Cybergefahren gehören zu den größten Risiken, denen Unternehmen und die Gesamtwirtschaft ausgesetzt sind, und richten enorme Schäden an. Laut einer Studie des Branchenverbandes Bitkom meldeten 2022 bereits mehr als 80 % aller Unternehmen einen Cybervorfall – Tendenz steigend.
Um Schäden künftig zu verhindern oder zumindest zu reduzieren, will die EU mit dem Cyber Resilience Act (CRA) eine gesetzliche Verpflichtung schaffen, um die Produkt-Cybersicherheit in der gesamten Europäischen Union zu verbessern.
Optimierung der Sicherheit von Produkten und Prozessen
Die Herausforderungen für Unternehmen bei der Umsetzung der neuen Verordnung sind hoch – es fehlt oft an Prozessen und Lösungen: „Unternehmen und Inverkehrbringer von Produkten mit digitalen Elementen haben oftmals ein unzureichendes Verständnis, wie sich der CRA umsetzen lässt“, sagt Jan Wendenburg, Geschäftsführer der Onekey GmbH in Düsseldorf. Interne IT-Abteilungen seien teilweise überfordert, dabei würden Investitionen in Cybersicherheit immer wichtiger.
„Für uns stehen sichere Software-Lieferketten im Vordergrund – besteht hier ein Höchstmaß an Sicherheit, haben am Ende auch Hacker wenig Chancen“, betont Wendenburg. Sein auf Produkt-Cybersicherheit spezialisiertes Unternehmen stellt daher einen kostenlosen Leitfaden zum Download zur Verfügung, der detailliert auf die Verordnung und die daraus resultierenden notwendigen Umsetzungsschritte eingeht. „Damit können Risiken und Bußgelder abgewendet und mit hoher Kosteneffizienz eine umfassende Absicherung ermöglicht werden.“
Gesamte Lieferkette eines Produkts betrachten
Auch wenn es noch einige Zeit dauern kann, bis die neue Verordnung in Kraft tritt, sollten alle Hersteller aufgrund der mehrjährigen Produktdesign-, Entwicklungs- und Produktionszyklen jetzt handeln und die Cyber-Resilienz ihrer Produkte sicherstellen. Dabei ist die gesamte Lieferkette eines Produkts betroffen – also auch zugelieferte Bauteile mit eingebauten Software-/Firmware-Komponenten.
„Um die Anforderungen umfänglich zu erfüllen und Kenntnis darüber zu erlangen, welche Software-Komponenten in einem Endprodukt enthalten sind, bietet eine Software-Stückliste, die sogenannte Software Bill of Materials (SBOM), eine entscheidende Grundlage“, erklärt Jan Wendenburg. „Aktuell sind die dazugehörigen Prozesse in vielen Unternehmen jedoch kaum implementiert.“
Onekey bietet schon jetzt eine automatische Firmware-Analyse-Plattform, die vollautomatisch SBOMs erstellt. Zudem spürt die Plattform Software-Sicherheitslücken auf, darunter auch die gefährlichen Zero-Day-Schwachstellen. (jk)