‚Security by Design‘ ins Technikrecht aufgenommen Paradigmenwechsel für Produkt-Cybersicherheit

In Zukunft ist es nicht mehr ausreichend, die CRA-Konformität eines Produkts mit digitalen Elementen nur zum Zeitpunkt des Markteintritts zu gewährleisten, sondern es muss eine fortlaufende Risikobewertung und gegebenenfalls Aktualisierung der in den Geräten enthaltenen Soft- und Firmware erfolgen.

Bild: publish-industry, DALL·E
28.10.2024

Die EU greift beim Thema Cybersecurity durch: Seit dem 10. Oktober wurde der Cyber Reslilience Act verpflichtend für alle Hersteller verankert. Vernetzte Geräte müssen so entwickelt werden, dass sie über den gesamten Lebenszyklus hinweg mit aktueller Software vor Cyberangriffen geschützt sind.

Mit dem Cyber Resilience Act (CRA) wird erstmals der Grundsatz ‚Security by Design‘ in das europäische Technikrecht aufgenommen“, sagt Jan Wendenburg, CEO des Düsseldorfer Cybersicherheitsunternehmens Onekey. Dieser „Paradigmenwechsel“ habe unmittelbare Konsequenzen für alle Hersteller und Inverkehrbringer vernetzer Geräte, verweist er auf die weitreichenden Folgen der anstehenden gesetzlichen Regelungen für die Absicherung digitaler Produkte gegen Hackerangriffe.

So ist es in Zukunft nicht mehr ausreichend, die CRA-Konformität eines Produkts mit digitalen Elementen nur zum Zeitpunkt des Markteintritts zu gewährleisten, sondern es muss eine fortlaufende Risikobewertung und gegebenenfalls Aktualisierung der in den Geräten enthaltenen Soft- und Firmware erfolgen. „Die Hersteller müssen von Anfang an einen Mechanismus in ihre Produkte integrieren, um neue Software-Versionen einzuspielen und damit nach Auslieferung auftretende Sicherheitslücken zu schließen“, erklärt Jan Wendenburg. Versäumen sie es dieses Designmerkmal zu integrieren, dürfen die entsprechenden Produkte künftig in den Ländern der Europäischen Union nicht mehr verkauft werden, weist der Onekey-CEO auf die Konsequenzen eines nachlässigen Umgangs mit dem Cyber Resilience Act hin.

„Extrem breite“ Palette betroffener Produktkategorien

Die Palette der betroffenen Produktkategorien ist „extrem breit“, sagt Jan Wendenburg. Er nennt Beispiele: Geräte für das Smart Home und die Smart Security, vernetzte Haushaltsgeräte aller Art, Spielzeug mit WLAN-Anbindung, VoIP-Telefone, Netzwerkausrüstung wie Router, Switches oder Firewalls, vernetzte Medizingeräte, Fahrzeuge, Geräte des Industrial Internet of Things und industrielle Steuerungssysteme, wie sie im produzierenden Gewerbe von der Fertigung bis zur Logistik abteilungsübergreifend eingesetzt werden.

Jan Wendenburg führt aus: „Praktisch alle Bereiche der industriellen Automatisierung sind heute digitalisiert. Geräte, Maschinen und Anlagen, die früher rein mechanisch funktionierten, sind längst mit Steuerungselektronik ausgestattet und ans Netz angeschlossen. Doch viele Hersteller dieser Automatisierungsprodukte sind diesen Weg vom Maschinenbauer zum Softwarehersteller nicht wirklich selbst gegangen, sondern beziehen die digitalen Komponenten und die entsprechenden Programme von Zulieferern. Mit der CRA-Regulierung sind nun diese Hersteller direkt haftbar für die Digitaltechnik in ihren vernetzten Geräten. Hier sind viele Unternehmen bislang noch nicht ausreichend vorbereitet.“

Software-Know-how bei Industrieausrüstern ist heterogen

„Die Herstellerseite von industriellen Automatisierungskomponenten ist im Bezug auf das Software-Know-how“ sehr heterogen, weiß Jan Wendenburg aus zahlreichen Projekten. Er analysiert: „Die vernetzten Produkte über ihren gesamten Lebenszyklus hinweg mit neuen Updates zu versehen, um immer wieder neu aufkommende Sicherheitslücken in der Software zu schließen, stellt für viele überwiegend mittelständische Hersteller von industrieller Automatisierungstechnik eine große Herausforderung dar.“ Er weist darauf hin, dass die Datenbank der öffentlich bekannten Schwachstellen in Software, die von Hackern ausgenutzt werden können (CVE-Datenbank: Common Vulnerabilities and Exposures), über 240.000 Einträge umfasst. „Schon für IT-Abteilungen in der Konzernwelt ist es schwierig den Überblick über Cybersicherheitslücken zu behalten, für den Mittelstand ist das aber praktisch unmöglich“, befürchtet Jan Wendenburg.

Der Sicherheitsexperte verweist auf den Klassiker der IoT-Hacks in Cybersicherheit, die weltweit bekannte Stuxnet-Angriffswelle im Jahr 2010, bei der über das Internet gezielt sogenannte Scada-Systeme (Supervisory Control and Data Acquisition) von Siemens attackiert wurden. Diese industriellen Steuerungssysteme werden global in Industrieanlagen, Kraftwerken oder Pipelines eingesetzt. Stuxnet zielte darauf ab, die Drehgeschwindigkeit der von den Scada-Systemen gesteuerten Motoren zu verändern und dadurch die Maschinen physisch zu zerstören. Der Computervirus hatte damals tausende Anlagensteuerungen befallen und unter anderem die im Bau befindlichen Atomkraftwerke im Iran sabotiert, wofür er nach überwiegender Expertenmeinung eigens entwickelt und von einer staatlichen Behörde auf den Weg gebracht worden war.

„Spätestens seit 2010 ist klar, dass Cyberattacken Maschinen und Anlagen irreparabel zerstören können. Mit Inkrafttreten des EU Cyber Resilience Act haften die Hersteller und Inverkehrbringer dafür, wenn ihre digitalen Steuerungssysteme nicht von Grund auf so konzipiert sind, dass sie laufend mit aktueller Software ausgestattet werden können, die bestmöglich vor Angriffen schützt“, fasst Jan Wendenburg zusammen.

Als ersten Schritt empfiehlt der Onekey-CEO den Anbietern von vernetzten Geräten, Maschinen und Anlagen, eine „Software Bill of Materials“ (SBOM) zu erstellen, d.h. eine genaue Stückliste aller in ihren Produkten verwendeten Komponenten. Onekey betreibt eine Product Cybersecurity & Compliance Platform (OCP), die SBOMs automatisch generiert und dabei potenzielle Sicherheitslücken identifiziert. Damit sind die Voraussetzungen geschaffen, um mögliche Sicherheitslücken zu verfolgen und dann gezielt zu schließen. „Mit unserer Plattform können Hersteller die Anforderungen des Cyber Resliience Act in weiten Teilen automatisieren und so die zusätzlichen Aufwände wesentlich reduzieren.“, sagt Jan Wendenburg.

Firmen zu diesem Artikel
Verwandte Artikel