EU Common Criteria für IT-Schwachstellen: Halbierung des Aufwands für Impact Assessment durch Automatisierung
EU Common Criteria für IT-Schwachstellen: Halbierung des Aufwands für Impact Assessment durch Automatisierung
Erstes EU-weites Zertifizierungsgschema für Produkte und Anlagen mit digitalen Elementen
ENISA-Exekutivdirektor: EUCC ist Teil des „Puzzles des EU-Zertifizierungsrahmens für Cybersicherheit“
Automatisierung ist der Schlüssel zu optimierten Prozessen im Impact Assessment
Düsseldorf, 17. April 2024 – Mit dem „European Cybersecurity Scheme on Common Criteria“ (EUCC) gibt es nun einen ersten systematischen Ansatz zur Zertifizierung von Cybersicherheit. Die Kriterien des Zertifizierungsschemas wurden von der Agentur der Europäischen Union für Cybersicherheit (ENISA) entworfen und müssen nun in den Mitgliedsstaaten umgesetzt werden – der dafür notwendige Rechtsakt zur Durchführung („Implementing Act“) wurde kürzlich veröffentlicht. „Das EUCC ermöglicht es den Herstellern, die IT-Sicherheit von Produkten wie Technologiekomponenten, Hard- und Software nach einem Standard zu überwachen und auf Schwachstellen zu analysieren. Damit wird auch der Weg geebnet, die kommenden Anforderungen des Cyber Resilience Act (CRA) mit den entsprechenden Prozessen bei den Herstellern umzusetzen. Die Zielsetzung der Common Criteria, die Sicherheit neuer IT-Produkte und Geräte mit digitalen Elementen auf dem EU-Binnenmarkt zu erhöhen, hilft auch bei der Umsetzung kommender Regularien wie dem Cyber Resilience Act“, sagt Jan Wendenburg, CEO von ONEKEY. Gemäß der EUCC müssen Hersteller aktiv die Schwachstellen ihrer Produkte überwachen und eine Vulnerability Impact Analyse gemäß Artikel 33 durchführen.
Technologieplattform für automatisiertes Impact Assessment
Bei der Umsetzung der Anforderungen sind die Unternehmen auf externe Unterstützung angewiesen, um die Risikoanalyse professionell durchzuführen und später auch entsprechend zertifiziert zu werden. „Angesichts der großen Umbrüche und der gestiegenen Verantwortung, die Hersteller digitaler Anlagen und Geräte heute tragen, ist Automatisierung ein wichtiger Aspekt bei der Umsetzung der EUCC-Verpflichtungen. Wir haben die Analyseplattform von ONEKEY für ein automatisiertes CVE (Common Vulnerabilities and Exposures) Impact Assessment aufgebaut und können durch diese Automatisierung den Aufwand für das Vulnerability Impact Assessment für Unternehmen bis zu 50 Prozent reduzieren“, ergänzt Jan Wendenburg von ONEKEY. Das Düsseldorfer Unternehmen betreibt eine Product Cybersecurity & Compliance Analyseplattform. Neben der exakten Auflistung aller Soft- und Firmwarekomponenten als Software-Stückliste (SBOM) ermöglicht ONEKEY eine detaillierte Analyse mit Risikobewertung möglicher bekannter und unbekannter Schwachstellen aller Geräte und Anlagen mit digitalen Elementen. ONEKEY prüft und identifiziert automatisiert kritische Sicherheitslücken und Compliance-Verstöße in eingebetteter Software, insbesondere in Geräten des Internet der Dinge, und übernimmt deren Überwachung und Management über den gesamten Produktlebenszyklus.
EU-Zertifizierungsrahmen für Cybersicherheit
Auch der Exekutivdirektor der ENISA, Juhan Lepassaar, betont die Bedeutung der Common Criteria (EUCC): Der Schritt sei ein Teil des „Puzzles des EU-Zertifizierungsrahmens für Cybersicherheit“, welches sich derzeit im Aufbau befinde. „Das Regelwerk der Common Criteria ebnet den Weg für die Zukunft. Je eher sich Hersteller und Inverkehrbringer von Produkten mit digitalen Elementen damit auseinandersetzen, die Risiken analysieren und Schwachstellen beheben, desto einfacher wird der Weg in eine Zukunft, in der Anlagen und Geräte keine unerkannten Sicherheitsrisiken und versteckte Software enthalten“, fasst ONEKEY-CEO Jan Wendenburg zusammen. Neben dem automatisierten CVE Impact Assessment unterstützt die Plattform von ONEKEY Plattform auch bei den weiteren Prozessen, die zur Erfüllung des Cybersecurity Act notwending sind. Interessierte sind zur Vorführung der automatisierten Folgenabschätzung eingeladen: https://onekey.com/demo/
ONEKEY ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination aus einer automatisierten Product Cybersecurity & Compliance Platform (PCCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert – ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von „Software Bill of Materials (SBOM)“ können Software-Lieferketten proaktiv überprüft werden. „Digital Cyber Twins“ ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte Compliance Wizard™ deckt bereits heute den kommenden EU Cyber Resilience Act (CRA) und bestehende Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.
Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.
International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Plattform und den ONEKEY Cybersecurity Experten.
Weitere Informationen: ONEKEY GmbH, Sara Fortmann, E-Mail: sara.fortmann@onekey.com, Kaiserswerther Straße 45, 40477 Düsseldorf, Deutschland, Web: www.onekey.com
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
Comments are closed