Die Industrie muss sich frühzeitig auf den Cyber Resilience Act (CRA) der EU-Kommission vorbereiten, um nicht in die Falle von Strafzahlungen bei Verstößen zu laufen. Das ist eine der zentralen Erkenntnisse der siebten CYBICS-Konferenz (Cyber Security for Industrial Control Systems) im April in Frankfurt/M.
IT-Vordenker referierten über die unterschiedlichen Aspekte, die in Zukunft auf Hersteller, Importeure und auch Nutzer von IT-Geräten mit Netzwerkzugang zukommen werden. Eine gemeinsame Podiumsdiskussion zeigte, wie vielschichtig der Bedarf nach Antworten in der Industrie ist.
Industrie hat nur wenig Zeit für die Umsetzung
„Der Cyber Resilience Act ist ein Paradigmenwechsel für die gesetzlichen Anforderungen der Produkt-Cybersicherheit und lässt der Industrie nur wenig Zeit für die Umsetzung“, sagte CYBICS-Sprecher Jan Wendenburg, CEO der Onekey GmbH, Düsseldorf. Statt den Anwendern einen wesentlichen Teil der Verantwortung zu überlassen, seien nun die Hersteller oder Importeure in der Pflicht, für Produkt-Cybersicherheit zu sorgen.
Die Sprecher beleuchteten das Thema aus unterschiedlichen Perspektiven. Zusammenfassend wurde festgestellt, dass der CRA die Weichen für die kommenden Jahrzehnte in der Sicherheit von IT-Anlagen stellt – von Kleingeräten bis zu industriellen Steuerungssystemen in der Produktion.
Live Hacking einer Industriesteuerung zeigt Verwundbarkeit
Das zentrale Thema der Konferenz war die Produkt-Cybersicherheit von IoT/ICS/OT aus regulatorischer Sicht: „Es war enorm hilfreich, anhand von Best Practices zu sehen, wie der CRA auch durchaus in der Branche zum Vorteil genutzt werden kann“, berichtet Birgitte Baardseth, Geschäftsleiterin des Veranstalters Isits AG. „Die beeindruckende Live Hacking Session hat dabei verdeutlicht, wie hoch das Risiko aktuell tatsächlich ist.“
In der interaktiven Live Hacking Session hatte der professionelle White Hacker Quentin Kaiser gezeigt, wie verwundbar bisher IoT- und ICS-Steuerungssysteme sind. Hier sieht der CRA auch besonders kritische Richtlinien vor: Für Anlagensteuerungen (SCADA), CNC-Steuerungen, Smart Meter und Robotikanwendungen will die Kommission eine externe Prüfung durch Dritte vorschreiben.
Fortsetzung im Herbst bereits geplant
Aufgrund des Erfolgs der siebten CYBICS-Konferenz haben die Cybersicherheitsexperten von Onekey und der Veranstalter Isits bereits mit der Planung einer weiteren Konferenz begonnen, die im Herbst dieses Jahres stattfinden soll.
Sie soll erneut hochkarätige IT-Experten und Vordenker aus der Branche zusammenbringen, um intensiv über die Herausforderungen des Cyber Resilience Acts zu diskutieren und praxisorientierte Lösungsansätze für die Industrie zu präsentieren. Details zu den Inhalten und dem genauen Veranstaltungsort werden in den kommenden Monaten bekanntgegeben. (jk)
