Mit dem „European Cybersecurity Scheme on Common Criteria“ (EUCC) gibt es nun einen ersten systematischen Ansatz zur Zertifizierung von Cybersicherheit. Die Kriterien des Zertifizierungsschemas wurden von der Agentur der Europäischen Union für Cybersicherheit (ENISA) entworfen und müssen nun in den Mitgliedsstaaten umgesetzt werden – der dafür notwendige Rechtsakt zur Durchführung („Implementing Act“) wurde kürzlich veröffentlicht.
„Das EUCC ermöglicht es den Herstellern, die IT-Sicherheit von Produkten wie Technologiekomponenten, Hard- und Software nach einem Standard zu überwachen und auf Schwachstellen zu analysieren. Damit wird auch der Weg geebnet, die kommenden Anforderungen des Cyber Resilience Act (CRA) mit den entsprechenden Prozessen bei den Herstellern umzusetzen. Die Zielsetzung der Common Criteria, die Sicherheit neuer IT-Produkte und Geräte mit digitalen Elementen auf dem EU-Binnenmarkt zu erhöhen, hilft auch bei der Umsetzung kommender Regularien wie dem Cyber Resilience Act“, sagt Jan Wendenburg, CEO von ONEKEY. Gemäß der EUCC müssen Hersteller aktiv die Schwachstellen ihrer Produkte überwachen und eine Vulnerability Impact Analyse gemäß Artikel 33 durchführen.
Automatisiertes Impact Assessment
Bei der Umsetzung der Anforderungen sind die Unternehmen auf externe Unterstützung angewiesen, um die Risikoanalyse professionell durchzuführen und später auch entsprechend eine Zertifizierung zu erhalten. „Angesichts der großen Umbrüche und der gestiegenen Verantwortung, die Hersteller digitaler Anlagen und Geräte heute tragen, ist Automatisierung ein wichtiger Aspekt bei der Umsetzung der EUCC-Verpflichtungen. Wir haben die Analyseplattform von ONEKEY für ein automatisiertes CVE (Common Vulnerabilities and Exposures) Impact Assessment aufgebaut und können durch diese Automatisierung den Aufwand für das Vulnerability Impact Assessment für Unternehmen bis zu 50 Prozent reduzieren“, ergänzt Jan Wendenburg von ONEKEY. Das Düsseldorfer Unternehmen betreibt eine Product Cybersecurity & Compliance Analyseplattform. Neben der exakten Auflistung aller Soft- und Firmwarekomponenten als Software-Stückliste (SBOM) ermöglicht ONEKEY eine detaillierte Analyse mit Risikobewertung möglicher bekannter und unbekannter Schwachstellen aller Geräte und Anlagen mit digitalen Elementen. ONEKEY prüft und identifiziert automatisiert kritische Sicherheitslücken und Compliance-Verstöße in eingebetteter Software, insbesondere in Geräten des Internet der Dinge, und übernimmt deren Überwachung und Management über den gesamten Produktlebenszyklus.
EU-Zertifizierung
Auch der Exekutivdirektor der ENISA, Juhan Lepassaar, betont die Bedeutung der Common Criteria (EUCC): Der Schritt sei ein Teil des „Puzzles des EU-Zertifizierungsrahmens für Cybersicherheit“, welches sich derzeit im Aufbau befinde. „Das Regelwerk der Common Criteria ebnet den Weg für die Zukunft. Je eher sich Hersteller und Inverkehrbringer von Produkten mit digitalen Elementen damit auseinandersetzen, die Risiken analysieren und Schwachstellen beheben, desto einfacher wird der Weg in eine Zukunft, in der Anlagen und Geräte keine unerkannten Sicherheitsrisiken und versteckte Software enthalten“, fasst ONEKEY-CEO Jan Wendenburg zusammen. Neben dem automatisierten CVE Impact Assessment unterstützt die Plattform von ONEKEY Plattform auch bei den weiteren Prozessen, die zur Erfüllung des Cybersecurity Act notwending sind.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert – ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von „Software Bill of Materials (SBOM)“ können Software-Lieferketten proaktiv überprüft werden. „Digital Cyber Twins“ ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.
Mehr bei Onekey.com
Über ONEKEY ONEKEY (vormals IoT Inspector) ist die führende europäische Plattform für automatische Security & Compliance Analysen für Geräte in der Industrie (IIoT), Produktion (OT) und dem Internet der Dinge (IoT). Über automatisch erstellte „Digital Twins“ und „Software Bill of Materials (SBOM)“ der Geräte analysiert ONEKEY eigenständig Firmware auf kritische Sicherheitslücken und Compliance Verstöße, ganz ohne Sourcecode, Geräte- oder Netzwerkzugriff.
Passende Artikel zum Thema