Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung

Fraunhofer IEM empfiehlt drei Sofortmaßnahmen für Unternehmen

[datensicherheit.de, 11.10.2024] Das Fraunhofer-Institut für Entwurfstechnik Mechatronik (IEM) geht in einer aktuellen Stellungnahme auf den lange angekündigten „Cyber Resilience Act“ (CRA) ein, der nun am 10. Oktober 2024 verabschiedet wurde: „Damit gelten ab dem November 2027 für eine Vielzahl vernetzter Geräte und deren Software EU-weite neue Mindestanforderungen in puncto Security – Schwachstellen-Meldepflichten gelten sogar schon ab August 2026.“ Vor allem die Hersteller von Produkten werden demnach in die Pflicht genommen: Diese müssten sicherstellen, „dass ihre Produkte die Sicherheitskriterien für den europäischen Markt erfüllen, und zwar mit wenigen Ausnahmen, unabhängig der Branche“. Das Fraunhofer IEM erarbeite mit Unternehmen wie adesso mobile solutions, Connext, Phoenix Contact und Kraft Maschinenbau seit vielen Jahren Security-Maßnahmen – nachfolgend gibt es Tipps, wie Unternehmen sich für den CRA rüsten könnten.

Fraunhofer IEM empfiehlt Unternehmen, jetzt drei Maßnahmen zu ergreifen, um den Weg zur CRA-konformen Produktentwicklung zu beginnen

„Die Übergangsfrist, bis der CRA 2027 voll erfüllt werden muss ist kurz. Unternehmen müssen sich in vielen Bereichen neu aufstellen – angefangen von der Durchführung von Security-Risikoanalysen über kurzfristige Meldepflichten bei Bekanntwerden von Schwachstellen bis hin zu kostenfreien Security-Updates während der erwarteten Lebensdauer des Produkts“, erläutert Dr. Matthias Meyer, Bereichsleiter „Softwaretechnik und IT-Sicherheit“ am Fraunhofer IEM. Er warnt: „Und Aufschieben gilt nicht, denn bei Nichteinhaltung des CRA drohen Strafzahlungen in Millionenhöhe!“

Das IEM empfiehlt Unternehmen, jetzt drei Maßnahmen zu ergreifen, um den Weg zur CRA-konformen Produktentwicklung zu beginnen. Dr. Meyer erläutert: „Die schnelle Reaktion auf das Bekanntwerden von Schwachstellen und systematische Risikoanalysen sind essenzielle Maßnahmen zur Erfüllung der CRA-Anforderungen: Unternehmen, die diese Maßnahmen jetzt angehen, sind schon sehr gut unterwegs.“ Zusätzlich bringe eine Ist-Stands-Analyse im Hinblick auf die Produkte und Prozesse Klarheit für das weitere Vorgehen.

1. IEM-Tipp: Aufbau eines Schnelleinsatzteams für den Ernstfall

„Werden Hersteller gewahr, dass Schwachstellen in ihren Produkten ausgenutzt werden, müssen sie künftig die Agentur der Europäischen Union für Cybersicherheit (ENISA) umgehend informieren: Innerhalb von 24 Stunden müssen sie eine erste Warnung geben und innerhalb von 72 Stunden weitere Details zur Art der Schwachstelle, möglichen Gegenmaßnahmen und mehr liefern.“

Abgesehen davon müssten sie jederzeit ansprechbar sein für Personen, die Sicherheitslücken melden möchten, und im Blick behalten, ob Schwachstellen in einem zugelieferten Softwarebestandteil bekannt werden. Dies gehöre zu den Aufgaben eines „Product Security Incident Response Teams“ (PSIRT): „Hersteller, die noch kein PSIRT etabliert haben, sollten sich dringend damit befassen, denn die genannten Pflichten sind bereits ab Juni 2026 zu erfüllen, und zwar für alle Produkte auf dem Markt, auch solche, die lange vor Inkrafttreten des CRA lanciert wurden.“

2. IEM-Tipp: Bedrohungs- und Risikoanalysen als zentrales Instrument

Im Kern verlange der CRA, „dass Hersteller ihre Produkte regelmäßig auf Sicherheitsrisiken analysieren und an diese Risiken angepasste Sicherheitsmaßnahmen integrieren“. Unternehmen müssten das Durchführen von Bedrohungs- und Risikoanalysen für alle Produkte fest in den Entwicklungsprozess integrieren:

„So identifizieren sie systematisch Bedrohungen, bewerten das jeweilige Sicherheitsrisiko und leiten informiert und gezielt Schutz- und Gegenmaßnahmen ab.“ Das Sicherheitsniveau der Software könne somit kontinuierlich und vor allem angemessen erhöht werden. Entwickler erlangten ein neues Sicherheitsbewusstsein und teure, aber eigentlich unnötige Maßnahmen würden sogar vermieden.

3. IEM-Tipp: Überblick durch Ist-Stand-Analyse

Die ersten beiden o.g. Maßnahmen seien wichtig, würden aber nicht ausreichen: „Unternehmen müssen sich ein Bild davon machen, welche Anforderungen des CRA sie erfüllen, und zwar sowohl bezüglich ihrer Prozesse im Produktlebenszyklus als auch der konkreten Produkte!“

Auch wenn noch keine harmonisierten Normen zum CRA vorlägen, sei einhellige Expertenmeinung, dass der bereits existierende Standard für Industrielle Cybersicherheit IEC 62443 eine sehr gute Orientierung gebe. Unternehmen müssten also nicht warten, sondern könnten schon jetzt Ist-Stands-Analysen für ihre Prozesse und Produkte durchführen und Maßnahmen ableiten – „und somit wertvolle Zeit bei der Umsetzung des CRA gewinnen“.

Weitere Informationen zum Thema:

datensicherheit.de, 10.06.2024
EU Cyber Resilience Act: Empfehlungen zur Umsetzung / Aus den Fallstricken der DSGVO lernen / Zahl der vernetzten Geräte wächst bis 2050 weltweit voraussichtlich auf 24 Milliarden – vergrößerte Hacker-Angriffsflächen durch IoT

datensicherheit.de, 06.06.2024
Smarte Produkte mit bekannten Sicherheitslücken: Cyber Resilience Act gebietet Lieferstopp / Laut Cyber Resilience Act dürfen Geräte mit bekannten ausnutzbaren Schwachstellen demnächst nicht mehr ausgeliefert werden

datensicherheit.de, 07.05.2024
Cyber Resilience Act: Verstöße können Unternehmen CE-Kennzeichnung kosten / Hersteller, Importeure und Händler sollten umgehend cyber-sicherheitskonforme Prozesse schaffen und automatisieren

datensicherheit.de, 03.10.2023
EU Cyber Resilience Act Herausforderung für Hersteller und Inverkehrbringer von Smart Devices / IoT-Sicherheitskonferenz CYBICS am 28. November 2023 informiert über Compliance, Sicherheit und Best Practices im Umfeld vom Cyber Resilience Act

datensicherheit.de, 16.09.2022
Cyber Resilience Act: Sichere IoT-Geräte schwer zu entwerfen / Cybersecurity by Design soll helfen, potenzielle Einfallstore zu schließen

datensicherheit.de, 16.09.2022
Cyber Resilience Act: TÜV-Verband fordert Nachschärfungen / EU-Vorschlag für verpflichtende gesetzliche Anforderungen hinsichtlich Cyber-Sicherheit von Hardware- und Software-Produkten vorgelegt