Aktuelles, Branche - geschrieben von dp am Donnerstag, Juni 6, 2024 0:47 - noch keine Kommentare
Smarte Produkte mit bekannten Sicherheitslücken: Cyber Resilience Act gebietet Lieferstopp
Laut Cyber Resilience Act dürfen Geräte mit bekannten ausnutzbaren Schwachstellen demnächst nicht mehr ausgeliefert werden
[datensicherheit.de, 06.06.2024] Allein in den USA sind im Jahr 2024 bisher 14.286 „Common Vulnerabilities and Exposures“ (CVE) auf der Website des National Institute of Standards and Technology (NIST) veröffentlicht worden – diese bezeichnen Sicherheitslücken und andere Schwachstellen in Computersystemen, welche einem Hacker einen Cyber-Angriff ermöglichen können. ONEKEY weist in einer aktuellen Stellungnahme darauf hin, dass gemäß der kommenden EU-Gesetzgebung, dem „Cyber Resilience Act“ (CRA), Geräte demnächst nicht mehr mit bekannten ausnutzbaren Schwachstellen ausgeliefert werden dürfen. „Treten dennoch bekannte und ausnutzbare Schwachstellen auf, haften Hersteller, Verkäufer oder Importeure als Unternehmen und die gesamte Unternehmensführung.“
Jan C. Wendenburg: Der CRA fordert von allen Herstellern verpflichtende Prüfungen, Überwachung und Dokumentation der Produkt-Cyber-Sicherheit!
Cyber Resilience Act soll Kunden zu effektivem Anspruch auf sichere Software verhelfen
Beim Thema Cyber-Resilienz solle für die Zukunft unter der Gesetzgebung des „Cyber Resilience Act“ (CRA) klar sein, dass Kunden – im privaten wie im industriellen Umfeld – einen effektiven Anspruch auf sichere Software hätten. „Der Wettlauf allerdings, wer Schwachstellen zuerst entdeckt, geht weiter: Unternehmen sind daher gut beraten, jetzt sowohl eine effiziente CVE-Erkennung als auch ein ,Impact Assessment’ einzuführen, um die eigenen Produkte besser zu durchleuchten und sich gegen schwerwiegende Folgen von Schwachstellenszenarien zu wappnen.“
Jan C. Wendenburg, „CEO“ von ONEKEY, kommentiert: „Der CRA fordert von allen Herstellern verpflichtende Prüfungen, Überwachung und Dokumentation der Produkt-Cyber-Sicherheit, dazu gehört auch die Prüfung auf unbekannte Schwachstellen, den sogenannten ‚Zero Days‘.“
Wissen um die eigenen Cyber-Schwachstellen
Der Begriff „Zero Day“ stehe für neu entdeckte Sicherheitslücken, über die Hacker angreifen könnten, und bezieht sich auf „Null Tage“, welche ein Hersteller oder Entwickler Zeit habe, den Fehler zu beheben. Viele Hersteller oder sogenannte Inverkehrbringer würden die potenziellen Schwachstellen ihrer eigenen Produkte nur unzureichend kennen, welche sich beispielsweise bei Industriesteuerungen auch in Komponenten mit eigener Firmware von Zulieferern verbergen könnten. Generell könnten Hardware und Firmware sowie alle Geräte des Internets der Dinge (Internet of Things / IoT) von solchen Schwachstellen betroffen sein.
Mit dem „ONEKEY Compliance Wizard“ möchten die Cyber-Sicherheitsexperten von ONEKEY eine umfassende Cyber-Sicherheitsbewertung von Produkten mit digitalen Elementen anbieten. Durch die Kombination von automatischer Schwachstellenerkennung, CVE-Priorisierung und Filterung mit einem ganzheitlichen, interaktiven Compliance-Fragebogen werden demnach Aufwand und Kosten von Cyber-Sicherheits-Compliance-Prozessen deutlich reduziert und das Risiko drohender Bußgelder minimiert. „Wer nicht pünktlich zum Start des CRA ganz vorne in der Reihe der Bußgeld-Zahler stehen will, muss bereits jetzt Prozesse schaffen, um die eigenen Risiken analysieren und patchen zu können“, unterstreicht Wendenburg.
Gesamte Lieferkette muss hinsichtlich der Cyber-Sicherheit von Produkten und Komponenten dokumentiert werden
Mit einem „CRA Assessment“ könne die aktuelle und zukünftige Compliance zu den CRA-Anforderungen ermittelt und so frühzeitig potenzieller Handlungsbedarf identifiziert werden. „Dafür können Unternehmen auf das Wissen der ONEKEY-Experten für Cyber-Sicherheit zurückgreifen.“ Hersteller und Importeure müssten im Zuge der neuen Anforderungen auch eine umfassende Dokumentation der Soft- und Firmwarekomponenten ihrer Produkte führen. Dafür sei nach CRA-Vorschriften eine Software-Stückliste (Software Bill of Materials / SBOM) zu erstellen und zu überwachen. So könne die gesamte Lieferkette hinsichtlich der Sicherheit von Produkten und Komponenten – also auch zugekaufte Komponenten mit eigener Firmware – dokumentiert werden.
Diese Anforderungen könnten mit vertretbarem Aufwand nur durch Automatisierung effizient abgebildet werden. Mit der „ONEKEY PLATFORM“ z.B. könne die Firmware automatisch auf Schwachstellen untersucht und eine SBOM erzeugt werden. Alle Geräte benötigten zukünftig entweder eine Sicherheits-Selbsterklärung oder externe Zertifizierung. „Durch Automatisierung lässt sich der Aufwand bei der Selbsterklärung oder Vorbereitung der Zertifizierung deutlich reduzieren. Dies stellen wir mit der „ONEKEY PLATFORM“ einfach zur Verfügung. Jetzt liegt es an den Unternehmen, die notwendigen Maßnahmen zur Erfüllung des CRA auch umzusetzen“, betont Wendenburg abschließend.
Weitere Informationen zum Thema:
ONEKEY PLATFORM
CUT COSTS AND TIME FOR PRODUCT CYBERSECURITY COMPLIANCE MANAGEMENT
datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate
datensicherheit.de, 07.05.2024
Cyber Resilience Act: Verstöße können Unternehmen CE-Kennzeichnung kosten / Hersteller, Importeure und Händler sollten umgehend cyber-sicherheitskonforme Prozesse schaffen und automatisieren
datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Okt 4, 2024 18:53 - noch keine Kommentare
Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
weitere Beiträge in Branche
- Hacker nehmen verstärkt Rentner ins Visier
- Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren