Anbieter und Anwender können jetzt die Cybersecurity und Compliance der Software in ihren vernetzten Geräten, Maschinen und Anlagen ganz einfach und automatisch mit einer Plattformlösung gesetzes- und verordnungskonform überprüfen. Sicherheitslücken werden durch die Plattform aufgedeckt und können dann gezielt behoben werden.
Die Product Cybersecurity and Compliance Platform des Cybersicherheits-Untenehmens ONEKEY unterstützt neben ETSI 303 645 und dem Cyber Resilience Act (CRA) nun auch den Standard RED II (EN 18031-1). Dadurch können Anbieter und Anwender automatisiert prüfen, ob in der Software in ihren vernetzten Geräten, Maschinen und Anlagen mögliche Verstöße zu den Vorgaben des jeweiligen Standards enthalten sind. „Unser Ziel ist es, unsere Plattform im Laufe der Zeit so zu erweitern, dass sie automatische Prüfungen entlang aller gängigen regulatorischen Anforderungen durchführen kann und anschließend den Hersteller oder Anwender durch konkrete Informationen unterstützt, Compliance-Probleme schneller und mit weniger Aufwand zu lösen“, erklärt Jan Wendenburg, CEO von ONEKEY, die Unternehmensstrategie.
Gesetzes- und verordnungskonforme Cybersecurity
Der Cyber Resilience Act der EU-Kommission verlangt von Herstellern, dass sie ihre Produkte über den gesamten Lebenszyklus hinweg auf Sicherheitslücken überprüfen und diese gegebenenfalls umgehend beheben. Bei der Radio Equipment Directive (RED) handelt es sich um eine EU-Verordnung zur elektromagnetischen Verträglichkeit und der effizienten Nutzung des Funkfrequenzspektrums. Eine der zentralen Ergänzungen in der Neufassung RED II ist die Berücksichtigung der Cybersecurity, um die entsprechenden Geräte vor Cyberangriffen zu schützen.
Die Product Cybersecurity & Compliance Platform (OCP) arbeitet als ganzheitliche Lösung, von dem Management einer Software Bill of Materials (SBOM) über das durch RED II zwingend vorgeschriebene Vulnerability-Management bis hin zum Compliance Wizard von ONEKEY. Der zum Patent angemeldete Compliance Wizard kombiniert eine automatische Cyber-Sicherheitsprüfung mit einem virtuellen Assistenten, der Unternehmen durch ein vereinfachtes Assessment der technischen Cyber-Compliance führt. So ist eine dialoggeführte Ist-Aufnahme mit anschließender Analyse und Dokumentation möglich, die auch für die zunehmenden Nachweispflichten in Cybersicherheitsfragen genutzt werden kann.
Deutliche Vereinfachung für Hersteller
„Für die Hersteller bringt die automatisierte Prüfung durch unsere Plattform und den Compliance Wizard eine wesentliche Vereinfachung, die Software ihrer Produkte auf neueste gesetzliche Anforderungen in Sachen Cybersicherheit zu prüfen und konkrete Anleitungen im Fehlerfall zu erhalten“, sagt Jan Wendenburg. Er führt aus: „Eventuelle Schwachstellen werden durch die Plattform aufgedeckt, so dass sie gezielt behoben werden können. Das schafft kostengünstig Sicherheit.“
Cybersecurity in vernetzten Geräten
ONEKEY erforscht bereits seit Jahren Cybersecurity-Schwachstellen in vernetzten Geräten und Anlagen und betreibt eine als SaaS-Anwendung nutzbare Product Cybersecurity and Compliance Platform, die eine automatisierte Prüfung und Risikoauswertung von Gerätesoftware vornimmt. Mit Überwachung der Software Bill of Materials (SBOM) in Bezug auf Vollständigkeit und Aktualität sowie Vulnerability Monitoring wird die Einhaltung von Standards wie RED II unterstützt.
Vorstufe zur Zertifizierung
Die generierten Reports lassen sich auch als Grundlage für Konformitäts-Selbsterklärungen verwenden. Bei neuen Softwareversionen kann die automatische Analyse binnen Minuten erfolgen, so dass sich die Dokumentation und Erklärungen umgehend aktualisieren lassen.
Der Report, der alle relevanten Informationen in strukturierter Form darstellt, ist dann oft auch der erste Schritt zu einer Zertifizierung. Durch den einfachen Export der Analyse, strukturierte Daten sowie unterstützende Dokumente können externe Zertifizierungsstellen eine gegebenenfalls anschließende Zertifizierung effizienter und schneller durchführen.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert – ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von „Software Bill of Materials (SBOM)“ können Software-Lieferketten proaktiv überprüft werden. „Digital Cyber Twins“ ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte Compliance Wizard™ deckt bereits heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.
Mehr bei ONEKEY.com
Über ONEKEY ONEKEY (vormals IoT Inspector) ist die führende europäische Plattform für automatische Security & Compliance Analysen für Geräte in der Industrie (IIoT), Produktion (OT) und dem Internet der Dinge (IoT). Über automatisch erstellte „Digital Twins“ und „Software Bill of Materials (SBOM)“ der Geräte analysiert ONEKEY eigenständig Firmware auf kritische Sicherheitslücken und Compliance Verstöße, ganz ohne Sourcecode, Geräte- oder Netzwerkzugriff.
Passende Artikel zum Thema