Cyber Resilience Act verbietet Geräte mit bekannten Schwachstellen

CRA: Gesetz verbietet Geräte mit bekannten Schwachstellen

Beitrag teilen

Der Cyber Resilience Act (CRA) soll in der zweiten Hälfte 2024 in Kraft treten. Es verbietet Herstellern in der EU, smarte Produkte auf den Markt zu bringen, die bekannte Sicherheitslücken aufweisen. Bei Zuwiderhandlung drohen empfindliche Strafen.

Allein in den USA wurden im Jahr 2024 bisher 14.286 CVEs auf der Website des National Institute of Standards and Technology veröffentlicht. Diese „Common Vulnerabilities and Exposures (CVE)“ bezeichnen Sicherheitslücken und andere Schwachstellen in Computersystemen, die einem Hacker einen Angriff ermöglichen können. Nach der kommenden EU-Gesetzgebung, dem Cyber Resilience Act (CRA), dürfen Geräte demnächst nicht mehr mit bekannten ausnutzbaren Schwachstellen ausgeliefert werden.

Anzeige

CRA – Cyber Resilience Act bedeutet sichere Software für Kunden

Treten dennoch bekannte und ausnutzbare Schwachstellen auf, haften Hersteller, Verkäufer oder Importeure als Unternehmen und die gesamte Unternehmensführung. Beim Thema Cyber-Resilienz ist für die Zukunft unter der Gesetzgebung des Cyber Resilience Act klar, dass Kunden – im privaten wie im industriellen Umfeld – einen effektiven Anspruch auf sichere Software haben. Der Wettlauf allerdings, wer Schwachstellen zuerst entdeckt, geht weiter: Unternehmen sind daher gut beraten, jetzt sowohl eine effiziente CVE-Erkennung als auch ein Impact Assessment einzuführen, um die eigenen Produkte besser zu durchleuchten und sich gegen schwerwiegende Folgen von Schwachstellenszenarien zu wappnen. „Der CRA fordert von allen Herstellern verpflichtende Prüfungen, Überwachung und Dokumentation der Produkt-Cybersicherheit, dazu gehört auch die Prüfung auf unbekannte Schwachstellen, den sogenannten ‚Zero-Days‘“, sagt Jan Wendenburg, CEO des auf Cybersecurity spezialisierten Unternehmens ONEKEY mit Sitz in Düsseldorf.

Wissen um die eigenen Schwachstellen

Der Begriff Zero-Day steht für neu entdeckte Sicherheitslücken, über die Hacker angreifen können, und bezieht sich auf „Null Tage“, die ein Hersteller oder Entwickler Zeit hat, den Fehler zu beheben. Viele Hersteller oder Inverkehrbringer kennen die potenziellen Schwachstellen ihrer eigenen Produkte nur unzureichend, die sich beispielsweise bei Industriesteuerungen auch in Komponenten mit eigener Firmware von Zulieferern verbergen können. Generell können Hardware und Firmware sowie alle Devices des Internet of Things (IoT) von solchen Schwachstellen betroffen sein. Mit dem ONEKEY Compliance Wizard bieten die Cybersicherheitsexperten von ONEKEY eine umfassende Cybersicherheitsbewertung von Produkten mit digitalen Elementen an.

Durch die Kombination von automatischer Schwachstellenerkennung, CVE-Priorisierung und Filterung mit einem ganzheitlichen, interaktiven Compliance-Fragebogen werden Aufwand und Kosten von Cybersicherheits-Compliance-Prozessen deutlich reduziert und das Risiko drohender Bußgelder minimiert. „Wer nicht pünktlich zum Start des CRA ganz vorne in der Reihe der Bußgeld-Zahler stehen will, muss bereits jetzt Prozesse schaffen, um die eigenen Risiken analysieren und patchen zu können“, rät Jan Wendenburg von ONEKEY.

Risk-Assessment und Software Bill of Materials

Mit einem sogenannten CRA Assessment kann die aktuelle und zukünftige Compliance zu den Anforderungen des CRA ermittelt und so frühzeitig potenzieller Handlungsbedarf identifiziert werden. Dafür können Unternehmen auf das Wissen der ONEKEY-Experten für Cybersicherheit zurückgreifen. Hersteller und Importeure müssen im Zuge der neuen Anforderungen auch eine umfassende Dokumentation der Soft- und Firmwarekomponenten ihrer Produkte führen. Dafür ist nach CRA Vorschriften eine Software Stückliste, die sogenannte Software Bill of Materials (SBOM), zu erstellen und zu überwachen.

So kann die gesamte Lieferkette hinsichtlich der Sicherheit von Produkten und Komponenten – also auch zugekaufte Komponenten mit eigener Firmware – dokumentiert werden. Diese Anforderungen können mit vertretbarem Aufwand nur durch Automatisierung effizient abgebildet werden. Mit der ONEKEY Plattform kann die Firmware automatisch auf Schwachstellen untersucht und eine SBOM erzeugt werden. Alle Geräte benötigen zukünftig entweder eine Sicherheits-Selbsterklärung oder externe Zertifizierung. „Durch Automatisierung lässt sich der Aufwand bei der Selbsterklärung oder Vorbereitung der Zertifizierung deutlich reduzieren. Dies stellen wir mit der ONEKEY Plattform einfach zur Verfügung. Jetzt liegt es an den Unternehmen, die notwendigen Maßnahmen zur Erfüllung des CRA auch umzusetzen“, resümiert Jan Wendenburg von ONEKEY.

Mehr bei ONEKEY.com

 


Über ONEKEY

ONEKEY (vormals IoT Inspector) ist die führende europäische Plattform für automatische Security & Compliance Analysen für Geräte in der Industrie (IIoT), Produktion (OT) und dem Internet der Dinge (IoT). Über automatisch erstellte „Digital Twins“ und „Software Bill of Materials (SBOM)“ der Geräte analysiert ONEKEY eigenständig Firmware auf kritische Sicherheitslücken und Compliance Verstöße, ganz ohne Sourcecode, Geräte- oder Netzwerkzugriff.


 

Passende Artikel zum Thema

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

NIS2-Compliance verstärkt IT-Fachkräftemangel

Eine neue Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale ➡ Weiterlesen

Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Ein Datenverlust ist immer ein Problem. Aber wie schwerwiegend der Verlust ist, hängt von den verlorenen Daten ab. Um das ➡ Weiterlesen

Eine aktuelle Software Bill of Materials ist die Ausnahme

Eine Software Bill of Materials (SBOM), also eine Stückliste aller Software-Komponenten in einem vernetzten Gerät, stellt in der deutschen Industrie ➡ Weiterlesen

E-Mails: Sicherheit in den meisten Unternehmen mangelhaft

Jede achte Organisation war im letzten Jahr von einer Sicherheitsverletzung im E-Mail-Bereich betroffen, so die Studie “Email Security Threats Against ➡ Weiterlesen

Studie: SOC-Teams haben wenig Zutrauen in ihre Sicherheitstools

Ein führender Anbieter von KI-gestützter erweiterter Erkennung und Reaktion (XDR), hat die Ergebnisse seines neuen Forschungsberichts "2024 State of Threat ➡ Weiterlesen

Industrie: Mängel bei der OT- und IoT-Sicherheit

Fast die Hälfte der IT-Verantwortlichen deutscher Industrieunternehmen hält die Maßnahmen für unzureichend, die vor Cyberangriffen schützen sollen, so die Ergebnisse ➡ Weiterlesen