Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle

ONEKEY warnt vor höchster Gefahr für Hersteller vernetzter Geräte, Maschinen und Anlagen, deren Produkte Open-Source-Software enthalten

[datensicherheit.de, 22.11.2024] Hersteller vernetzter Geräte, Maschinen und Anlagen sollten bei der Verwendung von Open-Source-Software in ihren Produkten aufgrund einer neuen EU-Regulierung besondere Vorsicht walten lassen: Open-Source-Programme selbst unterlägen nämlich nicht den strengen Regeln des bald in Kraft tretenden „Cyber Resilience Act“ (CRA) – die Hersteller von Produkten unter Verwendung von Open-Source-Komponenten hingegen sehr wohl: Vor dieser „Open-Source-Falle“ warnen Jan Wendenburg, „CEO“ von ONEKEY, und sein Cyber-Sicherheits-Expertenteam.

Open-Source-Software mit ausnutzbaren Schwachstellen: Verkäufer haftet

Die von der EU auf den Weg gebrachte CRA-Regulierung verlange von den Herstellern oder Inverkehrbringern (z.B. Importeure, Distributoren) von „Connected Devices“, dass sie diese auch nach der Auslieferung mit stets neuen Software-Updates versorgten, um sie dauerhaft gegen Hacker-Angriffe zu schützen.

Bei schwerwiegenden Verstößen gegen den CRA könnten Unternehmen mit Bußgeldern von bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des weltweiten Jahresumsatzes bestraft werden, „je nachdem, welcher Betrag höher ist“.

Wendenburg verdeutlicht: „Wenn Open-Source-Software mit ausnutzbaren Schwachstellen in neuen vernetzten Geräten verkauft wird, haftet nicht automatisch der Software-Anbieter, sondern immer derjenige, der das Produkt mit der integrierten Software auf den Markt bringt!“

„Open Source“ könnte Synonym für potenziell unsichere Software werden

ONEKEY erläutert den Hintergrund: Die EU trage beim CRA den Besonderheiten der Open-Source-Community Rechnung. Dadurch sollten nicht-kommerzielle Projekte, Hochschulen, Organisationen der Zivilgesellschaft und öffentliche Verwaltungen von den strengen Regularien in Bezug auf Cyber-Sicherheit befreit werden.

„Das ist zwar einerseits lobenswert, weil damit Forschung, Entwicklung und ehrenamtliches Engagement gefördert wird, aber andererseits könnten die geringeren Anforderungen zu potenziell unsicherer Software führen“, kommentiert Wendenburg.

Die CRA-Sonderrolle sogenannter Stewards von Open-Source-Projekten bewertet Wendenburg ebenfalls ambivalent: „Für diese Organisationen, die in einem geschäftlichen Umfeld Open-Source-Software entwickeln, sieht die CRA-Regulierung abgeschwächte Sicherheitsregeln vor.“ So seien sie beispielsweise von Geldbußen vollständig ausgenommen. Immerhin müssten sie eine Cyber-Sicherheitsstrategie für ihre Programme vorweisen, dürften erkannte Schwach­stellen in der Software nicht ignorieren und müssten mit den CRA-Behörden zusammenarbeiten.

Hersteller von OT- und IoT-Geräten sollten Open-Source-Aktivitäten erneut überdenken

„Bei allem Verständnis für die Open-Source-Community, ist durch die zahlreichen Ausnahmen und Abschwächungen für die Akteure auf diesem Sektor, der Schutzwall gegen Cyber-Kriminelle, den die EU mit dem ,Cyber Resilience Act’ gerade aufbaut, von Anfang an löchrig geworden“, warnt Wendenburg.

Er verweist auf die Diskrepanz zwischen den niedrigeren Anforderungen bei der Entwicklung von Open-Source-Programmen einerseits und der vollständigen Pflichterfüllung anderer­seits, sobald die Software als Bestandteil eines „Produkts mit digitalen Elementen“ kommerziell genutzt wird.

„Die Hersteller von OT- und IoT-Geräten sind daher gut beraten, ihre Open-Source-Aktivitäten neu zu überdenken“, so seine dringende Empfehlung. Gemeint seien damit Maschinelle Steuerungen („Operation Technology“ / OT), wie sie in der sogenannten Industrie 4.0 auf breiter Front zum Einsatz kämen, und Geräte für das „Internet of Things“ (IoT), also beispielsweise im „Smart Home“.

Immer mehr Open-Source-Software bei OT und IoT im Einsatz

Nach aktuellem Stand werde Open-Source-Technologie zunehmend in der Entwicklung und im Einsatz von OT- und IoT-Plattformen verwendet. Über 100 Open-Source-Projekte für OT/IoT seien alleine in EU-Initiativen dokumentiert, welche eine große Bandbreite von Softwarekomponenten umfassten, wie etwa „Gateways, Middleware für Edge-Computing und Cloud-Plattformen“.

Die EU fördere aktiv Open-Source-Projekte für den OT/IoT-Sektor. Wendenburgs Analyse: „Der Einsatz von ,Open Source’ bringt viele Vorteile, aber auch erhebliche Herausforderungen bei der OT- und IoT-Integration mit sich.“

Mit der CRA-Regulierung kämen zusätzliche Auflagen in Sachen Sicherheit hinzu, die es zu erfüllen gelte. Die neue Dimension liege dabei in der Haftung: „Jeder Fehler kann einen Produkthersteller im wahrsten Sinne des Wortes teuer zu stehen kommen!“

„Software Bill of Materials“ und Schwachstellenprüfung unerlässlich – nicht nur bei Verwendung von Open-Source-Komponenten

Wendenburg rät den Herstellern vernetzter Geräte, Maschinen und Anlagen zu einer automatischen SBOM- und Schwachstellenanalyse, bevor die Produkte auf den Markt gebracht werden. Das Kürzel SBOM stehe für „Software Bill of Materials“, also für eine Stückliste aller Softwarekomponenten, „in der die Komponenten festgestellt werden“. Anschließend werde die Cyber-Resilienz auf Schwachstellen geprüft und dokumentiert.

Dazu erfolge zuerst ein Abgleich mit der CVE-Datenbank aller bekannten Softwareschwachstellen (CVE: „Common Vulnerabilities and Exposures“), welche vom Massachusetts Institute of Technology Research and Engineering (MITRE) im Auftrag der US-Regierung verwaltet werde. Jeden Monat kämen zwischen 500 und 2.000 neue Einträge über bekanntwerdende Sicherheitslücken hinzu. Etwa 25 bis 30 Prozent davon entfielen auf Open-Source-Software, schätzten Experten.

Danach werde auf unbekannte, sogenannte Zero-Day-Schwachstellen geprüft. „Allerdings genügt es laut CRA nicht, diesen Check nur bei der Auslieferung eines neuen OT/IoT-Produktes auf den Markt durchzuführen, sondern es muss über die gesamte Produklebensdauer hinweg immer wieder neu geprüft werden“, betont Wendenburg, und ergänzt abschließend: „Bei IoT-Geräten etwa für das ,Smart Home’ wird üblicherweise von fünf Jahren Einsatzdauer ausgegangen, aber bei Maschinellen Steuerungen für die ,Industrie 4.0‘ kann der Lebenszyklus bei zehn, 20 oder mehr Jahren liegen.“

Weitere Informationen zum Thema:

Europäisches Parlament
Standpunkt des Europäischen Parlaments festgelegt in erster Lesung am 12. März 2024 im Hinblick auf den Erlass der Verordnung (EU) 2024/… des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2019/1020 (Cyberresilienz-Verordnung)

datensicherheit.de, 20.11.2024
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand / „Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht

datensicherheit.de, 24.10.2024
CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit / CRA erzwingt, vernetzte Produkte über gesamten Lebenszyklus hinweg mit neuen Updates zu versehen

datensicherheit.de, 18.10.2024
Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen / Suzanne Button kommentiert Bedeutung des CRA für europäische Unternehmen und unterstreicht Handlungsbedarf

datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf