CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit

CRA erzwingt, vernetzte Produkte über gesamten Lebenszyklus hinweg mit neuen Updates zu versehen

[datensicherheit.de, 24.10.2024] Der „Cyber Resilience Act“ (CRA) wurde am 10. Oktober 2024 vom Europäischen Rat verabschiedet und verankert damit die Cybersecurity verpflichtend für alle Hersteller. „Vernetzte Geräte müssen so entwickelt werden, dass sie über den gesamten Lebenszyklus hinweg mit aktueller Software vor Cyber-Angriffen geschützt sind“, kommentiert Jan Wendenburg, „CEO“ von ONEKEY. Mit dem CRA werde erstmals der Grundsatz „Security by Design“ in das europäische Technikrecht aufgenommen – dieser „Paradigmenwechsel“ habe unmittelbare Konsequenzen für alle Hersteller und Inverkehrbringer vernetzer Geräte. Wendenburg verweist in seiner aktuellen Stellungnahme auf die weitreichenden Folgen der anstehenden gesetzlichen Regelungen für die Absicherung digitaler Produkte gegen Hacker-Angriffe.

CRA-Konformität eines Produkts erfordert nunmehr fortlaufende Risikobewertung und gegebenenfalls Aktualisierung

Es sei nunmehr in Zukunft nicht mehr ausreichend, die CRA-Konformität eines Produkts mit digitalen Elementen nur zum Zeitpunkt des Markteintritts zu gewährleisten, sondern es müsse eine fortlaufende Risikobewertung und gegebenenfalls Aktualisierung der in den Geräten enthaltenen Soft- und Firmware erfolgen.

Wendenburg erläutert: „Die Hersteller müssen von Anfang an einen Mechanismus in ihre Produkte integrieren, um neue Software-Versionen einzuspielen und damit nach Auslieferung auftretende Sicherheitslücken zu schließen.“ Versäumen es die Hersteller dieses Designmerkmal zu integrieren, dürften die entsprechenden Produkte künftig in den Ländern der Europäischen Union (EU) nicht mehr verkauft werden.

Extrem breite Palette vom CRA betroffener Produktkategorien

Die Palette der betroffenen Produktkategorien sei „extrem breit“, so Wendenburg und er nennt hierzu Beispiele: „Geräte für das ,Smart Home’ und die ,Smart Security’, vernetzte Haushaltsgeräte aller Art, Spielzeug mit WLAN-Anbindung, VoIP-Telefone, Netzwerkausrüstung wie Router, Switches oder Firewalls, vernetzte Medizingeräte, Fahrzeuge, Geräte des ,Industrial Internet of Things’ und industrielle Steuerungssysteme, wie sie im produzierenden Gewerbe von der Fertigung bis zur Logistik abteilungsübergreifend eingesetzt werden…“

Praktisch alle Bereiche der industriellen Automatisierung seien heute digitalisiert. Geräte, Maschinen und Anlagen, welche früher noch rein mechanisch funktioniert hätten, seien längst mit Steuerungselektronik ausgestattet und ans Netz angeschlossen. „Doch viele Hersteller dieser Automatisierungsprodukte sind diesen Weg vom Maschinenbauer zum Softwarehersteller nicht wirklich selbst gegangen, sondern beziehen die digitalen Komponenten und die entsprechenden Programme von Zulieferern.“ Mit der CRA-Regulierung seien diese Hersteller nun direkt haftbar für die Digitaltechnik in ihren vernetzten Geräten. Wendenburg warnt: „Hier sind viele Unternehmen bislang noch nicht ausreichend vorbereitet.“

CRA insbesondere Herausforderung für mittelständische Hersteller industrieller Automatisierungstechnik

„Die Herstellerseite von industriellen Automatisierungskomponenten ist im Bezug auf das Software-Know-how sehr heterogen“, weiß Wendenburg aus zahlreichen Projekten. Seine Einschätzung: „Die vernetzten Produkte über ihren gesamten Lebenszyklus hinweg mit neuen Updates zu versehen, um immer wieder neu aufkommende Sicherheitslücken in der Software zu schließen, stellt für viele überwiegend mittelständische Hersteller von industrieller Automatisierungstechnik eine große Herausforderung dar.“

Er weist darauf hin, dass die Datenbank der öffentlich bekannten Schwachstellen in Software, die von Hackern ausgenutzt werden könnten (CVE-Datenbank: „Common Vulnerabilities and Exposures“), über 240.000 Einträge umfasse. „Schon für IT-Abteilungen in der Konzernwelt ist es schwierig den Überblick über Cyber-Sicherheitslücken zu behalten, für den Mittelstand ist das aber praktisch unmöglich“, befürchtet Wendenburg.

Mit CRA-Inkrafttreten könnrn Hersteller und Inverkehrbringer in die Haftung kommen

Er erinnert an den Klassiker der IoT-Hacks: Den Angriff auf die Cyber-Sicherheit mittels der weltweit bekannten „Stuxnet“-Attacke 2010, bei der über das Internet gezielt sogenannte Scada-Systeme (Supervisory Control and Data Acquisition) von Siemens attackiert wurden. „Diese industriellen Steuerungssysteme werden global in Industrieanlagen, Kraftwerken oder Pipelines eingesetzt.“ „Stuxnet“ zielte demnach darauf ab, die Drehgeschwindigkeit der von den „Scada“-Systemen gesteuerten Motoren zu verändern und dadurch die Maschinen physisch zu zerstören. „Der Computer-Virus hatte damals Tausende Anlagensteuerungen befallen und unter anderem die im Bau befindlichen Atomkraftwerke im Iran sabotiert, wofür er nach überwiegender Expertenmeinung eigens entwickelt und von einer staatlichen Behörde auf den Weg gebracht worden war.“

Wendenburg unterstreicht: „Spätestens seit 2010 ist klar, dass Cyber-Attacken Maschinen und Anlagen irreparabel zerstören können. Mit Inkrafttreten des ,EU Cyber Resilience Act’ haften die Hersteller und Inverkehrbringer dafür, wenn ihre digitalen Steuerungssysteme nicht von Grund auf so konzipiert sind, dass sie laufend mit aktueller Software ausgestattet werden können, die bestmöglich vor Angriffen schützt.“

CRA-Anforderungen lassen sich in weiten Teilen automatisieren

Als ersten Schritt empfiehlt Wendenburg den Anbietern vernetzter Geräte, Maschinen und Anlagen, „Software Bills of Materials“ (SBOM) zu erstellen, d.h. genaue Stücklisten aller in ihren Produkten verwendeten Komponenten. „ONEKEY betreibt eine ,Product Cybersecurity & Compliance Platform’ (OCP), die SBOMs automatisch generiert und dabei potenzielle Sicherheitslücken identifiziert.“

Damit seien die Voraussetzungen geschaffen, um mögliche Sicherheitslücken zu verfolgen und dann gezielt zu schließen: „Mit unserer Plattform können Hersteller die Anforderungen des ,Cyber Resilience Act’ in weiten Teilen automatisieren und so die zusätzlichen Aufwände wesentlich reduzieren“, betont Wendenburg abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 18.10.2024
Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen / Suzanne Button kommentiert Bedeutung des CRA für europäische Unternehmen und unterstreicht Handlungsbedarf

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf