[datensicherheit.de, 30.04.2026] Der „Cyber Resilience Act“ (CRA) ist nun mittlerweile seit Dezember 2024 in Kraft. „Doch für viele kleine und mittlere Unternehmen bleibt er ein Buch mit ,sieben Siegeln’“, kommentiert Ari Albertini, CEO bei FTAPI. Aber dies ändere sich gerade: „Ab September 2026 greifen die ersten Meldepflichten, und das deutsche Durchführungsgesetz, das die Umsetzung regeln soll, steckt in der Kritik.“ Verbände wie etwa der TeleTrusT bemängelten, dass die vorgesehene Unterstützung für KMU weit hinter dem Bedarf zurückbleibe. Nach Einschätzung von FTAPI sollten KMU nicht auf staatliche Hilfe warten, sondern jetzt selbst handeln und ihre „CRA-Readiness“ aufbauen.

Foto: FTAPI

Ari Albertini unterstreicht: Wer CRA-konform ist, wird zum bevorzugten Partner in Lieferketten, in denen Auftraggeber künftig auf nachweisbare Sicherheitsstandards bestehen müssen

CRA-Umsetzung als „Chefsache“

Der CRA verpflichtet alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen wie Software, Hardware und IoT-Geräte zu umfassenden Cybersicherheitsmaßnahmen.

• „Anders als bei Regularien wie NIS-2 gibt es hier keine größenabhängigen Ausnahmen. Ob Konzern oder Kleinstunternehmen: Wer digitale Produkte in der EU vertreibt, muss die Anforderungen erfüllen!“

Die Umsetzung sei dabei nicht nur Aufgabe der IT-Abteilung, sondern „Chefsache“ – mit persönlicher Haftung der Geschäftsführung im Ernstfall. Gleichzeitig zeige der aktuelle Referentenentwurf zum „CRA-Durchführungsgesetz“: Der Staat habe für die Unterstützung 1,28 Millionen Euro jährlich eingeplant. Zum Vergleich: „Das ,NIS-2-Gesetz’ sah allein für Schulungen in der Bundesverwaltung das Vierfache vor.“

FTAPI-Checkliste: In 5 Schritten zur „CRA-Readiness“

Die Unterstützungslücke zeige deutlich: KMU müssten die CRA-Umsetzung selbst in die Hand nehmen. Fünf Schritte, die jetzt zählten:

• Schritt 1: Betroffenheit klären!
  Jedes Produkt, welches sich direkt oder indirekt mit einem Gerät oder Netzwerk verbinden kann (also nicht nur IoT-Geräte, sondern auch reine Softwareprodukte) fällt unter den CRA, unabhängig davon, ob es tatsächlich verbunden wird. Dies betrifft nicht SaaS-Lösungen und Open-Source-Komponenten.

• Schritt 2: Meldeprozesse aufbauen!
  Die erste harte Pflicht greift bereits in wenigen Monaten: Ab dem 11. September 2026 müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gemeldet werden. Der Zeitplan ist eng:
  – Erstmeldung innerhalb von 24 Stunden
  – Folgemeldung innerhalb von 72 Stunden
  – Abschlussbericht spätestens 14 Tage nach Verfügbarkeit einer Abhilfemaßnahme
  Wer noch keine internen Prozesse für Schwachstellen-Management und „Incident Response“ hat, muss diese jetzt etablieren – nicht als IT-Projekt, sondern als Betriebsthema.

• Schritt 3: „Security by Design“ verankern!
  Der CRA verlangt, dass Sicherheit von Beginn an Teil der Produktentwicklung ist. Die größten Lücken entstehen dort, wo Architekturentscheidungen (Authentifizierung, Datenflusskontrolle, Mandantenfähigkeit) ohne explizite Security-Perspektive getroffen wurden. KMU, die jetzt starten, müssen keine Perfektion anstreben, aber einen nachweisbaren, dokumentierten Prozess.

• Schritt 4: Lieferkette und Open-Source-Abhängigkeiten inventarisieren!
  Viele Produkte bestehen heute aus einer Kombination aus Eigenentwicklung, Open-Source-Bibliotheken, „Cloud“-Diensten und Drittkomponenten. Der CRA adressiert genau diese Risiken: Hersteller tragen die Verantwortung auch für eingebettete Komponenten Dritter. Eine „Software Bill of Materials“ (SBOM) – eine strukturierte Übersicht aller verwendeten Softwarebestandteile – ist dabei das zentrale Werkzeug, um Transparenz herzustellen und im Ernstfall handlungsfähig zu bleiben.

• Schritt 5: Fördermöglichkeiten nutzen!
  Die EU stellt mit dem Programm „SECURE“ insgesamt 16,5 Millionen Euro als direkte finanzielle Unterstützung für KMU bereit, welche Produkte mit digitalen Elementen herstellen, entwickeln oder vertreiben. Förderfähig sind demnach u.a. Risikoanalysen, Penetrationstests und Sicherheitsbewertungen. Antragsberechtigt sind Unternehmen mit weniger als 250 Mitarbeitern und bis zu 50 Millionen Euro Jahresumsatz. Der erste „Call“ ist bereits geschlossen, eine zweite Runde bereits angekündigt.

CRA-Konformität: Regulierung als Wettbewerbsvorteil erkennen

Die Anforderungen eröffneten auch eine strategische Chance: „Wer CRA-konform ist, wird zum bevorzugten Partner in Lieferketten, in denen Auftraggeber künftig auf nachweisbare Sicherheitsstandards bestehen müssen.“ Umgekehrt drohe der Verlust von Aufträgen für alle, die nicht liefern können.

• „Die neuen Regularien zwingen Unternehmen, Cybersicherheit strategisch zu denken”, betont Albertini. Er führt hierzu weiter aus: „Das ist der Moment, in dem sich entscheidet, wer in den nächsten Jahren noch als verlässlicher Technologiepartner wahrgenommen wird. KMU, die jetzt handeln, kaufen sich einen Vorsprung, den andere nicht mehr aufholen können.“

Der CRA markiere das Ende der Ära, „in der Cybersicherheit ein Thema für Spezialisten war“. Unternehmen, welche Sicherheit als operative und strategische Selbstverständlichkeit begreifen, schützen nicht nur ihre Produkte, sondern sicherten ihre Marktfähigkeit in einem regulierten Europa.

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V., 01.04.2026
Stellungnahmen 2026 / Stellungnahme zum BMI-Referentenentwurf des Durchführungsgesetzes zur Cyberresilienz-Verordnung

SECURE Cyber Resilience für SMEs
About SECURE: Strengthening the cyber resilience of European MSMEs for a more secure and sustainable digital single market. 

ftapi
Die #1 Plattform für sicheren Datenaustausch. / Die beste Wahl, um sensible Dateien sicher und gesetzeskonform auszutauschen. Made & hosted in Germany.

heise business services
Ari Albertini – CEO, FTAPI

datensicherheit.de, 21.03.2026
Cyber Resilience Act: BSI hat Vorsitz der AdCo CRA / Die Rolle der Vorsitzenden wurde Anna Schwendicke, BSI-Referatsleiterin „Marktaufsicht“, im Rahmen der Sitzung der AdCo CRA am 19. März 2026 in Athen übertragen

datensicherheit.de, 06.04.2025
CRA erzwingt Produktanpassungen: Höchste Zeit für Hersteller zu handeln / Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen nach CRA-Inkrafttreten in der EU bald nicht mehr verkauft werden

datensicherheit.de, 22.11.2024
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle / ONEKEY warnt vor höchster Gefahr für Hersteller vernetzter Geräte, Maschinen und Anlagen, deren Produkte Open-Source-Software enthalten

[datensicherheit.de, 01.04.2026] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat am 1. April 2026 eine kritische Stellungnahme zum Referentenentwurf aus dem Bundesministerium des Innern (BMI) für ein Durchführungsgesetz zur EU-Cyberresilienz-Verordnung abgegeben: DerTeleTrusT hält eine „deutliche Nachschärfung“ des vorliegenden Entwurfs für erforderlich.

TelTrusT mahnt verlässliche personelle, technische und organisatorische BSI-Ausstattung an

Der BMI-Referentenentwurf greife die durch den „Cyber Resilience Act“ (CRA) erforderlichen nationalen Regelungen zwar im Grundsatz auf –

• dieser bleibe in seiner derzeitigen Fassung jedoch in zentralen Punkten hinter den praktischen und rechtlichen Anforderungen zurück.

Die vorgesehene Aufgabenbündelung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sei nur dann tragfähig, wenn dessen personelle, technische und organisatorische Ausstattung verlässlich und dauerhaft abgesichert werde. „Daran fehlt es bislang!“

TelTrusT-Plädoyer für substanziell ausgebautes und praxisnahes Unterstützungskonzept für Unternehmen

Besonders kritisch seien die zu weit gefasste Ausnahmeregelung für die Notifizierung von Konformitätsbewertungsstellen ohne Akkreditierung, die unzureichend konkretisierten Unterstützungsleistungen für Wirtschaftsakteure sowie die unklare Ausgestaltung des Reallabors für Cyberresilienz.

• In allen drei Bereichen bestehe die Gefahr, „dass der Entwurf formale Strukturen schafft, ohne deren praktische Wirksamkeit belastbar sicherzustellen“.

Der TeleTrusT hält daher eine „deutliche Nachschärfung des Entwurfs“ für erforderlich. Notwendig seien insbesondere eine verlässliche Finanzierung und Ausstattung des BSI und der Deutschen Akkreditierungsstelle (DAkkS), enge und klare Voraussetzungen für Ausnahmen von der akkreditierungsbasierten Notifizierung, ein substanziell ausgebautes und praxisnahes Unterstützungskonzept für Unternehmen sowie transparente und nachvollziehbare Regelungen zum Reallabor.

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V.
Ziele und Nutzen Bundesverband IT-Sicherheit e.V. (TeleTrusT)

TeleTrusT Bundesverband IT-Sicherheit e.V.
Arbeitsgruppe „IT-Sicherheitsrecht“ – RA Karsten U. Bartels, LL.M., HK2 Rechtsanwälte

TeleTrusT Bundesverband IT-Sicherheit e.V., 01.04.2026
Stellungnahme zum BMI-Referentenentwurf des Durchführungsgesetzes zur Cyberresilienz-Verordnung

Bundesministerium des Innern, 18.03.2026
Verordnung: Gesetzesentwurf zur Durchführung der Verordnung (EU) 2024/2847 (Cyberresilienz-Verordnung) / Gesetz zur Durchführung der Cyberresilienz-Verordnung

Bundesministerium des Innern, 18.03.2026
Entwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyberresilienz-Verordnung)

datensicherheit.de, 21.03.2026
Cyber Resilience Act: BSI hat Vorsitz der AdCo CRA / Die Rolle der Vorsitzenden wurde Anna Schwendicke, BSI-Referatsleiterin „Marktaufsicht“, im Rahmen der Sitzung der AdCo CRA am 19. März 2026 in Athen übertragen

datensicherheit.de, 06.04.2025
CRA erzwingt Produktanpassungen: Höchste Zeit für Hersteller zu handeln / Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen nach CRA-Inkrafttreten in der EU bald nicht mehr verkauft werden

datensicherheit.de, 22.11.2024
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle / ONEKEY warnt vor höchster Gefahr für Hersteller vernetzter Geräte, Maschinen und Anlagen, deren Produkte Open-Source-Software enthalten

datensicherheit.de, 20.11.2024
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand / „Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht

[datensicherheit.de, 21.03.2026] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet, dass im Rahmen der Umsetzung des „Cyber Resilience Act“ (CRA) dem BSI erneut eine besondere Rolle zuerkannt wird – neben der Ernennung zur marktüberwachenden Behörde übernimmt das BSI auf europäischer Ebene nun den Vorsitz der AdCo CRA (Administrative Cooperation Group Cyber Resilience Act).

Foto: © ENISA

Teilgruppenbild der AdCo CRA in Athen (v.l.n.r): Tommaso Bernabo (DG Connect), Perit Kirkmann-Raave (ENISA), Maika Fohrenbach (DG Connect), Xenia Kyriakidou (Digital Security Authority Zypern – Vice-Chair AdCo CRA), Anna Schwendicke (BSI – Chair AdCo CRA), Luis Miguel Vega Fidalgo (DG Connect), Razvan Gavrila (ENISA)

AdCo CRA – eine formelle Gruppe zur effizienten europäischen Marktüberwachung

Die Rolle der Vorsitzenden übernimmt demnach Anna Schwendicke, BSI-Referatsleiterin „Marktaufsicht“ – der Vorsitz wurde ihr offiziell auf der Sitzung der AdCo CRA am 19. März 2026 in Athen übertragen. Mit dieser Funktion erfolge nun ein bedeutender nächster Schritt im Aufbau des „CRA-Ökosystems“.

• Die AdCo CRA sorge als eine formelle Gruppe für eine effiziente übergreifende Zusammenarbeit und Kommunikation der europäischen Marktüberwachungsbehörden und eine einheitliche Auslegung der Marktüberwachungen im europäischen Binnenmarkt.

Zudem entwickele sie gemeinsame Vorgehensweisen und Methodiken zur Umsetzung der Anforderungen des CRA und koordiniere übergreifende Marktüberwachungsmaßnahmen.

BSI in der Verantwortung für EU-weite einheitliche CRA-Umsetzung

Mit dieser aktiven Rolle übernehme das BSI Verantwortung für die EU-weite einheitliche CRA-Umsetzung. Schwendicke führt hierzu aus: „Die CRA-Marktüberwachung ist ein europäisches Vorhaben, denn nur mit einem robusten und effizienten europäischen ,Ökosystem‘ kann Cybersicherheit erfolgreich im Markt verankert werden. Als BSI wollen wir unsere Cybersicherheits-Expertise und Netzwerke nutzen, um dieses System gemeinschaftlich mit unseren europäischen AdCo-Partnern aufzubauen.“

• Umfangreiche Cybersicherheitskompetenzen, Erfahrungen mit der Cybersicherheit von Produkten und ein starkes Netzwerk an anderen europäischen Behörden machten das BSI zu einer geeigneten Instanz für die Ausübung des Vorsitzes.

Der CRA ist laut BSI die erste europäische Verordnung, welche „ein angemessenes Maß an Cybersicherheit für alle Produkte mit digitalen Elementen, die auf dem EU-Markt erhältlich sind, festlegt“. Ziel sei es, die Cybersicherheit innerhalb der Europäischen Union (EU) zu erhöhen: „Die neuen Vorschriften gelten in allen EU-Mitgliedstaaten und werden bis zum 11. Dezember 2027 schrittweise umgesetzt.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Cyber Resilience Act – Cybersicherheit EU-weit gedacht

Bundesamt für Sicherheit in der Informationstechnik, 07.10.2025
Cyber Resilience Act: BSI wird marktüberwachende Behörde

European Commission
Administrative Cooperation Groups (AdCos): European cooperation on market surveillance takes place through informal groups of market surveillance authorities, called Administrative Cooperation Groups (AdCos)

European Commission
Draft Commission guidance on the Cyber Resilience Act

datensicherheit.de, 06.04.2025
CRA erzwingt Produktanpassungen: Höchste Zeit für Hersteller zu handeln / Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen nach CRA-Inkrafttreten in der EU bald nicht mehr verkauft werden

datensicherheit.de, 22.11.2024
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle / ONEKEY warnt vor höchster Gefahr für Hersteller vernetzter Geräte, Maschinen und Anlagen, deren Produkte Open-Source-Software enthalten

datensicherheit.de, 20.11.2024
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand / „Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht

[datensicherheit.de, 10.11.2025] Laut einer aktuellen Stellungnahme von ONEKEY entwickeln sich erweiterte Software-Stücklisten zum Sicherheitspass mit integrierter Risikobewertung und allen regulatorisch konformen Nachweisen. Die EU-Verordnung „Cyber Resilience Act“ (CRA) schreibt vor, dass die Hersteller und Inverkehrbringer digitaler Produkte mit Internetanschluss künftig eine „Software Bill of Materials“ (SBOM), also eine Software-Stückliste, vorweisen müssen – mit dem Ziel, mögliche Software-Schwachstellen, die Hackern als Angriffsfläche dienen könnten, zu identifizieren, um sie zeitnah beheben zu können.

Derzeit noch viele SBOMs unvollständig, veraltet oder ohne Kontext zu Schwachstellen

Der CRA verlange daher für vernetzte Geräte, Maschinen und Anlagen ausnahmslos eine detaillierte Auflistung aller Programme, Bibliotheken, „Frameworks“ und Abhängigkeiten mit genauen Versions­nummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einem Überblick über alle bekannten Schwachstellen und Sicherheitslücken.

• Diese Anforderungen zu erfüllen falle noch vielen Herstellern schwer – und sei es nur, weil sie von ihren Vorlieferanten nicht die gewünschten Informationen in der notwendigen Vollständigkeit erhielten.

Aus diesem Grund seien viele SBOMs unvollständig, veraltet oder ohne Kontext zu Schwachstellen. Für die in der EU-Regulatorik zwingend vorgeschriebene Nachweispflicht von Seiten der Hersteller seien diese lückenhaften und teilweise überholten SBOMs somit unbrauchbar.

Angereicherte SBOMs – Software- Stücklisten auf dem Weg zum Sicherheitspass

Jetzt hat ONEKEY seine Plattform zur Überprüfung von Gerätesoftware (Firmware) auf Sicherheitsmängel nach eigenen Angaben mit einer neuen Funktion versehen, um sogenannte angereicherte SBOMs zu erzeugen.

• Die stark erweiterten Software-Stücklisten enthielten alle relevanten Informationen zu Schwachstellen – die damit erzeugten SBOMs erfüllten alle Anforderungen der Branche vollumfänglich. Sie enthielten nicht nur die Schwachstellen mit Risikoeinordnung, sondern stellten auch die Nachweise und Begründungen in einer einzigen leicht handhabbaren Datei bereit.

„Somit wird die SBOM von der bloßen Stückliste zu einer Art Sicherheitspass mit integrierter Risiko­bewertung“, unterstreicht Jan Wendenburg, CEO von ONEKEY. Seine Erkenntnis auf Basis vieler Gespräche mit Herstellern: „Die häufig komplexen Lieferketten und das oftmals mangelnde Verständnis von Lieferanten außerhalb der Europäischen Union für EU-spezifische Regulierungen erschweren es, den Anforderungen des ,Cyber Resilience Act’ nachzukommen.“ Die neue Funktionalität stelle nun einen entscheidenden Beitrag dar, diese Hürde zu überwinden.

Umfassendes Schwachstellen-Management statt bloßer -Erkennung mittels ONEKEY-Plattform

Das jüngste Feature sei Teil einer Offensive zum Ausbau der Plattform von ONEKEY, so dass diese das umfassende Management von Schwachstellen in Software noch besser unterstützen könne. Bislang sie diese Plattform vor allem auf die bloße Erkennung von Software-Schwachstellen ausgerichtet gewesen.

• „Mängel zu identifizieren ist nur der erste Schritt“, so Wendenburg. Er führt weiter aus: „Jetzt gehen wir die weiteren Schritte, um die Hersteller soweit wie möglich von aufwändigen manuellen Tätigkeiten zur Erlangung der CRA-Konformität zu entlasten.“

Durch automatisierte „Workflows“, kontextuelle Bewertungen und audit-fertige Dokumentationen sollen Sicherheits- und „Compliance“-Teams demnach in die Lage versetzt werden, schneller zu reagieren und regulatorisch korrekt zu agieren. „Indem wir der Plattform ermöglichen, immer mehr Routineaufgaben zu übernehmen, geben wir den Spezialisten mehr Zeit, sich auf ihre wichtigste Aufgabe zu konzentrieren, die Sicherheit ihrer Geräte, Maschinen und Anlagen zu maximieren“, kommentiert Wendenburg in Anlehnung an die Unternehmensstrategie.

Weitere Informationen zum Thema:

ONEKEY
wir ermöglichen Produkt Cybersicherheit und Compliance in einer vernetzten Welt

ONEKEY
Automatisiertes Schwachstellenmanagement / Reduzieren Sie die time-to-fix und dringen Sie durch den Lärm

Linkedin
Jan C. Wendenburg – ONEKEY

Bundesamt für Sicherheit in der Informationstechnik
SBOM-Anforderungen: TR-03183-2 stärkt Sicherheit in der Software-Lieferkette

Bundesamt für Sicherheit in der Informationstechnik
Cyber Resilience Act / Cybersicherheit EU-weit gedacht

datensicherheit.de, 18.06.2025
SBOM for AI: BSI-geleitete G7-Arbeitsgruppe veröffentlicht gemeinsames Konzept / Im Rahmen des jüngsten G7-Arbeitstreffens in Ottawa hat das BSI mit den -Partnern ein gemeinsames Konzept für eine „Stückliste“ für KI-Systeme abgestimmt

datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 06.04.2025] „Unternehmen, die dem ,EU Cyber Resilience Act’ (CRA) unterliegen, sollten sich beeilen, ihre Produkte den Anforderungen des CRA anzupassen“, betont Jan Wendenburg, „CEO“ von ONEKEY. Er erinnert daran, dass die ersten Vorschriften des CRA bereits ab September 2026 und alle weiteren ab dem 11. Dezember 2027 Anwendung finden. „Ab diesem Zeitpunkt müssen alle vernetzten Produkte die Cyber-Sicherheitsanforderungen des ,Cyber Resilience Act’ vollständig erfüllen“, stellt Wendenburg klar. Hersteller, Importeure und Händler seien gleichermaßen gefordert: Ohne CRA-Konformität dürfe das CE-Kennzeichen nicht vergeben, und so die betroffenen Produkte nicht mehr in der EU verkauft werden.

CRA stellt bisher umfassendste Regelung zur Cyber-Sicherheit vernetzter Produkte in Europa dar

Der am 10. Dezember 2024 verabschiedete CRA der Europäischen Kommission stelle die bisher umfassendste Regelung zur Cyber-Sicherheit vernetzter Produkte in Europa dar. Für alle Hersteller von Geräten „mit digitalen Elementen“, d.h. alle sogenannten Smarten Produkte, egal ob für Industrie, „Consumer“ oder Unternehmen, drängt demnach die Zeit, denn die neuen Sicherheitsvorgaben müssen bereits innerhalb der Produktentwicklung berücksichtigt werden:

„Angesichts Produktlebens­zyklen, die in der Regel viele Jahre umfassen, sollte dem Thema CRA also höchste Priorität eingeräumt werden, um auch künftig auf dem EU-Markt verkaufen zu können“, legt Wendenburg nahe. Zentrale Elemente für die CRA-Compliance sind das Prinzip „Security by Design“ sowie eine kontinuierliche Risikobewertung und Schwachstellenbehebung.

Darüber hinaus fordert der EU CRA eine „Software Bill of Materials“ (SBOM), um Softwarekomponenten rückverfolgbar zu machen und Risiken in der Lieferkette frühzeitig zu erkennen. Der CRA kategorisiert Produkte in die drei Sicherheitsklassen: „Kritisch“, „Wichtig“ und „Sonstige“. In jeder Klasse sind entsprechende Anforderungen zu erfüllen. Die Sicherheit der Lieferkette ist hierbei besonders relevant, da Schwachstellen in Drittanbieter- und Open-Source-Komponenten die Integrität des Gesamtsystems gefährden können.

Neben dem CRA müssen weitere regulatorische Rahmenbedingungen wie „RED II“ (EN 18031) und „IEC 62443-4-2“ Berücksichtigung finden

Die Umsetzungsfrist von 24, bzw. 36 Monaten seit Inkrafttreten am 10. Dezember 2024 stellt Hersteller vor große Herausforderungen, da Produktentwicklungen oft Jahre dauern. Um den Anforderungen des CRA gerecht zu werden, sollten Unternehmen schnellstmöglich „Best Practices“ zur Cyber-Sicherheit implementieren.

Dabei gilt es, neben dem CRA weitere regulatorische Rahmenbedingungen wie „RED II“ (EN 18031) und „IEC 62443-4-2“ zu berücksichtigen. „Spezielle Compliance-Tools können helfen, die heutigen und künftigen Anforderungen zu erfüllen, indem sie eine schnelle, einfache und damit effiziente Cyber-Sicherheitsbewertung der Software von Produkten ermöglichen.“ Beispielhaft hierfür stehe der zum Patent angemeldete „Compliance Wizard“ von ONEKEY.

Wendenburg gibt zu bedenken: „Unternehmen, die ihre Produktstrategie rechtzeitig anpassen, sichern nicht nur ihre Marktzulassung in der EU, sondern auch ihre Wettbewerbsfähigkeit. Product-Lifecycle-Cybersecurity, proaktive ,Compliance’ und ,Supply Chain’-Transparenz werden zu unverzichtbaren Erfolgsfaktoren für alle Hersteller auf dem EU Markt.“

CRA-Anforderungen und ihre Auswirkungen

Um den neuen Anforderungen gerecht zu werden, müssten Unternehmen in der Lage sein, Sicherheitslücken in ihren Produkten zu erkennen und eine kontinuierliche Überwachung über den Produktlebenszyklus durchzuführen. „Das bedeutet, dass jede Softwareversion geprüft und – solange aktiv – ununterbrochen auf mögliche neue Schwachstellen überwacht werden muss.“ Neue Schwachstellen seien laufend zu bewerten und bei Bedarf zu melden und/oder Maßnahmen zur Reparatur zu ergreifen.

„Die CRA-Vorgaben betreffen den gesamten Lebenszyklus Smarter Produkte – von der Planung und Entwicklung bis hin zum Betrieb und der anschließenden Außerbetriebnahme.“ Hersteller seien verpflichtet, Sicherheitsupdates für ihre Produkte über einen Zeitraum von mindestens fünf Jahren anzubieten. Sollte die Nutzung des Produkts kürzer sein, könne dieser Zeitraum entsprechend verkürzt werden. „In vielen Industriebereichen jedoch sind Produktlaufzeiten von zehn oder 20 Jahren – oder sogar länger – keine Seltenheit. Das bedeutet, dass auch die Überwachung, Wartung, das Schwachstellen-Management und die Patch-Strategien über einen entsprechend langen Zeitraum aufrechterhalten werden müssen“, stellt Wendenburg klar.

Sein Fazit: „Die Umsetzung des ,Cyber Resilience Act’ stellt Hersteller vor erhebliche praktische Herausforderungen.“ Er nennt konkrete Beispiele:

• „In der Industriellen Fertigung, in der Steuerungs- und Produktionsanlagen über Jahrzehnte genutzt werden und regelmäßige Sicherheitsupdates erforderlich sind, um die Konformität zu gewährleisten.
• In der IoT-Industrie, etwa bei Smarten Haushaltsgeräten, ist die ständige Pflege der ,Software Bill of Materials’ ebenfalls notwendig, um potenzielle Schwachstellen schnell zu identifizieren und zu beheben.“

Die Unternehmen müssten mit ihren Zulieferern eng zusammenarbeiten und Werkzeuge zur Prüfung von Fremdsoftware, wie Binär-Analyse-Lösungen einsetzen, um eine Sicherheitsüberwachung bei Wareneingang und über den gesamten Lebenszyklus des Produkts hinweg zu gewährleisten. „Nur automatisierte Prozesse und Werkzeuge zur Schwachstellen- und ,Compliance’-Analyse ermöglichen die neuen gesetzlichen Anforderungen wirtschaftlich vertretbar und effizient zu erfüllen.“

Weitere Informationen zum Thema:

ONEKEY
Prepare for the EU Cyber Resilience Act with a Tailored Assessment

datensicherheit.de, 07.11.2024
ONEKEY-Report warnt Industrie vor Einkauf von Cyber-Sicherheitslücken / „Smart Factory“ ein großartiges Konzept – aber ONEKEY-CEO sieht damit verbundene Cyber-Risiken noch zu oft als vernachlässigt an

datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

datensicherheit.de, 24.10.2024
CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit / CRA erzwingt, vernetzte Produkte über gesamten Lebenszyklus hinweg mit neuen Updates zu versehen

datensicherheit.de, 06.06.2024
Smarte Produkte mit bekannten Sicherheitslücken: Cyber Resilience Act gebietet Lieferstopp / Laut Cyber Resilience Act dürfen Geräte mit bekannten ausnutzbaren Schwachstellen demnächst nicht mehr ausgeliefert werden

[datensicherheit.de, 22.11.2024] Hersteller vernetzter Geräte, Maschinen und Anlagen sollten bei der Verwendung von Open-Source-Software in ihren Produkten aufgrund einer neuen EU-Regulierung besondere Vorsicht walten lassen: Open-Source-Programme selbst unterlägen nämlich nicht den strengen Regeln des bald in Kraft tretenden „Cyber Resilience Act“ (CRA) – die Hersteller von Produkten unter Verwendung von Open-Source-Komponenten hingegen sehr wohl: Vor dieser „Open-Source-Falle“ warnen Jan Wendenburg, „CEO“ von ONEKEY, und sein Cyber-Sicherheits-Expertenteam.

Open-Source-Software mit ausnutzbaren Schwachstellen: Verkäufer haftet

Die von der EU auf den Weg gebrachte CRA-Regulierung verlange von den Herstellern oder Inverkehrbringern (z.B. Importeure, Distributoren) von „Connected Devices“, dass sie diese auch nach der Auslieferung mit stets neuen Software-Updates versorgten, um sie dauerhaft gegen Hacker-Angriffe zu schützen.

Bei schwerwiegenden Verstößen gegen den CRA könnten Unternehmen mit Bußgeldern von bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des weltweiten Jahresumsatzes bestraft werden, „je nachdem, welcher Betrag höher ist“.

Wendenburg verdeutlicht: „Wenn Open-Source-Software mit ausnutzbaren Schwachstellen in neuen vernetzten Geräten verkauft wird, haftet nicht automatisch der Software-Anbieter, sondern immer derjenige, der das Produkt mit der integrierten Software auf den Markt bringt!“

„Open Source“ könnte Synonym für potenziell unsichere Software werden

ONEKEY erläutert den Hintergrund: Die EU trage beim CRA den Besonderheiten der Open-Source-Community Rechnung. Dadurch sollten nicht-kommerzielle Projekte, Hochschulen, Organisationen der Zivilgesellschaft und öffentliche Verwaltungen von den strengen Regularien in Bezug auf Cyber-Sicherheit befreit werden.

„Das ist zwar einerseits lobenswert, weil damit Forschung, Entwicklung und ehrenamtliches Engagement gefördert wird, aber andererseits könnten die geringeren Anforderungen zu potenziell unsicherer Software führen“, kommentiert Wendenburg.

Die CRA-Sonderrolle sogenannter Stewards von Open-Source-Projekten bewertet Wendenburg ebenfalls ambivalent: „Für diese Organisationen, die in einem geschäftlichen Umfeld Open-Source-Software entwickeln, sieht die CRA-Regulierung abgeschwächte Sicherheitsregeln vor.“ So seien sie beispielsweise von Geldbußen vollständig ausgenommen. Immerhin müssten sie eine Cyber-Sicherheitsstrategie für ihre Programme vorweisen, dürften erkannte Schwach­stellen in der Software nicht ignorieren und müssten mit den CRA-Behörden zusammenarbeiten.

Hersteller von OT- und IoT-Geräten sollten Open-Source-Aktivitäten erneut überdenken

„Bei allem Verständnis für die Open-Source-Community, ist durch die zahlreichen Ausnahmen und Abschwächungen für die Akteure auf diesem Sektor, der Schutzwall gegen Cyber-Kriminelle, den die EU mit dem ,Cyber Resilience Act’ gerade aufbaut, von Anfang an löchrig geworden“, warnt Wendenburg.

Er verweist auf die Diskrepanz zwischen den niedrigeren Anforderungen bei der Entwicklung von Open-Source-Programmen einerseits und der vollständigen Pflichterfüllung anderer­seits, sobald die Software als Bestandteil eines „Produkts mit digitalen Elementen“ kommerziell genutzt wird.

„Die Hersteller von OT- und IoT-Geräten sind daher gut beraten, ihre Open-Source-Aktivitäten neu zu überdenken“, so seine dringende Empfehlung. Gemeint seien damit Maschinelle Steuerungen („Operation Technology“ / OT), wie sie in der sogenannten Industrie 4.0 auf breiter Front zum Einsatz kämen, und Geräte für das „Internet of Things“ (IoT), also beispielsweise im „Smart Home“.

Immer mehr Open-Source-Software bei OT und IoT im Einsatz

Nach aktuellem Stand werde Open-Source-Technologie zunehmend in der Entwicklung und im Einsatz von OT- und IoT-Plattformen verwendet. Über 100 Open-Source-Projekte für OT/IoT seien alleine in EU-Initiativen dokumentiert, welche eine große Bandbreite von Softwarekomponenten umfassten, wie etwa „Gateways, Middleware für Edge-Computing und Cloud-Plattformen“.

Die EU fördere aktiv Open-Source-Projekte für den OT/IoT-Sektor. Wendenburgs Analyse: „Der Einsatz von ,Open Source’ bringt viele Vorteile, aber auch erhebliche Herausforderungen bei der OT- und IoT-Integration mit sich.“

Mit der CRA-Regulierung kämen zusätzliche Auflagen in Sachen Sicherheit hinzu, die es zu erfüllen gelte. Die neue Dimension liege dabei in der Haftung: „Jeder Fehler kann einen Produkthersteller im wahrsten Sinne des Wortes teuer zu stehen kommen!“

„Software Bill of Materials“ und Schwachstellenprüfung unerlässlich – nicht nur bei Verwendung von Open-Source-Komponenten

Wendenburg rät den Herstellern vernetzter Geräte, Maschinen und Anlagen zu einer automatischen SBOM- und Schwachstellenanalyse, bevor die Produkte auf den Markt gebracht werden. Das Kürzel SBOM stehe für „Software Bill of Materials“, also für eine Stückliste aller Softwarekomponenten, „in der die Komponenten festgestellt werden“. Anschließend werde die Cyber-Resilienz auf Schwachstellen geprüft und dokumentiert.

Dazu erfolge zuerst ein Abgleich mit der CVE-Datenbank aller bekannten Softwareschwachstellen (CVE: „Common Vulnerabilities and Exposures“), welche vom Massachusetts Institute of Technology Research and Engineering (MITRE) im Auftrag der US-Regierung verwaltet werde. Jeden Monat kämen zwischen 500 und 2.000 neue Einträge über bekanntwerdende Sicherheitslücken hinzu. Etwa 25 bis 30 Prozent davon entfielen auf Open-Source-Software, schätzten Experten.

Danach werde auf unbekannte, sogenannte Zero-Day-Schwachstellen geprüft. „Allerdings genügt es laut CRA nicht, diesen Check nur bei der Auslieferung eines neuen OT/IoT-Produktes auf den Markt durchzuführen, sondern es muss über die gesamte Produklebensdauer hinweg immer wieder neu geprüft werden“, betont Wendenburg, und ergänzt abschließend: „Bei IoT-Geräten etwa für das ,Smart Home’ wird üblicherweise von fünf Jahren Einsatzdauer ausgegangen, aber bei Maschinellen Steuerungen für die ,Industrie 4.0‘ kann der Lebenszyklus bei zehn, 20 oder mehr Jahren liegen.“

Weitere Informationen zum Thema:

Europäisches Parlament
Standpunkt des Europäischen Parlaments festgelegt in erster Lesung am 12. März 2024 im Hinblick auf den Erlass der Verordnung (EU) 2024/… des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2019/1020 (Cyberresilienz-Verordnung)

datensicherheit.de, 20.11.2024
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand / „Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht

datensicherheit.de, 24.10.2024
CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit / CRA erzwingt, vernetzte Produkte über gesamten Lebenszyklus hinweg mit neuen Updates zu versehen

datensicherheit.de, 18.10.2024
Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen / Suzanne Button kommentiert Bedeutung des CRA für europäische Unternehmen und unterstreicht Handlungsbedarf

datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 20.11.2024] Laut einer Meldung des eco – Verband der Internetwirtschaft e.V. vom 20. November 2024 wurde der „Cyber Resilience Act“ (CRA / EU-Verordnung 2024/2847) an diesem Tag offiziell im Amtsblatt der Europäischen Union (EU) veröffentlicht, womit der Countdown für die Umsetzung der IT-Sicherheitsvorschriften begonnen habe. Der CRA lege horizontale Cyber-Sicherheitsanforderungen für Produkte mit digitalen Elementen in der EU fest, um weit verbreitete Sicherheitslücken und inkonsistente Sicherheitsupdates anzugehen.

Foto: eco e.V.

Prof. Dr. Norbert Pohlmann: Der CRA hat das Potenzial, Europa als Vorreiter in der Cyber-Sicherheit zu positionieren und langfristig globale Standards für vernetzte Geräte zu setzen

CRA erste europäische Verordnung, welche Mindestmaß an Cyber-Sicherheit für alle vernetzten Produkte festlegt

Prof. Dr. Norbert Pohlmann, eco-Vorstand für „IT-Sicherheit“, kommentiert: „Mit dem CRA geht die EU einen wichtigen Schritt für die Verbesserung der Cybe-Ssicherheit in einer zunehmend vernetzen digitalen Welt. Denn der CRA hat das Potenzial, Europa als Vorreiter in der Cyber-Sicherheit zu positionieren und langfristig globale Standards für vernetzte Geräte zu setzen – insbesondere in Bezug auf IoT-Anwendungen.“ Dies sei nicht nur ein Gewinn für die Sicherheit von Endgeräten, sondern auch für die Stabilität unserer digitalen Infrastrukturen insgesamt.

Damit sei der „Cyber Resilience Act“ die erste europäische Verordnung, welche ein Mindestmaß an Cyber-Sicherheit für alle vernetzten Produkte festlege, „die auf dem EU-Markt in den Verkehr gebracht werden“. Begrüßenswert sei laut Pohlmann zunächst, dass der CRA die Verantwortlichkeiten klar zuweise: „Hersteller werden stärker in die Pflicht genommen, Cyber-Sicherheitsanforderungen nicht nur bei der Entwicklung, sondern über den gesamten Lebenszyklus ihrer Produkte hinweg zu erfüllen. Dieser Ansatz ist ein entscheidender Schritt, um die Resilienz und das Vertrauen in digitale Produkte nachhaltig zu stärken.“

eco: CRA-Umsetzung sollte Handhabbarkeit der Regelungen in der Praxis sicherstellen und unnötige Bürokratie vermeiden

„Auch die gefundene Lösung für Open-Source-Technologien stellt einen Kompromiss dar, der Sicherheitsanforderungen und Innovationsförderung zusammenbringt. Dennoch müssen wir die Umsetzung weiterhin kritisch und konstruktiv begleiten, um sicherzustellen, dass Open-Source-Projekte nicht durch übermäßige Anforderungen beeinträchtigt werden“, unterstreicht Professor Pohlmann. Gleichzeitig sei die feingliedrige Systematik des CRA, insbesondere die Unterscheidung in vier Risikokategorien, mit gemischten Gefühlen zu sehen:

„Während diese Differenzierung für mehr Klarheit sorgt, könnte sie für kleinere Unternehmen und andere Akteure im Markt zu komplex sein. Hier wird es darauf ankommen, die Handhabbarkeit der Regelungen in der Praxis sicherzustellen und unnötige Bürokratie zu vermeiden.“ Insgesamt sei der CRA indes ein wichtiger Meilenstein für die Stärkung der Cyber-Sicherheit in Europa. Der eco-Verband werde sich aktiv dafür einsetzen, „dass die Verordnung ihre Ziele erreicht und dabei praktikable Lösungen für alle Marktteilnehmer entwickelt werden“, so Professor Pohlmann abschließend.

Weitere Informationen zum Thema:

EUR-Lex Der Zugang zum EU-Recht, 20.11.2024
Dokument 32024R2847 / Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung) (Text von Bedeutung für den EWR)

datensicherheit.de, 24.10.2024
CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit / CRA erzwingt, vernetzte Produkte über gesamten Lebenszyklus hinweg mit neuen Updates zu versehen

datensicherheit.de, 18.10.2024
Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen / Suzanne Button kommentiert Bedeutung des CRA für europäische Unternehmen und unterstreicht Handlungsbedarf

datensicherheit.de, 11.10.2024
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung / Fraunhofer IEM empfiehlt drei Sofortmaßnahmen für Unternehmen

[datensicherheit.de, 24.10.2024] Der „Cyber Resilience Act“ (CRA) wurde am 10. Oktober 2024 vom Europäischen Rat verabschiedet und verankert damit die Cybersecurity verpflichtend für alle Hersteller. „Vernetzte Geräte müssen so entwickelt werden, dass sie über den gesamten Lebenszyklus hinweg mit aktueller Software vor Cyber-Angriffen geschützt sind“, kommentiert Jan Wendenburg, „CEO“ von ONEKEY. Mit dem CRA werde erstmals der Grundsatz „Security by Design“ in das europäische Technikrecht aufgenommen – dieser „Paradigmenwechsel“ habe unmittelbare Konsequenzen für alle Hersteller und Inverkehrbringer vernetzer Geräte. Wendenburg verweist in seiner aktuellen Stellungnahme auf die weitreichenden Folgen der anstehenden gesetzlichen Regelungen für die Absicherung digitaler Produkte gegen Hacker-Angriffe.

CRA-Konformität eines Produkts erfordert nunmehr fortlaufende Risikobewertung und gegebenenfalls Aktualisierung

Es sei nunmehr in Zukunft nicht mehr ausreichend, die CRA-Konformität eines Produkts mit digitalen Elementen nur zum Zeitpunkt des Markteintritts zu gewährleisten, sondern es müsse eine fortlaufende Risikobewertung und gegebenenfalls Aktualisierung der in den Geräten enthaltenen Soft- und Firmware erfolgen.

Wendenburg erläutert: „Die Hersteller müssen von Anfang an einen Mechanismus in ihre Produkte integrieren, um neue Software-Versionen einzuspielen und damit nach Auslieferung auftretende Sicherheitslücken zu schließen.“ Versäumen es die Hersteller dieses Designmerkmal zu integrieren, dürften die entsprechenden Produkte künftig in den Ländern der Europäischen Union (EU) nicht mehr verkauft werden.

Extrem breite Palette vom CRA betroffener Produktkategorien

Die Palette der betroffenen Produktkategorien sei „extrem breit“, so Wendenburg und er nennt hierzu Beispiele: „Geräte für das ,Smart Home’ und die ,Smart Security’, vernetzte Haushaltsgeräte aller Art, Spielzeug mit WLAN-Anbindung, VoIP-Telefone, Netzwerkausrüstung wie Router, Switches oder Firewalls, vernetzte Medizingeräte, Fahrzeuge, Geräte des ,Industrial Internet of Things’ und industrielle Steuerungssysteme, wie sie im produzierenden Gewerbe von der Fertigung bis zur Logistik abteilungsübergreifend eingesetzt werden…“

Praktisch alle Bereiche der industriellen Automatisierung seien heute digitalisiert. Geräte, Maschinen und Anlagen, welche früher noch rein mechanisch funktioniert hätten, seien längst mit Steuerungselektronik ausgestattet und ans Netz angeschlossen. „Doch viele Hersteller dieser Automatisierungsprodukte sind diesen Weg vom Maschinenbauer zum Softwarehersteller nicht wirklich selbst gegangen, sondern beziehen die digitalen Komponenten und die entsprechenden Programme von Zulieferern.“ Mit der CRA-Regulierung seien diese Hersteller nun direkt haftbar für die Digitaltechnik in ihren vernetzten Geräten. Wendenburg warnt: „Hier sind viele Unternehmen bislang noch nicht ausreichend vorbereitet.“

CRA insbesondere Herausforderung für mittelständische Hersteller industrieller Automatisierungstechnik

„Die Herstellerseite von industriellen Automatisierungskomponenten ist im Bezug auf das Software-Know-how sehr heterogen“, weiß Wendenburg aus zahlreichen Projekten. Seine Einschätzung: „Die vernetzten Produkte über ihren gesamten Lebenszyklus hinweg mit neuen Updates zu versehen, um immer wieder neu aufkommende Sicherheitslücken in der Software zu schließen, stellt für viele überwiegend mittelständische Hersteller von industrieller Automatisierungstechnik eine große Herausforderung dar.“

Er weist darauf hin, dass die Datenbank der öffentlich bekannten Schwachstellen in Software, die von Hackern ausgenutzt werden könnten (CVE-Datenbank: „Common Vulnerabilities and Exposures“), über 240.000 Einträge umfasse. „Schon für IT-Abteilungen in der Konzernwelt ist es schwierig den Überblick über Cyber-Sicherheitslücken zu behalten, für den Mittelstand ist das aber praktisch unmöglich“, befürchtet Wendenburg.

Mit CRA-Inkrafttreten könnrn Hersteller und Inverkehrbringer in die Haftung kommen

Er erinnert an den Klassiker der IoT-Hacks: Den Angriff auf die Cyber-Sicherheit mittels der weltweit bekannten „Stuxnet“-Attacke 2010, bei der über das Internet gezielt sogenannte Scada-Systeme (Supervisory Control and Data Acquisition) von Siemens attackiert wurden. „Diese industriellen Steuerungssysteme werden global in Industrieanlagen, Kraftwerken oder Pipelines eingesetzt.“ „Stuxnet“ zielte demnach darauf ab, die Drehgeschwindigkeit der von den „Scada“-Systemen gesteuerten Motoren zu verändern und dadurch die Maschinen physisch zu zerstören. „Der Computer-Virus hatte damals Tausende Anlagensteuerungen befallen und unter anderem die im Bau befindlichen Atomkraftwerke im Iran sabotiert, wofür er nach überwiegender Expertenmeinung eigens entwickelt und von einer staatlichen Behörde auf den Weg gebracht worden war.“

Wendenburg unterstreicht: „Spätestens seit 2010 ist klar, dass Cyber-Attacken Maschinen und Anlagen irreparabel zerstören können. Mit Inkrafttreten des ,EU Cyber Resilience Act’ haften die Hersteller und Inverkehrbringer dafür, wenn ihre digitalen Steuerungssysteme nicht von Grund auf so konzipiert sind, dass sie laufend mit aktueller Software ausgestattet werden können, die bestmöglich vor Angriffen schützt.“

CRA-Anforderungen lassen sich in weiten Teilen automatisieren

Als ersten Schritt empfiehlt Wendenburg den Anbietern vernetzter Geräte, Maschinen und Anlagen, „Software Bills of Materials“ (SBOM) zu erstellen, d.h. genaue Stücklisten aller in ihren Produkten verwendeten Komponenten. „ONEKEY betreibt eine ,Product Cybersecurity & Compliance Platform’ (OCP), die SBOMs automatisch generiert und dabei potenzielle Sicherheitslücken identifiziert.“

Damit seien die Voraussetzungen geschaffen, um mögliche Sicherheitslücken zu verfolgen und dann gezielt zu schließen: „Mit unserer Plattform können Hersteller die Anforderungen des ,Cyber Resilience Act’ in weiten Teilen automatisieren und so die zusätzlichen Aufwände wesentlich reduzieren“, betont Wendenburg abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 18.10.2024
Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen / Suzanne Button kommentiert Bedeutung des CRA für europäische Unternehmen und unterstreicht Handlungsbedarf

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 18.10.2024] Das Europäische Parlament und nun auch der EU-Rat haben den „Cyber Resilience Act“ (CRA) offiziell verabschiedet. Das Ziel ist demnach, Einfallstore für Hacker systematisch zu schließen – betroffen sind sowohl Hardware- als auch Software-Produkte. Die Anzahl der betroffenen Unternehmen ist dementsprechend groß. Suzanne Button, „Chief Technology Officer EMEA“ und Sicherheitsexpertin bei Elastic, erörtert in ihrer aktuellen Stellungnahme, wie sich die neue Gesetzgebung auf die Cyber-Landschaft und Unternehmen auswirkt: „Was bedeutet das für europäische Unternehmen? Welche Schritte sollten sie jetzt schon unternehmen?“

Foto: Elastic

Suzanne Button rät Unternehmen angesichts das CRA, Cyber-Bedrohungen immer einen Schritt voraus zu sein, um Kunden, Daten und den Ruf der Marke zu schützen!

Der CRA betrifft Unternehmen, die Produkte mit digitalen Komponenten in der EU herstellen oder verkaufen

„Der ,Cyber Resilience Act’ (CRA) wurde offiziell von der Europäischen Union verabschiedet und läutet eine neue Ära der Cyber-Sicherheitsvorschriften für jene Unternehmen ein, die Produkte mit digitalen Komponenten in der EU herstellen oder verkaufen“, erläutert Button. Diese bahnbrechende Rechtsvorschrift solle noch 2024 in Kraft treten – es gelte eine Übergangsfrist bis 2027. Bis dahin müssten Unternehmen mit den strengen Anforderungen „vollumfänglich compliant“ sein. Das Ziel sei es, die Sicherheit digitaler Produkte, sowohl von Hardware als auch von Software – vom grundlegenden Entwurf bis hin zu Updates – zu verbessern.

Der CRA reagiere damit auf die stark zunehmenden, immer raffinierter werdenden Cyber-Angriffe. „Angesichts der Tatsache, dass Cyber-Kriminalität Unternehmen jährlich Milliarden kostet und Vorfälle mit angreifbaren digitalen Produkten sich häufen, ist dieses Gesetz eine weltweite Premiere bei der Regulierung von Cyber-Sicherheitsstandards und ein lang erwarteter Schritt hin zu einer sichereren digitalen Landschaft“, so Button.

Der CRA schreibt mehrere Schritte vor, welche Unternehmen einleiten müssen

Für die in der EU produzierenden oder verkaufenden Unternehmen sei die Einhaltung des CRA nicht zu vernachlässigen. Das Gesetz schreibe mehrere Schritte vor, welche Unternehmen einleiten müssten, „um sicherzustellen, dass ihre Produkte den Cyber-Sicherheitsstandards entsprechen“.

Button erläutert: „Der CRA ist nicht nur eine Reihe von Leitlinien; das Gesetz hat Biss. Unternehmen, die die Anforderungen nicht erfüllen, müssen mit empfindlichen Strafen rechnen, darunter Geldstrafen von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist.“ Diese finanziellen Folgen und die potenzielle Rufschädigung unterstrichen die Ernsthaftigkeit, „mit der die EU an die digitale Sicherheit herangeht“.

CRA wichtiger Schritt, um sichereres digitales Umfeld zu schaffen

Unternehmen könnten schon jetzt mit den Vorbereitungen beginnen – Cyber-Sicherheits-Konzepte umzusetzen, robuste Verfahren zur Reaktion auf Vorfälle einzurichten und die Anpassung an die Standards des Gesetzes erforderten Zeit und Investitionen. Angesichts der zunehmenden Cyber-Bedrohungen könnte eine frühzeitige Einhaltung der Vorschriften nicht nur Strafen verhindern, sondern auch das Vertrauen der Verbraucher und Partner in einem zunehmend sicherheitsbewussten Markt stärken.

Der CRA sei ein wichtiger Schritt, um ein sichereres digitales Umfeld zu schaffen. Gleichzeitig fordere er Unternehmen heraus, ihre Abläufe zu verbessern und Cyber-Sicherheit proaktiv anzugehen. „Es geht nicht mehr nur darum, Vorschriften einzuhalten. Vielmehr sollte das Ziel sein, Cyber-Bedrohungen immer einen Schritt voraus zu sein, um Kunden, Daten und den Ruf der Marke zu schützen!“ Button gibt abschließend zu bedenken. „Wenn diese Gesetzgebung Gestalt annimmt, werden sich Unternehmen, die diese Veränderungen frühzeitig aufgreifen, auf dem wettbewerbsintensiven digitalen Markt wahrscheinlich besser positionieren können.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.10.2024
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung / Fraunhofer IEM empfiehlt drei Sofortmaßnahmen für Unternehmen

datensicherheit.de, 10.06.2024
EU Cyber Resilience Act: Empfehlungen zur Umsetzung / Aus den Fallstricken der DSGVO lernen / Zahl der vernetzten Geräte wächst bis 2050 weltweit voraussichtlich auf 24 Milliarden – vergrößerte Hacker-Angriffsflächen durch IoT

datensicherheit.de, 06.06.2024
Smarte Produkte mit bekannten Sicherheitslücken: Cyber Resilience Act gebietet Lieferstopp / Laut Cyber Resilience Act dürfen Geräte mit bekannten ausnutzbaren Schwachstellen demnächst nicht mehr ausgeliefert werden

[datensicherheit.de, 10.06.2024] Der bevorstehende EU Cyber Resilience Act (CRA, EU-Gesetz über Cyberresilienz) stellt einen wichtigen Schritt in der europäischen Cybersicherheitspolitik dar. Er zielt darauf ab, die digitale Abwehr in der Europäischen Union durch einen proaktiven Cybersicherheits-Ansatz zu verbessern. Im Gegensatz zu früheren Verordnungen wie der DSGVO (Datenschutzgrundverordnung) stellt der EU CRA die tatsächliche Widerstandsfähigkeit über die Einhaltung von Vorschriften und konzentriert sich auf eine wirksame Risikominderung. 

Andy Grolnick, CEO bei Graylog, Bild: Graylog

„Der CRA stellt einen bedeutenden Schritt zur Sensibilisierung für Cyberrisiken auf Unternehmensebene dar. Es besteht jedoch die Gefahr, dass er zu einem bloßen Kontrollkästchen für die Einhaltung der Vorschriften verkommt, wie es bei der DSGVO der Fall ist.“, äußert Andy Grolnick, CEO vom Security-Anbieter Graylog, seine Bedenken.

Fallstrick Compliance-Checkbox: was die DSGVO wirklich brachte

„Die Sicherheit von Checkboxen gleicht dem Anlegen eines Verbandes auf eine klaffende Wunde, sie ist kein ausreichender Ansatz. Wir haben die Unzulänglichkeiten früherer Verordnungen wie der DSGVO erlebt, bei denen die Einhaltung der Vorschriften oft echte Sicherheitsmaßnahmen überschattete.“, so Grolnick weiter.

Die DSGVO wurde erlassen, um den Datenschutz für Nutzer zu verbessern. Die Idee war, Cookies zu minimieren, die alle Nutzerbewegungen verfolgen. In der Praxis hat sie dieses Ziel jedoch verfehlt. Anstatt eine Website zu besuchen und heimlich verfolgt zu werden, haben die Nutzer jetzt das Privileg, Cookies zu akzeptieren und wissentlich verfolgt zu werden. Der Punkt ist, dass die Verordnung das Tracking nicht eingedämmt hat, sondern stattdessen das Surferlebnis für viele beeinträchtigt und die Unternehmen Millionen kostete.

Anstatt das Tracking abzuschaffen, haben die Unternehmen Geld investiert, um die Nutzer darauf hinzuweisen, dass es stattfindet. Das Risiko besteht darin, dass Unternehmen die Verordnung teilweise erfüllen, indem sie angemessene Sicherheitsmaßnahmen in Bezug auf Design, Entwicklung, Bereitstellung und Support-Mechanismen ergreifen, aber nicht wirklich versuchen, das Hacking-Problem zu lösen, und so unter dem Radar fliegen können.

„Was wir nicht brauchen, ist eine weitere Verordnung, die die Hersteller dazu zwingt, die Vorschriften einzuhalten, ohne sich wirklich darauf zu konzentrieren, ihre Cybersicherheitslage zu verbessern, da wir immer mehr miteinander vernetzt sind.“, verdeutlicht Grolnick die Situation. „Der EU CRA wird die Unternehmen zwar zum Nachdenken darüber anregen, wie sie das Internet der Dinge nutzen, aber es wird nur eine minimale Anforderung zur Einhaltung geben, und genau darin liegt das Problem.“

Prioritäten richtig setzen: Die Cybersicherheit in einer IoT-Umgebung gehört an die erste Stelle

Bei jedem Produkt, das „intelligenter (smarter)“ wird, müssen die daraus resultierenden Schwachstellen berücksichtigt werden. Wenn Verbraucher Gegenstände in ihr Haus bringen, die eine Verbindung zu ihrem Smartphone oder ihrem WLAN erfordern, können sie letztlich auch Kriminellen Zugang zu ihrem Haus verschaffen.

„Sind der Geschirrspüler, die Lautsprecher oder intelligente Türschlösser über das Internet oder mehrere APIs (Application Programming Interfaces oder Programmierschnittstellen) mit dem Smartphone verbunden, dann ist diese Verbindung ein gefundenes Fressen für Hacker, ebenso wie alle Datenpakete, die über diesen Kanal übertragen werden – persönliche Daten, Geolokalisierungsdaten, Netzwerkzugriff, Gerätesteuerung und vieles mehr. Innovation ist großartig, aber nicht ohne Standards. Sicherheit und Schutz müssen die Innovation untermauern, wenn sie effektiv sein soll – und das deutlich mehr als es der Norm entspricht.“, so Grolnick.

Lieferkettenbedrohung durch Hackerangriffe

Im Jahr 2023 wurden die Nachrichten von einer Reihe heftiger Cyberangriffe überschwemmt, die einen deutlichen Trend ankündigen: Hackerangriffe in der Lieferkette. Hier nutzen Cyberkriminelle Schwachstellen in Systemen von Drittanbietern aus, um an wertvolle Daten und Kundenwerte zu gelangen.

Der vernetzte Charakter von IoT-Implementierungen, an denen oft mehrere Unternehmen und komplexe Liefernetzwerke beteiligt sind, erfordert APIs für die Kommunikation zwischen Geräten, Anwendungen und Systemen. APIs sind eine äußerst unzureichend geschützte Angriffsfläche, was sie zu einem bevorzugten Ziel für Angreifer und zu einem erheblichen Risiko beim IoT-Einsatz macht. Böswillige Akteure können Zero-Day-Schwachstellen, Schwachstellen in Authentifizierungsmechanismen und Gateway-Schutzmaßnahmen ausnutzen, um auf die wertvollen Informationen zuzugreifen, die APIs enthalten. Dazu gehören auch personenbezogene Daten.

APIs schützen und Sicherheitsmängel beseitigen

Der CRA will unter anderem IoT-Hersteller dazu bringen, sich ernsthafter mit der Cybersicherheit auseinanderzusetzen und wirkungsvolle Schritte zum Schutz der Verbraucherdaten herbeizuführen. Das bedeutet, dass sie mehr als nur das Nötigste tun müssen, um die Anforderungen zu erfüllen.

Die Hersteller müssen der Integration robuster Authentifizierungsmechanismen wie kryptografischer Schlüssel, Zertifikate oder biometrischer Authentifizierung Vorrang einräumen, um den unbefugten Zugriff auf Geräte und Funktionen zu verhindern. Authentifizierungsprotokolle wie rollenbasierte Zugriffskontrollen sollten bereits in der Entwicklungsphase von IoT-Geräten festgelegt werden. Darüber hinaus liegt es in der Verantwortung der Hersteller, die Betriebssoftware auf dem neuesten Stand zu halten, um Schwachstellen zu beheben und Zero-Day-Exploits zu verhindern.

Sich nur auf den Schutz der Außengrenzen zu verlassen, ist aufgrund der zunehmenden Raffinesse der Bedrohungsakteure unzureichend. Da die Hersteller Zugriff auf die Benutzeraktivitäten haben, können sie diese aktiv protokollieren und überwachen, um bösartige Aktivitäten zu erkennen, bevor sie vom Netzwerk auf die Produktionsumgebung übertragen werden können. Durch die Überwachung von API-Aufrufen können Hersteller beispielsweise Einblicke in die Datenbewegungen innerhalb ihrer Netzwerke gewinnen und so physische Schäden durch kompromittierte IoT-Geräte verhindern.

Kostenfalle Sicherheit

Sicherheit wird oft als kostspieliges Hindernis für die Fertigung angesehen, die Prozesse verlangsamt und Lieferzeiten beeinträchtigt. Das muss jedoch nicht so sein. Die Verbesserung von Prozessen durch Daten-Dashboards, die es Unternehmen ermöglichen, ihre Sicherheit zu überprüfen und nachzuweisen, aber auch einen geschäftlichen Nutzen zu erzielen, wird unterschätzt und ist, offen gesagt, eine Investition, die sich für Unternehmen lohnt.

24 Milliarden vernetzte Geräte in 2050

Da die Zahl der vernetzten Geräte bis 2050 weltweit voraussichtlich 24 Milliarden erreicht, vergrößert die Verbreitung des IoT die Angriffsflächen für Hacker rapide. Regulierungsrahmen wie der CRA, die darauf abzielen, branchenweite Standards für die IoT-Herstellung festzulegen, spielen eine entscheidende Rolle bei der Förderung des Bewusstseins für Cybersicherheit auf Unternehmensebene.

„Die Umsetzung erfordert eine enge Zusammenarbeit zwischen Herstellern, politischen Entscheidungsträgern und Cybersicherheitsexperten. Es ist dringend erforderlich, aus den Fallstricken der DSGVO zu lernen und sicherzustellen, dass der EU CRA Unternehmen tatsächlich dazu ermutigt, der Cybersicherheit Priorität einzuräumen und ihre Widerstandsfähigkeit zu stärken.“, so Grolnick abschließend.