EU Common Criteria für IT-Schwachstellen: Halbierung des Aufwands für Impact Assessment durch Automatisierung

EU Common Criteria für IT-Schwachstellen: Halbierung des Aufwands für Impact Assessment durch Automatisierung 

• Erstes EU-weites Zertifizierungsgschema für Produkte und Anlagen mit digitalen Elementen
• ENISA-Exekutivdirektor: EUCC ist Teil des „Puzzles des EU-Zertifizierungsrahmens für Cybersicherheit“
• Automatisierung ist der Schlüssel zu optimierten Prozessen im Impact Assessment

Düsseldorf, 17. April 2024 – Mit dem „European Cybersecurity Scheme on Common Criteria“ (EUCC) gibt es nun einen ersten systematischen Ansatz zur Zertifizierung von Cybersicherheit. Die Kriterien des Zertifizierungsschemas wurden von der Agentur der Europäischen Union für Cybersicherheit (ENISA) entworfen und müssen nun in den Mitgliedsstaaten umgesetzt werden – der dafür notwendige Rechtsakt zur Durchführung („Implementing Act“) wurde kürzlich veröffentlicht. „Das EUCC ermöglicht es den Herstellern, die IT-Sicherheit von Produkten wie Technologiekomponenten, Hard- und Software nach einem Standard zu überwachen und auf Schwachstellen zu analysieren. Damit wird auch der Weg geebnet, die kommenden Anforderungen des Cyber Resilience Act (CRA) mit den entsprechenden Prozessen bei den Herstellern umzusetzen. Die Zielsetzung der Common Criteria, die Sicherheit neuer IT-Produkte und Geräte mit digitalen Elementen auf dem EU-Binnenmarkt zu erhöhen, hilft auch bei der Umsetzung kommender Regularien wie dem Cyber Resilience Act“, sagt Jan Wendenburg, CEO von ONEKEY. Gemäß der EUCC müssen Hersteller aktiv die Schwachstellen ihrer Produkte überwachen und eine Vulnerability Impact Analyse gemäß Artikel 33 durchführen.

Technologieplattform für automatisiertes Impact Assessment

Bei der Umsetzung der Anforderungen sind die Unternehmen auf externe Unterstützung angewiesen, um die Risikoanalyse professionell durchzuführen und später auch entsprechend zertifiziert zu werden. „Angesichts der großen Umbrüche und der gestiegenen Verantwortung, die Hersteller digitaler Anlagen und Geräte heute tragen, ist Automatisierung ein wichtiger Aspekt bei der Umsetzung der EUCC-Verpflichtungen. Wir haben die Analyseplattform von ONEKEY für ein automatisiertes CVE (Common Vulnerabilities and Exposures) Impact Assessment aufgebaut und können durch diese Automatisierung den Aufwand für das Vulnerability Impact Assessment für Unternehmen bis zu 50 Prozent reduzieren“, ergänzt Jan Wendenburg von ONEKEY. Das Düsseldorfer Unternehmen betreibt eine Product Cybersecurity & Compliance Analyseplattform. Neben der exakten Auflistung aller Soft- und Firmwarekomponenten als Software-Stückliste (SBOM) ermöglicht ONEKEY eine detaillierte Analyse mit Risikobewertung möglicher bekannter und unbekannter Schwachstellen aller Geräte und Anlagen mit digitalen Elementen. ONEKEY prüft und identifiziert automatisiert kritische Sicherheitslücken und Compliance-Verstöße in eingebetteter Software, insbesondere in Geräten des Internet der Dinge, und übernimmt deren Überwachung und Management über den gesamten Produktlebenszyklus.

EU-Zertifizierungsrahmen für Cybersicherheit

Auch der Exekutivdirektor der ENISA, Juhan Lepassaar, betont die Bedeutung der Common Criteria (EUCC): Der Schritt sei ein Teil des „Puzzles des EU-Zertifizierungsrahmens für Cybersicherheit“, welches sich derzeit im Aufbau befinde. „Das Regelwerk der Common Criteria ebnet den Weg für die Zukunft. Je eher sich Hersteller und Inverkehrbringer von Produkten mit digitalen Elementen damit auseinandersetzen, die Risiken analysieren und Schwachstellen beheben, desto einfacher wird der Weg in eine Zukunft, in der Anlagen und Geräte keine unerkannten Sicherheitsrisiken und versteckte Software enthalten“, fasst ONEKEY-CEO Jan Wendenburg zusammen. Neben dem automatisierten CVE Impact Assessment unterstützt die Plattform von ONEKEY Plattform auch bei den weiteren Prozessen, die zur Erfüllung des Cybersecurity Act notwending sind. Interessierte sind zur Vorführung der automatisierten Folgenabschätzung eingeladen: https://onekey.com/demo/ 

ONEKEY ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination aus einer automatisierten Product Cybersecurity & Compliance Platform (PCCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life. 

Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert – ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von „Software Bill of Materials (SBOM)“ können Software-Lieferketten proaktiv überprüft werden. „Digital Cyber Twins“ ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus. 

Der zum Patent angemeldete, integrierte Compliance Wizard™ deckt bereits heute den kommenden EU Cyber Resilience Act (CRA) und bestehende Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.

Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.

International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Plattform und den ONEKEY Cybersecurity Experten.