Smarte Produkte mit bekannten Sicherheitslücken: Cyber Resilience Act gebietet Lieferstopp

Laut Cyber Resilience Act dürfen Geräte mit bekannten ausnutzbaren Schwachstellen demnächst nicht mehr ausgeliefert werden

[datensicherheit.de, 06.06.2024] Allein in den USA sind im Jahr 2024 bisher 14.286 „Common Vulnerabilities and Exposures“ (CVE) auf der Website des National Institute of Standards and Technology (NIST) veröffentlicht worden – diese bezeichnen Sicherheitslücken und andere Schwachstellen in Computersystemen, welche einem Hacker einen Cyber-Angriff ermöglichen können. ONEKEY weist in einer aktuellen Stellungnahme darauf hin, dass gemäß der kommenden EU-Gesetzgebung, dem „Cyber Resilience Act“ (CRA), Geräte demnächst nicht mehr mit bekannten ausnutzbaren Schwachstellen ausgeliefert werden dürfen. „Treten dennoch bekannte und ausnutzbare Schwachstellen auf, haften Hersteller, Verkäufer oder Importeure als Unternehmen und die gesamte Unternehmensführung.“

Foto: ONEKEY

Jan C. Wendenburg: Der CRA fordert von allen Herstellern verpflichtende Prüfungen, Überwachung und Dokumentation der Produkt-Cyber-Sicherheit!

Cyber Resilience Act soll Kunden zu effektivem Anspruch auf sichere Software verhelfen

Beim Thema Cyber-Resilienz solle für die Zukunft unter der Gesetzgebung des „Cyber Resilience Act“ (CRA) klar sein, dass Kunden – im privaten wie im industriellen Umfeld – einen effektiven Anspruch auf sichere Software hätten. „Der Wettlauf allerdings, wer Schwachstellen zuerst entdeckt, geht weiter: Unternehmen sind daher gut beraten, jetzt sowohl eine effiziente CVE-Erkennung als auch ein ,Impact Assessment’ einzuführen, um die eigenen Produkte besser zu durchleuchten und sich gegen schwerwiegende Folgen von Schwachstellenszenarien zu wappnen.“

Jan C. Wendenburg, „CEO“ von ONEKEY, kommentiert: „Der CRA fordert von allen Herstellern verpflichtende Prüfungen, Überwachung und Dokumentation der Produkt-Cyber-Sicherheit, dazu gehört auch die Prüfung auf unbekannte Schwachstellen, den sogenannten ‚Zero Days‘.“

Wissen um die eigenen Cyber-Schwachstellen

Der Begriff „Zero Day“ stehe für neu entdeckte Sicherheitslücken, über die Hacker angreifen könnten, und bezieht sich auf „Null Tage“, welche ein Hersteller oder Entwickler Zeit habe, den Fehler zu beheben. Viele Hersteller oder sogenannte Inverkehrbringer würden die potenziellen Schwachstellen ihrer eigenen Produkte nur unzureichend kennen, welche sich beispielsweise bei Industriesteuerungen auch in Komponenten mit eigener Firmware von Zulieferern verbergen könnten. Generell könnten Hardware und Firmware sowie alle Geräte des Internets der Dinge (Internet of Things / IoT) von solchen Schwachstellen betroffen sein.

Mit dem „ONEKEY Compliance Wizard“ möchten die Cyber-Sicherheitsexperten von ONEKEY eine umfassende Cyber-Sicherheitsbewertung von Produkten mit digitalen Elementen anbieten. Durch die Kombination von automatischer Schwachstellenerkennung, CVE-Priorisierung und Filterung mit einem ganzheitlichen, interaktiven Compliance-Fragebogen werden demnach Aufwand und Kosten von Cyber-Sicherheits-Compliance-Prozessen deutlich reduziert und das Risiko drohender Bußgelder minimiert. „Wer nicht pünktlich zum Start des CRA ganz vorne in der Reihe der Bußgeld-Zahler stehen will, muss bereits jetzt Prozesse schaffen, um die eigenen Risiken analysieren und patchen zu können“, unterstreicht Wendenburg.

Gesamte Lieferkette muss hinsichtlich der Cyber-Sicherheit von Produkten und Komponenten dokumentiert werden

Mit einem „CRA Assessment“ könne die aktuelle und zukünftige Compliance zu den CRA-Anforderungen ermittelt und so frühzeitig potenzieller Handlungsbedarf identifiziert werden. „Dafür können Unternehmen auf das Wissen der ONEKEY-Experten für Cyber-Sicherheit zurückgreifen.“ Hersteller und Importeure müssten im Zuge der neuen Anforderungen auch eine umfassende Dokumentation der Soft- und Firmwarekomponenten ihrer Produkte führen. Dafür sei nach CRA-Vorschriften eine Software-Stückliste (Software Bill of Materials / SBOM) zu erstellen und zu überwachen. So könne die gesamte Lieferkette hinsichtlich der Sicherheit von Produkten und Komponenten – also auch zugekaufte Komponenten mit eigener Firmware – dokumentiert werden.

Diese Anforderungen könnten mit vertretbarem Aufwand nur durch Automatisierung effizient abgebildet werden. Mit der „ONEKEY PLATFORM“ z.B. könne die Firmware automatisch auf Schwachstellen untersucht und eine SBOM erzeugt werden. Alle Geräte benötigten zukünftig entweder eine Sicherheits-Selbsterklärung oder externe Zertifizierung. „Durch Automatisierung lässt sich der Aufwand bei der Selbsterklärung oder Vorbereitung der Zertifizierung deutlich reduzieren. Dies stellen wir mit der „ONEKEY PLATFORM“ einfach zur Verfügung. Jetzt liegt es an den Unternehmen, die notwendigen Maßnahmen zur Erfüllung des CRA auch umzusetzen“, betont Wendenburg abschließend.

Weitere Informationen zum Thema:

ONEKEY PLATFORM
CUT COSTS AND TIME FOR PRODUCT CYBERSECURITY COMPLIANCE MANAGEMENT

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 07.05.2024
Cyber Resilience Act: Verstöße können Unternehmen CE-Kennzeichnung kosten / Hersteller, Importeure und Händler sollten umgehend cyber-sicherheitskonforme Prozesse schaffen und automatisieren

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf