Hackerangriffe sind seit Jahrzehnten ein wachsendes Problem, das mit zunehmender Komplexität von Software immer bedrohlicher wird. Daher ist entschlossene Gegenwehr erforderlich. Die EU entwickelte deshalb den CRA (Cyber Resilience Act). Er soll Sicherheitslücken verringern, indem er Hersteller von digitalen Produkten und Produkte mit digitalen Elementen stärker in die Verantwortung nimmt – und das über den gesamten Produktlebenszyklus.
Er verbietet künftig die Auslieferung von Geräten mit bekannten Schwachstellen. Bei Verstößen haften Hersteller, Verkäufer und Importeure sowie deren Führung. Das heißt fortlaufende Sicherheitsbewertungen und Penetrationstests bereits zu Beginn und während der Produktentwicklung, regelmäßige Sicherheitsupdates und eine zehnjährige Dokumentationspflicht. „Der CRA fordert von allen Herstellern verpflichtende Prüfungen, Überwachung und Dokumentation der Produkt-Cybersicherheit, dazu gehört auch die Prüfung auf unbekannte Schwachstellen, den sogenannten ‚Zero-Days‘“, sagt Jan Wendenburg, CEO des Cybersecurity Unternehmens Onekey. Zero-Day-Schwachstellen sind neu entdeckte bisher unbekannte Schwachstellen in Hardware, Firmware und (I)IoT-Geräten.
Um eine zügige Umsetzung zu gewährleisten, hat die Agentur der Europäischen Union für Cybersicherheit (ENISA) das Paper „Cyber Resilience Act Requirements Standards Mapping“ entwickelt. „Das neue Paper gibt erstmals Einblicke in den Normungsprozess im Rahmen des Cyber Resilience Act“, erklärt Felix Brombach, Cybersecurity-Experte bei TÜV Rheinland. „So liefert die ENISA einen hilfreichen Überblick über die vorgeschlagenen Anforderungen und deren Umsetzung in harmonisierte Normen.“ Zu finden ist das Paper auf der Seite der enisa.europa.eu unter dem entsprechenden Titel.
Außerdem ermöglicht es „zu analysieren, ob die eigenen digital vernetzten Produkte voraussichtlich bereits die vom CRA geforderten Normen erfüllen“, so Brombach. „Auch erste mögliche Anpassungen an den eigenen Produktions- und Entwicklungsprozessen werden nun konkret fassbar.“
Der CRA ordnet die Produkte in die Kategorien Standard, Kritisch I und Kritisch II ein. Die Kategorisierung steigert Transparenz und Verbraucherschutz durch eine klarere Einschätzung der Produktsicherheit. Standardprodukte haben lockerere Vorgaben, um Unternehmen zu entlasten. Risikoreichere Produkte unterliegen strengeren Anforderungen. Kritische Infrastrukturen fallen in Kategorien I und II mit erhöhtem Schutz. Diese Produkte durchlaufen strenge Konformitätsverfahren und unabhängige Prüfungen. Somit ist für Industrieunternehmen die Kategorie Kritisch II wichtig.
Die Anwendung der neuen Regeln auf bestehende Produkte ist noch unklar. Der Fokus liegt primär auf Neuprodukten. Auswirkungen auf existierende Systeme sind aber möglich.
Nach Einschätzung der Cybersecurity-Fachleute von TÜV Rheinland sollten Unternehmen sich deshalb möglichst bald mit den im Paper festgelegten international anerkannten Normen beschäftigen und ihre Produkte entsprechend absichern. „Unternehmen können schon heute ein Sicherheitsniveau erreichen, dass dem CRA entspricht – oder rechtzeitig Lücken erkennen“, so Brombach. Und Wendenburg meint, „Wer nicht pünktlich zum Start des CRA ganz vorne in der Reihe der Bußgeld-Zahler stehen will, muss bereits jetzt Prozesse schaffen, um die eigenen Risiken analysieren und patchen zu können.“
Wie zwischenzeitlich fast alle neu zu implementierenden Richtlinien, erfordert auch der CRA eine abteilungsübergreifende Zusammenarbeit. Unternehmen müssen möglicherweise neue Prozesse etablieren und vorhandene Fachkräfte weiterbilden oder neue rekrutieren. Nur so sind die Vorgaben innerhalb der Übergangsfrist von 36 Monaten (bzw. 21 Monaten für Meldepflichten) umsetzbar.
Eine effiziente CVE-Erkennung und ein gründliches Impact Assessment sind Schlüsselstrategien für Unternehmen, um ihre Cybersicherheit zu stärken und sich auf den CRA vorzubereiten. Diese Ansätze ermöglichen eine frühzeitige Risikoerkennung und -minimierung, unterstützen die Compliance mit dem CRA und verbessern die Produktsicherheit proaktiv. Durch effizientes Patch-Management, basierend auf CVE- und CVSS-Scores, können Unternehmen Schwachstellen gezielt adressieren. Die Nutzung standardisierter Systeme wie CVSS fördert Transparenz und Vertrauen. Die Automatisierung steigert die Ressourceneffizienz. Dies hilft Unternehmen, regulatorische Anforderungen zu erfüllen und ihre Wettbewerbsfähigkeit in Cybersicherheit zu erhöhen. Letztlich führt dies zu robusteren Produkten, gestärktem Kundenvertrauen und einer verbesserten Marktposition.
Die Einhaltung der CRA-Vorgaben wird von Marktüberwachungsbehörden kontrolliert und bei Verstößen mit Strafen bis zu 15 Mio. Euro oder 2,5 % des weltweiten Umsatzes geahndet werden. Er baut auf bestehenden Cybersicherheitsstandards wie IEC 62443 und ISO 27000 auf.
Doch kann der CRA halten, was sich die EU von ihm verspricht? Er ist ein wichtiger Schritt in Richtung einer sichereren digitalen Zukunft in der EU, reicht aber allein nicht aus, um die wachsende Cyberkriminalität effektiv zu bekämpfen. Zwar werden verbindliche Cybersicherheitsanforderungen eingeführt, doch bleibt der CRA auf passive Abwehrmaßnahmen beschränkt. Um kritische Infrastrukturen und Einzelpersonen wirkungsvoll zu schützen, sind entschlossenere Schritte nötig:
- Die EU muss ihre eigene digitale Souveränität stärken, z.B. durch die Entwicklung eines europäischen Betriebssystems, um Ausspähung durch Großmächte zu erschweren.
- Cyberkriminalität muss konsequent strafrechtlich verfolgt werden. Dafür braucht es IT-kompetente Richter und angepasste Gesetze.
- Unternehmen müssen Cybercrimeabwehreinheiten aufbauen und Cybersicherheit zur Führungsaufgabe machen.
- Langfristig erscheint eine europäische Cyberarmee, losgelöst von Europol, sinnvoll, um die Zuständigkeit für Cybersicherheit zu bündeln.
Nur durch entschlossenes, ganzheitliches Handeln auf allen Ebenen kann Europa seine Bürger und Unternehmen effektiv vor der wachsenden Cyberkriminalität schützen. Der CRA ist ein wichtiger Baustein, aber nicht die Lösung aller Probleme.
