Mit dem EU Cyber Resilience Act (CRA) hat die Europäische Union ein wegweisendes Gesetz zur Stärkung der Cybersicherheit vernetzter Produkte verabschiedet. Zukünftig müssen alle Produkte, die das CE-Zeichen (Conformité Européenne) erhalten wollen, strenge Sicherheitsstandards erfüllen, um den EU-Vorgaben zu genügen. Ohne diese Kennzeichnung ist ein Verkauf in der EU nicht erlaubt. Die neuen Regelungen bringen erhebliche Herausforderungen für Hersteller und Händler mit sich.
Hohe Anforderungen, kurze Frist
Das Ausmaß und die Dringlichkeit des CRA (Cyber Resilience Act) wird zu oft unterschätzt. Die Verordnung betrifft nicht nur Computer und sämtliche IT-Netzwerkkomponenten, sondern sämtliche „Produkte mit digitalen Elementen“. Das schließt alle Geräte, Maschinen und Bauteile ein, die Digitaltechnik nutzen oder eine direkte bzw. indirekte Verbindung zu anderen Geräten oder Netzwerken haben. Betrachtet man unsere moderne Welt, wird klar: Ein Großteil der Technologien, die uns umgeben, fällt unter das neue Cyberresilienzgesetz – vom Smart Home über industrielle Produkte bis hin zu Maschinen und technischen Anlagen.
Unternehmen, die Produkte mit digitalen Komponenten in der EU vertreiben möchten, sollten sich zügig auf die neuen Anforderungen des CRA vorbereiten. Es bleibt lediglich eine 36-monatige Übergangsfrist, in der die Einhaltung der CRA-Vorgaben noch freiwillig ist. Nach Ablauf dieser Frist werden die strengen Vorschriften verbindlich. Zudem ist zu erwarten, dass die CRA-Anforderungen künftig auch in andere Industriestandards einfließen. Angesichts der Tatsache, dass viele Produktentwicklungen mehrere Jahre in Anspruch nehmen, ist der Zeitraum von 36 Monaten für die Umsetzung von „Security by Design“ äußerst knapp.
Effektive CVE-Erkennung und Folgenabschätzung
Wer in Zukunft ein Produkt mit bekannten, ausnutzbaren Schwachstellen auf den EUMarkt bringt, verstößt gegen das Gesetz. Betrachtet man, dass allein in den USA in der ersten Hälfte des Jahres 2024 rund 15.000 „Common Vulnerabilities and Exposures“ (CVE), also Sicherheitslücken in Software, auf der Website des National Institute of Standards and Technology (NIST) veröffentlicht wurden, wird das Ausmaß der Herausforderung für Hersteller und Anbieter schnell deutlich.
Unternehmen sollten daher dringend eine schnelle und effiziente CVE-Erkennung sowie ein kontinuierliches Impact Assessment einführen – also die regelmäßige Bewertung jeder einzelnen Schwachstelle. So können sie ihre Produkte besser analysieren und sich gezielt gegen schwerwiegende Risiken durch Sicherheitslücken absichern. Der CRA verlangt von allen Herstellern verbindliche Prüfungen, Überwachung und die umfassende Dokumentation der Cybersicherheit ihrer Produkte.
Der CRA deckt den gesamten Lebenszyklus betroffener Produkte ab – von der Konzeption und Entwicklung über den laufenden Betrieb bis hin zur Außerbetriebnahme. Hersteller müssen mindestens fünf Jahre lang Sicherheitsupdates für Geräte, Maschinen, Komponenten oder Software bereitstellen. Bei kürzerer Nutzungsdauer kann dieser Zeitraum entsprechend angepasst werden. In der Industrie jedoch haben viele Produkte oft eine Lebensdauer von 10, 20 oder mehr Jahren, was eine langfristige Überwachung und Softwaresupport entsprechend notwendig macht.
Die Verantwortung für diese Sicherheit liegt jedoch nicht allein beim Hersteller – der CRA betrifft ausdrücklich auch Importeure und Händler. Ziel des Gesetzgebers ist es, die gesamte digitale Lieferkette im EU-Binnenmarkt zu schützen. Cybersicherheit wird damit zu einer entscheidenden Voraussetzung für den Marktzugang in die Europäische Union. Das bedeutet: Nicht nur Unternehmen aus der EU sind betroffen, sondern weltweit alle Firmen, einschließlich solcher aus Asien und den USA, die ihre Produkte in die EU exportieren.
Sicherheit durch Software Bill of Materials
Eine vollständige und korrekte Software Bill of Materials (SBOM) – also eine präzise Aufstellung aller Softwarekomponenten – ist entscheidend für die Sicherheit von Geräten, Maschinen oder anderen IoT-Objekten. Dies umfasst eine breite Palette, von Aktoren und Sensoren über Smart Devices bis hin zu Telematikgeräten. Sowohl die EU-Behörden als auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) erkennen die lückenlose SBOM als wesentlichen Faktor für die Cybersicherheit an. Das BSI hat hierzu sogar eine eigene SBOM-Richtlinie veröffentlicht.
Es reicht nicht aus, wenn „die meisten“ Komponenten sicher sind, denn jedes IT-System ist nur so stark wie sein schwächstes Glied. Diese Erkenntnis ist zwar allgemein bekannt, doch im Juli 2024 führte genau dieser Faktor zum größten globalen IT-Ausfall der Geschichte. Ein fehlerhaftes Update einer einzigen Software brachte weltweit rund 8,5 Millionen Windows-Rechner zum Stillstand. Es war kein Cyberangriff, sondern eine Panne – doch sie verdeutlichte, wie ein einzelner Fehler in einer Softwarekomponente ein gesamtes System destabilisieren kann. Während der Softwareanbieter in diesem Fall schnell Abhilfe schuf, ist das bei einem tatsächlichen Cyberangriff längst nicht selbstverständlich.
Angesichts der Vielzahl an Softwarekomponenten in Geräten, Maschinen und Anlagen ist es heute für kein Unternehmen mehr möglich, eine Software Bill of Materials (SBOM) manuell zu erstellen oder zu pflegen. Um den Anforderungen des Cyber Resilience Acts gerecht zu werden, ist es notwendig, automatisierte Self-Assessment-Tools einzusetzen, die eine kontinuierliche Überwachung gängiger Sicherheitsstandards ermöglichen und eine stets aktuelle SBOM liefern. Besonders relevant ist dies für smarte Produkte, IoT- und OT-Geräte sowie nahezu alle mit dem Internet verbundenen Systeme, die vom Gesetz abgedeckt sind.
Industrie 4.0 unterliegt den CRA-Vorgaben
Mit der neuen CRA-Regelung fällt der gesamte Bereich der Industrie 4.0 nun unter strenge Cybersicherheitsvorgaben. Die Vernetzung von Produktionsanlagen, Montagelinien, CNC-Fräsmaschinen, autonomen Flurförderzeugen und anderen industriellen Systemen bietet große Vorteile in puncto Produktivität und Kosteneffizienz.
Gleichzeitig vergrößert sich jedoch auch die Angriffsfläche für Cyberkriminalität. Jedes Firmware-Update von Geräten und Maschinen muss daher regelmäßig auf potenzielle Sicherheitslücken überprüft und bewertet werden.
Wenn neue Sicherheitslücken entdeckt werden, müssen diese gemäß der CRA-Regelung innerhalb von 24 Stunden sowohl den nationalen Aufsichtsbehörden als auch der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) gemeldet werden. Ein proaktives Risikomanagement und eine gründliche Analyse der eigenen Produkte sind daher unerlässlich für Unternehmen, die Geräte mit Internet- oder Netzwerkzugang herstellen oder vertreiben. Nur so können schwerwiegende Zero-Day-Lücken frühzeitig identifiziert und geschlossen werden. Der Begriff „Zero-Day“ bezeichnet neu entdeckte Schwachstellen, über die Hacker angreifen können, bevor der Hersteller Zeit hatte, einen Fix bereitzustellen – der „Null-Tage“-Zeitraum. Viele Hersteller und Inverkehrbringer sind sich jedoch der potenziellen Schwachstellen ihrer eigenen Produkte oft nicht vollständig bewusst, insbesondere wenn diese in Komponenten von Zulieferern versteckt sind, wie etwa in Industriesteuerungen mit eigener Firmware.
Automatisierte Sicherheitsprüfung und Risikobewertung
Spezialisierte Tools, die eine vollautomatisierte Prüfung und Risikoanalyse der Software von vernetzten Geräten, Maschinen und Anlagen durchführen, bieten hier eine Lösung. Erste Unternehmen entwickeln bereits Systeme, die technische Cybersicherheitsprüfungen mit virtuellen Assistenten kombinieren. Diese ermöglichen es Unternehmen, ihre organisatorische Compliance schnell und effizient zu bewerten. Anbieter vernetzter Produkte können so eine umfassende Analyse der Gerätesoftware für alle von der EU definierten Geräteklassen vornehmen.
Grundlage für die Zertifizierung legen
Solche Analysen, die alle relevanten Informationen strukturiert aufbereiten, könnten künftig als erster Schritt zur Zertifizierung dienen. Über den CRA hinaus könnten damit auch weitere Standards wie IEC 62443, ETSI EN 303 645 oder UNECE R 155 sowohl technisch überprüft als auch organisatorisch analysiert und dokumentiert werden. Die Ergebnisse ließen sich mühelos exportieren und direkt bei den zuständigen Zertifizierungsstellen einreichen.
Beim CRA und anderen Standards geht es nicht nur um technische Sicherheit, sondern auch um den Nachweis der Compliance mit den regulatorischen Vorgaben. Verstöße können mit erheblichen Strafen belegt werden – im Fall des Cyber Resilience Acts drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Darüber hinaus kann je nach Fall auch das verantwortliche Management persönlich haftbar gemacht werden.
Der Cyber Resilience Act fordert von Herstellern und Inverkehrbringern von Produkten mit digitalen Komponenten eine hohe Cybersicherheit und kontinuierliche Systemüberwachung. Nur durch den Einsatz automatisierter Tools zur Schwachstellenanalyse, die Erstellung einer Software Bill of Materials und die kontinuierliche Überwachung über den gesamten Produktlebenszyklus können Unternehmen die Anforderungen des CRA effizient und kostengünstig erfüllen. Gleichzeitig schützen solche Werkzeuge Produkte vor den zunehmenden Cyber-Bedrohungen. Angesichts der wachsenden Risiken muss nicht nur das Unternehmen im Falle eines Falles mit hohen Kosten rechnen, sondern auch das Management trägt die direkte Verantwortung und Haftung.
Autor: Jan C. Wendenburg, CEO von ONEKEY
