Die EU-Kommission hat den Vorschlag zum European Cyber Resilience Act (kurz CRA-E) im September 2022 finalisiert. Ziel der neuen gesetzlichen Richtlinie ist die Verbesserung der Cybersicherheit vernetzter Produkte und damit auch die Stärkung der Cybersicherheit im gesamten EU-Raum.
Der CRA-E verpflichtet sowohl Hersteller, Importeure als auch Händler, ein gewisses Maß an Security während des gesamten Lebenszyklus eines Produktes zu gewährleisten. Mit dem CRA-E wird erstmalig eine allgemein bindende Gesetzgebung zur vollumfänglichen Berücksichtigung der Cybersicherheit vernetzter Produkte vorgelegt.
Als vernetztes Produkt zählt jegliche Software und Hardware, deren Verwendungszweck oder Einsatz eine direkte logische oder physische Datenverbindung mit einem Gerät oder Netzwerk vorsieht. Damit sind praktisch alle Produkte, die in irgendeiner Weise mit anderen Produkten (Bluetooth, serielle Schnittstelle, etc.) kommunizieren oder mit Netzwerken (WiFi, Ethernet, etc.) verbunden werden, eingeschlossen. Dies betrifft natürlich auch smarte Produkte sowie Geräte mit Funktionen für KI-gesteuerte Datenanalyse- und Auswertung, oder Produkte mit Möglichkeiten zur Fernwartung.
Hardware- und Softwareprodukte sind häufig Cyberangriffen ausgesetzt, und zwar sehr erfolgreich. Das ist nicht weiter verwunderlich, denn vernetzte Produkte leiden oft an einem niedrigen Cyber Security Niveau. Die zum Teil unzureichende Bereitstellung von Sicherheits-Updates zählen zu ihren weit verbreiteten Schwachstellen. Das hat weitreichende Folgen: Die Cyberkriminalität kostet mittlerweile geschätzte 5,5 Billionen EUR pro Jahr.
Quelle: Executive Summary of the Impact Assessment Report zum CRA-E
Für Hersteller smarter Produkte ergeben sich aus dem CRA-E eine Reihe zusätzlicher Anforderungen. Ganz allgemein wird eine Professionalisierung ihrer Security-Aktivitäten verlangt. Zum einen geht es um die stringente Umsetzung sicherer Entwicklungspraktiken und Schutzmaßnahmen. Zum anderen wird die Etablierung eines systematischen Schwachstellenmanagements verpflichtend werden. Die Umsetzung dieser Vorgaben erfordert auch zusätzliche Dokumentationen, die nicht zuletzt die Bereitstellung von Nachweisen für eine Prüfung erst möglich machen werden.
Das sind die Herausforderungen für Entwickler und Produzenten smarter Produkte:
Gängige Ansätze, die aktuell häufig in der Entwicklung von Hard- und Software getrennt voneinander angewendet werden, müssen überdacht und gegebenenfalls zusammengeführt werden. Es ist nicht mehr ausreichend, Cyber Security im Kontext von Hardware und losgelöst von umgebenden Systemen und Software zu betrachten. Daher müssen beispielsweise Bedrohungsmodellierungstechniken eingesetzt werden, die eine gemeinsame Betrachtung zulassen. Ebenso muss die eingesetzte Methodik zur Risikobewertung die angeführten Aspekte gleichermaßen unterstützen. Dies gilt auch, wenn beispielsweise Teile der Entwicklungsarbeit durch Dritte erbracht werden.
Verstöße gegen die Vorgaben des CRA-E werden mit empfindlichen Geldstrafen von bis zu 15 Millionen EUR belegt oder bis zu 2,5 Prozent des weltweiten Jahresumsatzes. Das ist bitter, aber Hersteller smarter Produkte sollten auch die Chancen der neuen Verordnung sehen. Zum einen werden sie selbst –
in ihrer Rolle als Kunden – von einem höheren Maß an Cybersicherheit in genutzten Drittanbieterkomponenten sowie von schnelleren Reaktionszeiten bei der Behebung von Schwachstellen profitieren. Auf der anderen Seite sieht der CRA-E die Vergabe des CE-Siegels für konforme Produkte vor und gibt Herstellern durch die transparenten Dokumentationsvorgaben auch die Möglichkeit, sich mit einem professionellen Vorgehen gegenüber Mitbewerbern hervorzuheben.
Das Inkrafttreten des CRA-E wird noch 2023 erwartet. Für Hersteller vernetzter Produkte bleibt damit nur wenig Zeit, um erforderliche Maßnahmen vorzunehmen und die Einführung eines Schwachstellenmanagements zu etablieren. Die vorgesehenen Fristen von 12 Monaten (für Schwachstellenmanagement) und 24 Monaten (vollumfängliche Umsetzung des CRA-E) sind für Unternehmen mit geringerem Cyber Security Reifegrad –
und in Anbetracht des aktuellen Mangels an Cyber Security Experten am Arbeitsmarkt – ohne umgehende Vorbereitung kaum einzuhalten.
CERTAINITY bietet umfassende Security Engineering Beratungsleistungen zur Unterstützung bei der Umsetzung des CRA-E an. Fragen Sie nach unserem initialen Workshop zur Vorstellung des CRA-E und der individuellen Bedarfsklärung über sales@certainity.com oder direkt bei michael.brunner@certainity.com an.
Michael Brunner leitet seit Juni 2022 die CERTAINITY Practice Security Engineering. Er befasst sich seit Jahren intensiv mit Themen zur sicheren Software- und Produktentwicklung, Security Architekturen und der Etablierung zugehöriger Prozesse – insbesondere in Bereichen der kritischen Infrastruktur.
CERTAINITY ist ein in Österreich gegründetes Beratungsunternehmen für Cyber Security mit Hauptsitz in Wien. Die erfahrenen Experten der CERTAINITY begleiten Unternehmen bei der nachhaltigen Verbesserung der Widerstandsfähigkeit ihrer Organisation. Die Mitglieder des CERTAINITY Consulting Teams verfügen im Schnitt über mehr als 20 Jahre Erfahrung im Bereich IT-Security & Informationssicherheit. Das Dienstleistungsportfolio der CERTAINITY umfasst sowohl operative als auch strategische Cyber Security Beratungsleistungen in den Spezialbereichen Offensive Security, Defensive Security, Process Consulting und Security Engineering.
Michael Brunner, PhD
Head of Security Engineering
T +43 664 962 40 28
Verwandte Themen
Resilienz kritischer Einrichtungen: Neue gesetzliche Anforderungen für Betreiber kritischer Infrastruktur
Am 16. Oktober wurde in Österreich das Resilienz kritischer Einrichtungen-Gesetz (RKEG) veröffentlicht. Wer davon betroffen ist und was zu tun ist, erfahren Sie hier.
Wasserstoff: Motor der Dekarbonisierung – Chancen und Risiken im Wandel der Energieversorgung
Die Dekarbonisierung der Wirtschaft ist eine der größten Herausforderungen unserer Zeit. Dabei spielt Wasserstoff eine Schlüsselrolle: Er kann fossile Energieträger in der Industrie, im Verkehr und in Teilen der Energieversorgung ersetzen – überall dort, wo Strom allein nicht ausreicht. Besonders für Branchen wie Stahl, Chemie oder Raffinerien ist Wasserstoff…
Die Versicherungssumme in der Managerhaftpflichtversicherung (D&O)
Die Versicherungssumme in der D&O-Versicherung ist entscheidend: Sie begrenzt die Leistung des Versicherers und kann durch Verteidigungskosten rasch erschöpft werden. Das „First come, first served“-Prinzip birgt Risiken für spätere Anspruchsteller. Eine regelmäßige, risikoadäquate Anpassung der Summe ist daher unerlässlich.
