Aktuelles, Experten - geschrieben von dp am Freitag, Oktober 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
Fraunhofer IEM empfiehlt drei Sofortmaßnahmen für Unternehmen
[datensicherheit.de, 11.10.2024] Das Fraunhofer-Institut für Entwurfstechnik Mechatronik (IEM) geht in einer aktuellen Stellungnahme auf den lange angekündigten „Cyber Resilience Act“ (CRA) ein, der nun am 10. Oktober 2024 verabschiedet wurde: „Damit gelten ab dem November 2027 für eine Vielzahl vernetzter Geräte und deren Software EU-weite neue Mindestanforderungen in puncto Security – Schwachstellen-Meldepflichten gelten sogar schon ab August 2026.“ Vor allem die Hersteller von Produkten werden demnach in die Pflicht genommen: Diese müssten sicherstellen, „dass ihre Produkte die Sicherheitskriterien für den europäischen Markt erfüllen, und zwar mit wenigen Ausnahmen, unabhängig der Branche“. Das Fraunhofer IEM erarbeite mit Unternehmen wie adesso mobile solutions, Connext, Phoenix Contact und Kraft Maschinenbau seit vielen Jahren Security-Maßnahmen – nachfolgend gibt es Tipps, wie Unternehmen sich für den CRA rüsten könnten.
Fraunhofer IEM empfiehlt Unternehmen, jetzt drei Maßnahmen zu ergreifen, um den Weg zur CRA-konformen Produktentwicklung zu beginnen
„Die Übergangsfrist, bis der CRA 2027 voll erfüllt werden muss ist kurz. Unternehmen müssen sich in vielen Bereichen neu aufstellen – angefangen von der Durchführung von Security-Risikoanalysen über kurzfristige Meldepflichten bei Bekanntwerden von Schwachstellen bis hin zu kostenfreien Security-Updates während der erwarteten Lebensdauer des Produkts“, erläutert Dr. Matthias Meyer, Bereichsleiter „Softwaretechnik und IT-Sicherheit“ am Fraunhofer IEM. Er warnt: „Und Aufschieben gilt nicht, denn bei Nichteinhaltung des CRA drohen Strafzahlungen in Millionenhöhe!“
Das IEM empfiehlt Unternehmen, jetzt drei Maßnahmen zu ergreifen, um den Weg zur CRA-konformen Produktentwicklung zu beginnen. Dr. Meyer erläutert: „Die schnelle Reaktion auf das Bekanntwerden von Schwachstellen und systematische Risikoanalysen sind essenzielle Maßnahmen zur Erfüllung der CRA-Anforderungen: Unternehmen, die diese Maßnahmen jetzt angehen, sind schon sehr gut unterwegs.“ Zusätzlich bringe eine Ist-Stands-Analyse im Hinblick auf die Produkte und Prozesse Klarheit für das weitere Vorgehen.
1. IEM-Tipp: Aufbau eines Schnelleinsatzteams für den Ernstfall
„Werden Hersteller gewahr, dass Schwachstellen in ihren Produkten ausgenutzt werden, müssen sie künftig die Agentur der Europäischen Union für Cybersicherheit (ENISA) umgehend informieren: Innerhalb von 24 Stunden müssen sie eine erste Warnung geben und innerhalb von 72 Stunden weitere Details zur Art der Schwachstelle, möglichen Gegenmaßnahmen und mehr liefern.“
Abgesehen davon müssten sie jederzeit ansprechbar sein für Personen, die Sicherheitslücken melden möchten, und im Blick behalten, ob Schwachstellen in einem zugelieferten Softwarebestandteil bekannt werden. Dies gehöre zu den Aufgaben eines „Product Security Incident Response Teams“ (PSIRT): „Hersteller, die noch kein PSIRT etabliert haben, sollten sich dringend damit befassen, denn die genannten Pflichten sind bereits ab Juni 2026 zu erfüllen, und zwar für alle Produkte auf dem Markt, auch solche, die lange vor Inkrafttreten des CRA lanciert wurden.“
2. IEM-Tipp: Bedrohungs- und Risikoanalysen als zentrales Instrument
Im Kern verlange der CRA, „dass Hersteller ihre Produkte regelmäßig auf Sicherheitsrisiken analysieren und an diese Risiken angepasste Sicherheitsmaßnahmen integrieren“. Unternehmen müssten das Durchführen von Bedrohungs- und Risikoanalysen für alle Produkte fest in den Entwicklungsprozess integrieren:
„So identifizieren sie systematisch Bedrohungen, bewerten das jeweilige Sicherheitsrisiko und leiten informiert und gezielt Schutz- und Gegenmaßnahmen ab.“ Das Sicherheitsniveau der Software könne somit kontinuierlich und vor allem angemessen erhöht werden. Entwickler erlangten ein neues Sicherheitsbewusstsein und teure, aber eigentlich unnötige Maßnahmen würden sogar vermieden.
3. IEM-Tipp: Überblick durch Ist-Stand-Analyse
Die ersten beiden o.g. Maßnahmen seien wichtig, würden aber nicht ausreichen: „Unternehmen müssen sich ein Bild davon machen, welche Anforderungen des CRA sie erfüllen, und zwar sowohl bezüglich ihrer Prozesse im Produktlebenszyklus als auch der konkreten Produkte!“
Auch wenn noch keine harmonisierten Normen zum CRA vorlägen, sei einhellige Expertenmeinung, dass der bereits existierende Standard für Industrielle Cybersicherheit IEC 62443 eine sehr gute Orientierung gebe. Unternehmen müssten also nicht warten, sondern könnten schon jetzt Ist-Stands-Analysen für ihre Prozesse und Produkte durchführen und Maßnahmen ableiten – „und somit wertvolle Zeit bei der Umsetzung des CRA gewinnen“.
Weitere Informationen zum Thema:
datensicherheit.de, 10.06.2024
EU Cyber Resilience Act: Empfehlungen zur Umsetzung / Aus den Fallstricken der DSGVO lernen / Zahl der vernetzten Geräte wächst bis 2050 weltweit voraussichtlich auf 24 Milliarden – vergrößerte Hacker-Angriffsflächen durch IoT
datensicherheit.de, 06.06.2024
Smarte Produkte mit bekannten Sicherheitslücken: Cyber Resilience Act gebietet Lieferstopp / Laut Cyber Resilience Act dürfen Geräte mit bekannten ausnutzbaren Schwachstellen demnächst nicht mehr ausgeliefert werden
datensicherheit.de, 07.05.2024
Cyber Resilience Act: Verstöße können Unternehmen CE-Kennzeichnung kosten / Hersteller, Importeure und Händler sollten umgehend cyber-sicherheitskonforme Prozesse schaffen und automatisieren
datensicherheit.de, 03.10.2023
EU Cyber Resilience Act Herausforderung für Hersteller und Inverkehrbringer von Smart Devices / IoT-Sicherheitskonferenz CYBICS am 28. November 2023 informiert über Compliance, Sicherheit und Best Practices im Umfeld vom Cyber Resilience Act
datensicherheit.de, 16.09.2022
Cyber Resilience Act: Sichere IoT-Geräte schwer zu entwerfen / Cybersecurity by Design soll helfen, potenzielle Einfallstore zu schließen
datensicherheit.de, 16.09.2022
Cyber Resilience Act: TÜV-Verband fordert Nachschärfungen / EU-Vorschlag für verpflichtende gesetzliche Anforderungen hinsichtlich Cyber-Sicherheit von Hardware- und Software-Produkten vorgelegt
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten - Apr. 3, 2025 16:53 - noch keine Kommentare
Litfaßsäule 4.0: Resiliente Krisenkommunikation in Darmstadt
weitere Beiträge in Experten
- 14. Deutscher Seniorentag 2025: DsiN-Forderung nach Stärkung Digitaler Teilhabe
- Nur 1 von 10 Unternehmen wähnt sich in KI-Fragen als Vorreiter
- Dringender Branchenappell zum Glasfaser- und Mobilfunkausbau an Digitalministerkonferenz
- Wahrung der Grundrechte im Fokus: 109. DSK beschließt Forderungen an künftige Bundesregierung
- BGH-Urteil zu Meta-Datenschutzverstoß: Verbraucherzentrale Bundesverband gewinnt Verfahren
Aktuelles, Branche, Veranstaltungen - Apr. 3, 2025 15:05 - noch keine Kommentare
Web-Seminar am 10. April 2025: NIS-2 als Teil eines integrierten Managementsystems
weitere Beiträge in Branche
- Digitale Souveränität Europas: IT-Sicherheit „Made in EU“ als Basis
- Google Play Store: Hunderte bösartige Apps aufgespürt
- Nur 4 Länder verbesserten sich 2024: Europas Datenschutz weiter im Krisenmodus
- Cyberresilienz: Empfehlungen für die Entscheiderebene
- PCI DSS 4.0: Datensicherheit stärken mit Phishing-resistenter MFA
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren