:quality(80)/p7i.vogel.de/wcms/d7/ca/d7ca53fb63877b71ed8f40be734754ca/0117973730.jpeg "Die große Leserwahl zum Security-Insider-Award 2024 hat begonnen! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/ed/9fed7160871e01f51ccab928dbaeab92/0118467232.jpeg "Cyberkriminelle können durch eine Schwachstelle komplette Konten bei GitLab übernehmen. Zwei-Faktor-Authentifizierung schützt nicht vor dem Angriff aber vor der Kontenübernahme. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/a1/2ba1aa634bb635185b992c84d6fafe4a/0118481703.jpeg "Eine Analyse aktueller Telemetriedaten von Kaspersky zeigt, dass Unternehmen im Schnitt zwei Cybervorfälle pro Tag verzeichnen müssen. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351d4b937d1f9dc0224fa277a3a74de/0118466557.jpeg "Bei Sniffing- und Man-in-the-Middle-Angriffen weiß der Betroffene eigentlich nie, dass ein Verbrecher da ist, bis er Maßnahmen ergreift. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/34/5d34836fbfae674ca8e6f10841213b03/0118372926.jpeg ""Wie viel Kontrolle benötigt KI?", ein Interview von Oliver Schonschek, Insider Research, mit Oliver Keizers von Semperis. (Bild: Vogel IT-Medien / Semperis / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/71/1f/711feeca53f58761a7d711bf317aec47/0118276223.jpeg "Cullen Childress von SolarWinds warnt davor, KI zu vorschnell einzusetzen – mahnt in Sachen KI aber auch Technologie- und Fortschrittsoffenheit an. (Bild: SolarWinds)")
:quality(80)/p7i.vogel.de/wcms/c3/02/c302cd9efb930246cc8bde485a6f83ec/0118446808.jpeg "Erfolgreiche SIEM-Projekte setzen auf umfassende Tests, spezialisierte Teams und detaillierte Planung, um die umfangreichen Datenmengen effektiv zu analysieren und zu überwachen. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/69/4f6904a6142ebe0d7976702b7c15b358/0118451654.jpeg "Das Sicherheitsupdate KB5034441 verursacht teilweise den Fehler 0x80070643, Microsoft wird dafür aber keinen Patch liefern. (Bild: EricPictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0f/3a0f48a72d0ec33c3e9979f639caff9d/0118466573.jpeg "Mark Barcham, Head of Services Sales & Go-to-Market EMEA bei Arrow. (Bild: Arrow Electronics/Canva)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6fa12509d231ae90bf82565b5380eb/0118478841.jpeg "Verletzungen der Datensicherheit stellen laut „Check Point Cloud Security Report 2024“ die häufigsten Cloud-Sicherheitsvorfälle dar. (Bild: Mustafa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/0a/200a0580874f1b3875df1b9bc65e8a39/0118421857.jpeg "Netbird verbindet die Sicherheit und Geschwindigkeit von WireGuard mit einer zentralen Zugriffssteuerung. Das Tool ist außerdem beim Einsatz mit bis zu 5 Personen und 100 Geräten kostenlos. (Bild: Vladimir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/0d/cf0dcef3b9de9eb898ff2e52367e3047/0118249659.jpeg "Microsoft stellt Hotfixes für Exchange 2016 und 2019 zur Verfügung. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3b/893b2aad437cb2ff84a9d879a9c48b6a/0118298118.jpeg "In diesem Tool-Tipp zeigen wir, wie der Einstig in die Nutzung des Metasploit Framework zum Pentesting im eigenen Netzwerk einfach klappt. (Bild: MrPanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/91/5491e2c59cbe3754d963cbdac6f6be13/0118349502.jpeg "Aktuell gibt es umfassende Phishing-Angriffe auf LastPass-Nutzer. (Bild: Eightshot Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/72/0372ece5adc46f626b82eb5affb44e1b/0118441205.jpeg "Automatisierung in der IT-Sicherheit ist für Unternehmen ein entscheidender Faktor, um aktuelle Herausforderungen zu bewältigen und um sich proaktiv auf die Zukunft vorzubereiten. (Bild: Tierney - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/1f/941f77db5c1061ab5dafafb8d25a12b8/0118037871.jpeg "Cyberangriffe werden zunehmend als Bedrohung für die deutsche Wirtschaft wahrgenommen. In diesem Kontext bedeutet Glasfaserinternet für einen Großteil der Befragten Zuverlässigkeit und Stabilität. (Bild: 1&1 Versatel)")
:quality(80)/p7i.vogel.de/wcms/4b/c8/4bc87650edb2e4b320682b42c3000b8b/0118377216.jpeg "Der anhaltende Trend zum Hybrid Work bietet Cyberkriminellen neue Angriffsmöglichkeiten. (Bild: DuxX / Shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/a5/e3/a5e3b7833dd63fab7b7e0321969e45e0/0116955924.jpeg "FraudGPT ist ein auf Cyberkriminalität und Betrug spezialisierter, unmoderierter Chatbot auf Basis eines für kriminelle Zwecke trainierten LLM. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5047d54802f097069c426fec52a7c5/0116955909.jpeg "Ein Large Language Model (LLM ist ein mit riesigen Textmengen trainiertes, generatives Sprachmodell mit künstlicher Intelligenz. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Europäischer Cyber Resilience Act EU hat die digitale Produktsicherheit im Fokus
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
Um sicherzustellen, dass vernetzte Produkte entlang ihres gesamten Lebenszyklus gegen unberechtigten Zugriff und Manipulation geschützt sind, etabliert die EU mit dem Cyber Resilience Act (CRA) neue Vorgaben für Hersteller und Händler. In Hinblick auf die oft langwierigen Entwicklungszeiten sollten betroffene Unternehmen ihr Portfolio bereits jetzt umfassend prüfen.
Die Zahlen sprechen für sich: Fast jede zweite Führungskraft aus Deutschland sorgt sich dem aktuellen CEO Survey von PwC zufolge um die Folgen von Cyberrisiken. Vor allem die fortlaufende Vernetzung in sämtlichen Geschäfts- und Lebensbereichen trägt dazu bei, dass die Angriffsfläche für Hacker immer größer wird. Das hat auch die Europäische Union (EU) erkannt und möchte die Risiken mit verschiedenen Regulierungsinitiativen in den Griff bekommen. Der Cyber Resilience Act (CRA) ist eine davon und zielt insbesondere auf die Sicherheit von vernetzten Produkten ab. Maßgeblich sind dabei digitale Elemente, die eine Datenverbindung ermöglichen, z. B. zu anderen Produkten und Komponenten. Ziel der Regulierung ist es, die Cybersicherheit in der EU durch einen gemeinsamen Rechtsrahmen für solche Produkte nachhaltig zu stärken. Dafür sollen zukünftig in allen Sektoren neue Standards, Leitlinien und bewährte Verfahren zum Einsatz kommen.
Der EU-Rat hat im Juli 2023 ein Verhandlungsmandat des CRA veröffentlicht, um mit der Kommission in die Diskussion zu gehen, bevor das Parlament im März 2024 final darüber abgestimmt hat. Die Zustimmung des Europäischen Rats ist noch notwendig, wird nunmehr aber als Formsache betrachtet und für das zweite Quartal 2024 erwartet. Nach der Verabschiedung treten die meisten Vorgaben mit einer Übergangsfrist von bis zu 36 Monaten in Kraft, einige jedoch bereits nach 21 Monaten. Weil die neuen Regeln nicht nur auf Produkte für Endverbraucher anzuwenden sind, sondern auch industrielle Komponenten innerhalb der kritischen Infrastrukturen betreffen, gibt es enge Wechselwirkungen zwischen CRA und anderen Regularien, wie der NIS-2-Direktive.
Regulierung mit Augenmaß
Die EU definiert die von der Verordnung betroffenen Produkte grundsätzlich so, dass so gut wie alle Endgeräte und Software-Komponenten unter die neuen Vorgaben fallen. An der Schnittstelle zu den Endverbrauchern sind das etwa Produkte aus dem Bereich der Unterhaltungselektronik, Smart-Home-Technologien oder auch Smartphone-Apps. Im B2B-Sektor fallen zukünftig viele Komponenten für Industrie-, Umwelt- und Energietechnologie unter die Verordnung. Dazu gehören etwa Sensoren, Steuersysteme oder Software für die Datenanalyse.
Um die Anforderungen an diese Produkte mit dem richtigen Augenmaß zu definieren, unterscheidet der Gesetzgeber zwischen vier verschiedenen Kategorien. In die normale Standardkategorie fallen Produkte, die keinerlei cybersicherheitsrelevante Aufgaben erfüllen – etwa Social-Media-Apps oder vernetzte Haushaltsgeräte. Die wichtigen Produkte der Klasse I gelten wiederum als cybersicherheitsrelevant und werden dementsprechend strenger geprüft. Zu dieser Klasse gehören unter anderem Antivirensoftware oder Netzwerkkomponenten. Darauf folgen die wichtigen Produkte der Klasse II, die nicht nur hoch relevant für die Cybersicherheit sind, sondern deren Manipulation auch weitreichende Folgen für andere digitale Produkte hätte. Das trifft etwa auf industrielle Firewalls, SCADA-Systeme und ähnliche Lösungen zu, die in Anhang III des Verhandlungsmandats aufgeführt sind. Die letzte der vier Kategorien ergibt sich aus Anhang IV und betrifft insbesondere Produkte, die im Bereich der kritischen Infrastrukturen wichtige Sicherheitsfunktionen einnehmen. Dazu gehören etwa Smart-Metering-Gateways, die zur Erfassung und Übertragung von Energieverbrauchsdaten in Echtzeit verwendet werden.
CE-Abzeichen nur nach Prüfung und Konformitätserklärung
Hersteller und Händler müssen im Zuge der neuen Vorgaben ein Risiko-Assessment vornehmen und eine umfassende Dokumentation über die Sicherheitsmerkmale und -funktionen ihrer Produkte und Dienstleistungen führen. Es ist zu erwarten, dass rund 90 Prozent der Produkte auf dem europäischen Markt in die Standardkategorie fallen werden. Hier gelten die technischen Anforderungen aus Anhang 1, in dem grundlegende Prinzipien wie ein angemessenes Cybersicherheitsniveau entlang des gesamten Lebenszyklus definiert sind. Unternehmen können Produkte dieser Kategorie selbst prüfen und eine Konformitätserklärung abgeben, bevor sie das CE-Kennzeichen auf dem Produkt anbringen dürfen.
Für Produkte der wichtigen Klasse I ist zunächst zu prüfen, ob ein harmonisierter Standard verfügbar ist. Solche harmonisierten Standards sind für den CRA noch nicht festgelegt, erwartet werden jedoch Standards, die bereits weitläufigen Einsatz finden, wie z. B. der IEC 62443. Ist ein solcher Standard verfügbar, so können Unternehmen diesen anwenden und schließlich die Konformitätserklärung bei den zuständigen Behörden abgeben. Ist das nicht der Fall, müssen sie Anhang 1 anwenden und durch eine externe Prüfstelle untersuchen lassen, ob die Konformität gegeben ist. Für Produkte der wichtigen Klasse II besteht immer die Pflicht, eine externe Prüfstelle zu involvieren. Bei Produkten aus Anhang IV kommt es wiederum darauf an, ob ein Zertifizierungssystem verfügbar ist. Auch hier gilt: Sofern vorhanden, müssen Unternehmen dieses auch anwenden. Andernfalls kommt Anhang I zur Anwendung und es folgt das beschriebene Prozedere inklusive der externen Prüfung.
Pflichten und Sanktionen
Neben dem initialen Risiko-Assessment und der internen oder externen Prüfung kommen mit der Verabschiedung des CRA weitere Pflichten auf Unternehmen zu. Der CRA sieht vor, dass Unternehmen die erwartete Lebensdauer eines Produktes angeben, wenn sie es verkaufen. Standardmäßig gelten hier mindestens fünf Jahre, in Sonderfällen kann diese jedoch auch kürzer ausfallen. Marktüberwachungsbehörden vergleichen dabei die Lebensdauer vergleichbarer Produkte im Markt, um korrekte Angaben sicherzustellen. Für die erwartete Lebensdauer der Produkte muss die Sicherheit der Produkte sichergestellt werden, also sind insbesondere Risiken und Sicherheitslücken schnell zu identifizieren. Treten sicherheitsrelevante Unregelmäßigkeiten auf, sind die Hersteller in der Pflicht, diese innerhalb von 24 Stunden an das nationale Cyber Security Incident Response Team zu melden, in Deutschland also dem BSI. Über die Lebensdauer des Produktes hinweg müssen kostenlose Sicherheitsupdates zur Verfügung gestellt werden, damit das Produkt nicht nur sicher ausgeliefert, sondern auch dauerhaft so betrieben wird. Bei Verstößen gegen den CRA drohen Strafen in Höhe von bis zu 15 Millionen Euro oder 2,5 Prozent des globalen Umsatzes. Außerdem können die Behörden Produkte bei Verstößen vom Markt nehmen.
Die Pflichten für betroffene Unternehmen nehmen mit dem CRA deutlich zu, dennoch ist die Verordnung eine sinnvolle Ergänzung für die europäische Regulierungslandschaft. Denn sowohl Verbraucher als auch B2B-Anwender können sich zukünftig deutlich stärker auf die langfristige Sicherheit ihrer Produkte verlassen. Gerade in sensiblen Bereichen wie dem produzierenden Gewerbe oder der Energiewirtschaft ist das nicht nur begrüßenswert, sondern obligatorisch. Da Unternehmen außerhalb der EU dieselben Anforderungen erfüllen müssen, um ihr Produkt in der EU anbieten zu dürfen, bleibt die Wettbewerbsgleichheit auf dem Markt gewahrt. Herstellern und Händlern von vernetzten Produkten bleibt jetzt noch genug Zeit, ihr Portfolio umfassend zu prüfen, mögliche Defizite aufzuarbeiten und im Sinne der geforderten Konformitätsnachweise zu dokumentieren. Wer zu lange damit wartet, riskiert jedoch, von der Regulierung eingeholt zu werden. Daher ist ein proaktiver Ansatz der einzig richtige Weg, um sich den kommenden Anforderungen zu stellen.
Über den Autor: Dr. Oliver Hanka verantwortet bei PwC Deutschland das Thema Industrial und Product Cyber Security. Er ist unter anderem Experte für die Sicherheit an der Schnittstelle von IT und OT, den Schutz kritischer Infrastrukturen sowie damit einhergehende Regulierungsfragen.
(ID:50017122)
:quality(80)/p7i.vogel.de/wcms/31/3c/313cc72c03a2283b6adbc1acd5b8a3a1/0115810762.jpeg "Der EU Cyber Resilience Act (CRA) ist eine EU-Verordnung zur Definition verbindlicher Anforderungen an die Cybersicherheit von Produkten mit digitalen Bestandteilen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/13/441308ff843586c1023b6d993a9ba077/0112599838.jpeg "Ob CRA, NIS-2 oder die CER-Richtlinie: Halten sich Unternehmen nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen. Umso wichtiger ist eine strukturierte und ganzheitliche Cybersecurity-Strategie. (Bild: Alexander Limbach - stock.adobe.com)")