Aktuelles, Branche - geschrieben von dp am Freitag, November 22, 2024 18:42 - noch keine Kommentare
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
ONEKEY warnt vor höchster Gefahr für Hersteller vernetzter Geräte, Maschinen und Anlagen, deren Produkte Open-Source-Software enthalten
[datensicherheit.de, 22.11.2024] Hersteller vernetzter Geräte, Maschinen und Anlagen sollten bei der Verwendung von Open-Source-Software in ihren Produkten aufgrund einer neuen EU-Regulierung besondere Vorsicht walten lassen: Open-Source-Programme selbst unterlägen nämlich nicht den strengen Regeln des bald in Kraft tretenden „Cyber Resilience Act“ (CRA) – die Hersteller von Produkten unter Verwendung von Open-Source-Komponenten hingegen sehr wohl: Vor dieser „Open-Source-Falle“ warnen Jan Wendenburg, „CEO“ von ONEKEY, und sein Cyber-Sicherheits-Expertenteam.
Open-Source-Software mit ausnutzbaren Schwachstellen: Verkäufer haftet
Die von der EU auf den Weg gebrachte CRA-Regulierung verlange von den Herstellern oder Inverkehrbringern (z.B. Importeure, Distributoren) von „Connected Devices“, dass sie diese auch nach der Auslieferung mit stets neuen Software-Updates versorgten, um sie dauerhaft gegen Hacker-Angriffe zu schützen.
Bei schwerwiegenden Verstößen gegen den CRA könnten Unternehmen mit Bußgeldern von bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des weltweiten Jahresumsatzes bestraft werden, „je nachdem, welcher Betrag höher ist“.
Wendenburg verdeutlicht: „Wenn Open-Source-Software mit ausnutzbaren Schwachstellen in neuen vernetzten Geräten verkauft wird, haftet nicht automatisch der Software-Anbieter, sondern immer derjenige, der das Produkt mit der integrierten Software auf den Markt bringt!“
„Open Source“ könnte Synonym für potenziell unsichere Software werden
ONEKEY erläutert den Hintergrund: Die EU trage beim CRA den Besonderheiten der Open-Source-Community Rechnung. Dadurch sollten nicht-kommerzielle Projekte, Hochschulen, Organisationen der Zivilgesellschaft und öffentliche Verwaltungen von den strengen Regularien in Bezug auf Cyber-Sicherheit befreit werden.
„Das ist zwar einerseits lobenswert, weil damit Forschung, Entwicklung und ehrenamtliches Engagement gefördert wird, aber andererseits könnten die geringeren Anforderungen zu potenziell unsicherer Software führen“, kommentiert Wendenburg.
Die CRA-Sonderrolle sogenannter Stewards von Open-Source-Projekten bewertet Wendenburg ebenfalls ambivalent: „Für diese Organisationen, die in einem geschäftlichen Umfeld Open-Source-Software entwickeln, sieht die CRA-Regulierung abgeschwächte Sicherheitsregeln vor.“ So seien sie beispielsweise von Geldbußen vollständig ausgenommen. Immerhin müssten sie eine Cyber-Sicherheitsstrategie für ihre Programme vorweisen, dürften erkannte Schwachstellen in der Software nicht ignorieren und müssten mit den CRA-Behörden zusammenarbeiten.
Hersteller von OT- und IoT-Geräten sollten Open-Source-Aktivitäten erneut überdenken
„Bei allem Verständnis für die Open-Source-Community, ist durch die zahlreichen Ausnahmen und Abschwächungen für die Akteure auf diesem Sektor, der Schutzwall gegen Cyber-Kriminelle, den die EU mit dem ,Cyber Resilience Act’ gerade aufbaut, von Anfang an löchrig geworden“, warnt Wendenburg.
Er verweist auf die Diskrepanz zwischen den niedrigeren Anforderungen bei der Entwicklung von Open-Source-Programmen einerseits und der vollständigen Pflichterfüllung andererseits, sobald die Software als Bestandteil eines „Produkts mit digitalen Elementen“ kommerziell genutzt wird.
„Die Hersteller von OT- und IoT-Geräten sind daher gut beraten, ihre Open-Source-Aktivitäten neu zu überdenken“, so seine dringende Empfehlung. Gemeint seien damit Maschinelle Steuerungen („Operation Technology“ / OT), wie sie in der sogenannten Industrie 4.0 auf breiter Front zum Einsatz kämen, und Geräte für das „Internet of Things“ (IoT), also beispielsweise im „Smart Home“.
Immer mehr Open-Source-Software bei OT und IoT im Einsatz
Nach aktuellem Stand werde Open-Source-Technologie zunehmend in der Entwicklung und im Einsatz von OT- und IoT-Plattformen verwendet. Über 100 Open-Source-Projekte für OT/IoT seien alleine in EU-Initiativen dokumentiert, welche eine große Bandbreite von Softwarekomponenten umfassten, wie etwa „Gateways, Middleware für Edge-Computing und Cloud-Plattformen“.
Die EU fördere aktiv Open-Source-Projekte für den OT/IoT-Sektor. Wendenburgs Analyse: „Der Einsatz von ,Open Source’ bringt viele Vorteile, aber auch erhebliche Herausforderungen bei der OT- und IoT-Integration mit sich.“
Mit der CRA-Regulierung kämen zusätzliche Auflagen in Sachen Sicherheit hinzu, die es zu erfüllen gelte. Die neue Dimension liege dabei in der Haftung: „Jeder Fehler kann einen Produkthersteller im wahrsten Sinne des Wortes teuer zu stehen kommen!“
„Software Bill of Materials“ und Schwachstellenprüfung unerlässlich – nicht nur bei Verwendung von Open-Source-Komponenten
Wendenburg rät den Herstellern vernetzter Geräte, Maschinen und Anlagen zu einer automatischen SBOM- und Schwachstellenanalyse, bevor die Produkte auf den Markt gebracht werden. Das Kürzel SBOM stehe für „Software Bill of Materials“, also für eine Stückliste aller Softwarekomponenten, „in der die Komponenten festgestellt werden“. Anschließend werde die Cyber-Resilienz auf Schwachstellen geprüft und dokumentiert.
Dazu erfolge zuerst ein Abgleich mit der CVE-Datenbank aller bekannten Softwareschwachstellen (CVE: „Common Vulnerabilities and Exposures“), welche vom Massachusetts Institute of Technology Research and Engineering (MITRE) im Auftrag der US-Regierung verwaltet werde. Jeden Monat kämen zwischen 500 und 2.000 neue Einträge über bekanntwerdende Sicherheitslücken hinzu. Etwa 25 bis 30 Prozent davon entfielen auf Open-Source-Software, schätzten Experten.
Danach werde auf unbekannte, sogenannte Zero-Day-Schwachstellen geprüft. „Allerdings genügt es laut CRA nicht, diesen Check nur bei der Auslieferung eines neuen OT/IoT-Produktes auf den Markt durchzuführen, sondern es muss über die gesamte Produklebensdauer hinweg immer wieder neu geprüft werden“, betont Wendenburg, und ergänzt abschließend: „Bei IoT-Geräten etwa für das ,Smart Home’ wird üblicherweise von fünf Jahren Einsatzdauer ausgegangen, aber bei Maschinellen Steuerungen für die ,Industrie 4.0‘ kann der Lebenszyklus bei zehn, 20 oder mehr Jahren liegen.“
Weitere Informationen zum Thema:
datensicherheit.de, 20.11.2024
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand / „Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht
datensicherheit.de, 24.10.2024
CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit / CRA erzwingt, vernetzte Produkte über gesamten Lebenszyklus hinweg mit neuen Updates zu versehen
datensicherheit.de, 18.10.2024
Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen / Suzanne Button kommentiert Bedeutung des CRA für europäische Unternehmen und unterstreicht Handlungsbedarf
datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe
datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf
Aktuelles, Experten - Dez 11, 2024 21:16 - noch keine Kommentare
„Power Off“: BKA meldet internationale Anti-DDoS-Operation gegen Stresser-Dienste
weitere Beiträge in Experten
- vzbv-Stellungnahme zum Forschungsdatenzugang: Mehr Transparenz auf digitalen Plattformen gefordert
- Bitkom artikuliert vorab Bedenken: KI-Stellungnahme des EDSA noch im Dezember 2024 erwartet
- Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein
- Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
- Crimenetwork: BKA und ZIT gelang Abschaltung
Aktuelles, Branche, Studien - Dez 11, 2024 21:25 - noch keine Kommentare
Deepnude AI Image Generator: Cyber-Kriminelle lockten Opfer mit speziellem Köder
weitere Beiträge in Branche
- Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf
- KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren