Aktuelles, Branche - geschrieben von dp am Donnerstag, Juni 6, 2024 0:47 - noch keine Kommentare
Smarte Produkte mit bekannten Sicherheitslücken: Cyber Resilience Act gebietet Lieferstopp
Laut Cyber Resilience Act dürfen Geräte mit bekannten ausnutzbaren Schwachstellen demnächst nicht mehr ausgeliefert werden
[datensicherheit.de, 06.06.2024] Allein in den USA sind im Jahr 2024 bisher 14.286 „Common Vulnerabilities and Exposures“ (CVE) auf der Website des National Institute of Standards and Technology (NIST) veröffentlicht worden – diese bezeichnen Sicherheitslücken und andere Schwachstellen in Computersystemen, welche einem Hacker einen Cyber-Angriff ermöglichen können. ONEKEY weist in einer aktuellen Stellungnahme darauf hin, dass gemäß der kommenden EU-Gesetzgebung, dem „Cyber Resilience Act“ (CRA), Geräte demnächst nicht mehr mit bekannten ausnutzbaren Schwachstellen ausgeliefert werden dürfen. „Treten dennoch bekannte und ausnutzbare Schwachstellen auf, haften Hersteller, Verkäufer oder Importeure als Unternehmen und die gesamte Unternehmensführung.“
Jan C. Wendenburg: Der CRA fordert von allen Herstellern verpflichtende Prüfungen, Überwachung und Dokumentation der Produkt-Cyber-Sicherheit!
Cyber Resilience Act soll Kunden zu effektivem Anspruch auf sichere Software verhelfen
Beim Thema Cyber-Resilienz solle für die Zukunft unter der Gesetzgebung des „Cyber Resilience Act“ (CRA) klar sein, dass Kunden – im privaten wie im industriellen Umfeld – einen effektiven Anspruch auf sichere Software hätten. „Der Wettlauf allerdings, wer Schwachstellen zuerst entdeckt, geht weiter: Unternehmen sind daher gut beraten, jetzt sowohl eine effiziente CVE-Erkennung als auch ein ,Impact Assessment’ einzuführen, um die eigenen Produkte besser zu durchleuchten und sich gegen schwerwiegende Folgen von Schwachstellenszenarien zu wappnen.“
Jan C. Wendenburg, „CEO“ von ONEKEY, kommentiert: „Der CRA fordert von allen Herstellern verpflichtende Prüfungen, Überwachung und Dokumentation der Produkt-Cyber-Sicherheit, dazu gehört auch die Prüfung auf unbekannte Schwachstellen, den sogenannten ‚Zero Days‘.“
Wissen um die eigenen Cyber-Schwachstellen
Der Begriff „Zero Day“ stehe für neu entdeckte Sicherheitslücken, über die Hacker angreifen könnten, und bezieht sich auf „Null Tage“, welche ein Hersteller oder Entwickler Zeit habe, den Fehler zu beheben. Viele Hersteller oder sogenannte Inverkehrbringer würden die potenziellen Schwachstellen ihrer eigenen Produkte nur unzureichend kennen, welche sich beispielsweise bei Industriesteuerungen auch in Komponenten mit eigener Firmware von Zulieferern verbergen könnten. Generell könnten Hardware und Firmware sowie alle Geräte des Internets der Dinge (Internet of Things / IoT) von solchen Schwachstellen betroffen sein.
Mit dem „ONEKEY Compliance Wizard“ möchten die Cyber-Sicherheitsexperten von ONEKEY eine umfassende Cyber-Sicherheitsbewertung von Produkten mit digitalen Elementen anbieten. Durch die Kombination von automatischer Schwachstellenerkennung, CVE-Priorisierung und Filterung mit einem ganzheitlichen, interaktiven Compliance-Fragebogen werden demnach Aufwand und Kosten von Cyber-Sicherheits-Compliance-Prozessen deutlich reduziert und das Risiko drohender Bußgelder minimiert. „Wer nicht pünktlich zum Start des CRA ganz vorne in der Reihe der Bußgeld-Zahler stehen will, muss bereits jetzt Prozesse schaffen, um die eigenen Risiken analysieren und patchen zu können“, unterstreicht Wendenburg.
Gesamte Lieferkette muss hinsichtlich der Cyber-Sicherheit von Produkten und Komponenten dokumentiert werden
Mit einem „CRA Assessment“ könne die aktuelle und zukünftige Compliance zu den CRA-Anforderungen ermittelt und so frühzeitig potenzieller Handlungsbedarf identifiziert werden. „Dafür können Unternehmen auf das Wissen der ONEKEY-Experten für Cyber-Sicherheit zurückgreifen.“ Hersteller und Importeure müssten im Zuge der neuen Anforderungen auch eine umfassende Dokumentation der Soft- und Firmwarekomponenten ihrer Produkte führen. Dafür sei nach CRA-Vorschriften eine Software-Stückliste (Software Bill of Materials / SBOM) zu erstellen und zu überwachen. So könne die gesamte Lieferkette hinsichtlich der Sicherheit von Produkten und Komponenten – also auch zugekaufte Komponenten mit eigener Firmware – dokumentiert werden.
Diese Anforderungen könnten mit vertretbarem Aufwand nur durch Automatisierung effizient abgebildet werden. Mit der „ONEKEY PLATFORM“ z.B. könne die Firmware automatisch auf Schwachstellen untersucht und eine SBOM erzeugt werden. Alle Geräte benötigten zukünftig entweder eine Sicherheits-Selbsterklärung oder externe Zertifizierung. „Durch Automatisierung lässt sich der Aufwand bei der Selbsterklärung oder Vorbereitung der Zertifizierung deutlich reduzieren. Dies stellen wir mit der „ONEKEY PLATFORM“ einfach zur Verfügung. Jetzt liegt es an den Unternehmen, die notwendigen Maßnahmen zur Erfüllung des CRA auch umzusetzen“, betont Wendenburg abschließend.
Weitere Informationen zum Thema:
ONEKEY PLATFORM
CUT COSTS AND TIME FOR PRODUCT CYBERSECURITY COMPLIANCE MANAGEMENT
datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate
datensicherheit.de, 07.05.2024
Cyber Resilience Act: Verstöße können Unternehmen CE-Kennzeichnung kosten / Hersteller, Importeure und Händler sollten umgehend cyber-sicherheitskonforme Prozesse schaffen und automatisieren
datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf
Aktuelles, Experten - Nov 20, 2024 21:07 - noch keine Kommentare
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
weitere Beiträge in Experten
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
Aktuelles, Branche, Studien - Nov 20, 2024 20:59 - noch keine Kommentare
Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
weitere Beiträge in Branche
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
- NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren