen, die den Open-Source-Code kommerziell nutzen oder als Teil ihrer Produkte in Verkehr bringen.
Das BSI hat dazu eine eigene SBOM-Richtlinie formuliert. ONEKEY ist bereits heute in der Lage, die Anforderungen zur transparenten Analyse und Darstellung der verwendeten Komponenten über die gesamte Software-Lieferkette zu erfüllen. Dazu analysiert die ONEKEY Product Cybersecurity & Compliance Plattform die in den Geräten enthaltene Soft- und Firmware vollständig und führt neben der Auflistung aller enthaltenen Komponenten auch eine Risikoanalyse auf Schwachstellen durch. „Unsere Technologie ermöglicht eine Tiefenanalyse einer Gerätesoftware aller von der EU definierten Geräteklassen“, erklärt ONEKEY-CEO Wendenburg. Mit der eingebauten Compliance Prüfung lassen sich aktuelle und zukünftige gesetzliche technische Compliance-Anforderungen wie die IEC 62443-4-2, ETSI 303 645 oder der EU Cyber Resilience Act und viele andere automatisch prüfen. Die vorgeschriebene Compliance-Selbsterklärung wird zukünftig durch den neuen, zum Patent angemeldeten, Compliance Wizard per virtuellem Assistenten wesentlich schneller und einfacher erstellt – und für externe Zertifizierungen können alle Daten mit einem Click per Export an den Zertifizierer übergeben werden.
Über ONEKEY
ONEKEY ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination aus einer automatisierten Product Cybersecurity & Compliance Platform (PCCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert – ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von „Software Bill of Materials (SBOM)“ können Software-Lieferketten proaktiv überprüft werden. „Digital Cyber Twins“ ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte Compliance Wizard™ deckt bereits heute den kommenden EU Cyber Resilience Act (CRA) und bestehende Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.
Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.
International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Plattform und den ONEKEY Cybersecurity Experten.
Weitere Informationen: ONEKEY GmbH, Sara Fortmann, E-Mail: sara.fortmann@onekey.com, Kaiserswerther Straße 45, 40477 Düsseldorf, Deutschland, Web: www.onekey.com
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
Comments are closed