Cyber Resilience Act (CRA) ist hier, um zu bleiben

Was ist der Cyber Resilience Act (CRA)?

Der EU Cyber Resilience Act (CRA) soll ein grosser Schritt in Richtung Cybersicherheit für digitale Produkte sein. Der Entwurf, der im September 2022 veröffentlicht, im März 2024 vom Europäischen Parlament formell angenommen und im Oktober 2024 in Kraft gesetzt wurde, sieht vor, dass alle Produkte „mit digitalen Komponenten“ (siehe unten) im EU-Binnenmarkt eine CE-Kennzeichnung tragen müssen, die Cybersicherheitsanforderungen enthält. Produkte, die die Sicherheitsanforderungen nicht erfüllen, dürfen nicht mehr verkauft werden, und bei Nichteinhaltung drohen Strafen; digitale Produkte unterliegen nun denselben Sicherheitsstandards wie physische Waren. Die Hersteller digitaler Produkte, wie Software und IoT-Geräte, sind dafür verantwortlich, ihre Produkte sicher zu machen und Sicherheitslücken proaktiv zu verwalten. Dies gilt für alle Produkte mit digitalen Elementen, die in der EU hergestellt, importiert oder vertrieben werden.

Cyber Resilience Act (CRA) vs. NIS2: Was ist eigentlich der Unterschied?

Der Cyber Resilience Act und NIS2 sind zwei Rechtsakte, die eng miteinander verbunden sind. Beide zielen darauf ab, die Cyber-Resilienz von Unternehmen zu verbessern, haben aber unterschiedliche Prioritäten.

Kurz gesagt: Der CRA und die NIS2-Richtlinie arbeiten zusammen, um sicherzustellen, dass die EU über eine solide Cybersicherheitsstrategie verfügt. Zu diesem Zweck verlangen sie, dass Produkte, kritische Dienste und Infrastrukturen sicherer gemacht werden. Der CRA konzentriert sich auf Produkte und Produktentwicklung, während die NIS2-Richtlinie eher auf Infrastrukturen und wichtige Dienste abzielt. CRA geht Hand in Hand mit anderen Rechtsvorschriften, wenn es um Sicherheitsrisiken in der Supply Chain geht, wie wir bei Vorfällen wie dem Zugriff von Angreifern auf das DevHub-Portal von Cisco, Angriffen auf den Web Help Desk von SolarWinds oder CVE-2024-47575 in der Firewall-Management-Software FortiManager gesehen haben, die aktiv ausgenutzt wird. Einer der wichtigsten Punkte, die der CRA fordert, ist eine Software Bill of Materials (SBOM), eine vollständige Liste aller Softwarekomponenten, die den Betreibern hilft, Probleme schnell zu erkennen und zu beheben. (Wir werden im nächsten blog.exeon.com mehr über unsere eigene SBOM, Dokumentation und andere Verantwortlichkeiten als Softwareanbieter berichten). Neben der Dokumentation und dem Management von Sicherheitslücken verlangt der CRA auch regelmässige Sicherheitsupdates, maschinenlesbare Berichte über Sicherheitslücken und verantwortungsvolle Offenlegungsprozesse. Die Hersteller müssen Sicherheitslücken innerhalb von 24 Stunden melden, und die ENISA spielt als zentrale Behörde eine wichtige Rolle bei der Umsetzung und Koordinierung dieser Massnahmen.

Der CRA stellt unterschiedliche Anforderungen an die verschiedenen Arten von Unternehmen, aber es gibt auch eine Menge Gemeinsamkeiten.

Was Sie über die Verpflichtungen wissen müssen

Die Produkte müssen von vornherein sicher sein, mit minimalen Angriffsflächen und sicheren Aktualisierungsmechanismen. Die Hersteller müssen dafür sorgen, dass die Produkte von Anfang an mit soliden Sicherheitsfunktionen ausgestattet sind. Diese Funktionen sollten potenzielle Sicherheitslücken abdecken und sicherstellen, dass die Produkte sicher funktionieren.

• Risikomanagement: Hier besteht die Verpflichtung, eine Risikoanalyse durchzuführen, um potenzielle Sicherheitsbedrohungen bereits in den frühen Phasen des Produktlebenszyklus zu erkennen und abzumildern. Technische Dokumentation: Wir müssen alle technischen Details an einem Ort zusammenfassen, einschliesslich der bereits erwähnten Risikobewertungen, Aktualisierungen und Entwicklungsprozesse.
• Entwicklungsprozess: Der erwähnte sichere Entwicklungsprozess muss vorhanden sein und von der Organisation gelebt werden.
• Schwachstellen-Management: Die Hersteller müssen mindestens fünf Jahre lang nach dem Verkauf des Produkts Updates bereitstellen, um festgestellte Sicherheitslücken zu schliessen.
• Konformitätsbewertung: Je nach Risikoklasse werden die Produkte inspiziert, geprüft oder einem Qualitätssicherungsprozess unterzogen.
• Sicherheitsanforderungen: Die Anforderungen an die Cybersicherheit umfassen Massnahmen von der Planung und Entwicklung bis zur Produktion, Lieferung und Wartung.
• Umgang mit Schwachstellen: Hersteller müssen schnell reagieren, wenn es darum geht, Sicherheitslücken zu identifizieren, zu dokumentieren und zu beheben, und sie müssen auch die Benutzer auf dem Laufenden halten.
• Open-Source als Ausnahme: Open-Source-Entwickler sind davon ausgenommen, es sei denn, sie verwenden Open-Source-Komponenten in kommerziellen Produkten.

Wird jetzt alles gut?

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) und andere europäische Behörden freuen sich über die Übernahme des CRA durch die EU. Claudia Plattner, die Präsidentin des BSI, sagt, der CRA fördere die Transparenz und gebe klare Anweisungen zur Behebung von Problemen, was Verbrauchern und der Industrie helfe.

(Positive?!) Auswirkungen auf das Risiko von Angriffen auf die Lieferkette?

Hinter der CRA-Verordnung steht der Gedanke, die Cybersicherheit zu verbessern, insbesondere im Hinblick auf das Risiko von Supply Chain Attacks. Schauen wir uns das einmal genauer an. Durch die Einführung verbindlicher Sicherheitsanforderungen und die Erhöhung der Transparenz in der Lieferkette sollen Angriffe über unsichere Drittkomponenten erschwert und die allgemeine Widerstandsfähigkeit digitaler Produkte erhöht werden. Die Richtlinie geht dieses Problem auf folgende Weise an:

Sie verlangt von den Unternehmen eine bessere Sichtbarkeit und Kontrolle ihrer Lieferkette. Das bedeutet, dass alle Hard und Software-Komponenten, die in ein Produkt integriert werden, auf ihre Sicherheit hin überprüft werden müssen (und können!) und dass die Zulieferer nachweisen sollen, dass sie die erforderlichen Sicherheitsmassnahmen ergriffen haben, bevor ihre Komponenten integriert werden. Eine Risikobewertung für Drittanbieter soll zeigen, ob deren Produkte Massnahmen zur Verringerung der Gefährdung durch ihre Lösung aufweisen. Diese Anforderung in Verbindung mit der SBOM stellt auch sicher, dass bekannte Sicherheitslücken in externen Abhängigkeiten effizient bewertet und schneller beseitigt werden können. Indem der CRA eine kontinuierliche Neu-Bewertung und Behebung von Sicherheitslücken verlangt, zwingt sie die Hersteller, ihre Produkte auch nach der Markteinführung regelmässig zu überprüfen. Dies verringert das Risiko, dass Angreifer unentdeckte Sicherheitslücken über längere Zeiträume ausnutzen können.

Wird jetzt WIRKLICH alles OK?

Der Cyber Resilience Act ist zwar ein wichtiger Schritt zur Verbesserung der Cybersicherheit, hat aber mehrere Schwachstellen, die leider nicht ausreichen, um einen umfassenden und sofortigen Schutz vor Angriffen auf die Lieferkette zu gewährleisten. Erstens wird das Gesetz erst im Jahr 2027 vollständig umgesetzt, was eine Lücke von mehreren Jahren hinterlässt, in denen Unternehmen und Infrastrukturen für diese Angriffe anfällig bleiben. Und natürlich wird das Gesetz selbst nicht jede Art von Angriffen auf die Lieferkette verhindern. Cyberkriminelle operieren in einem schnell wachsenden und sich ständig verändernden Bedrohungsumfeld, und bis der CRA vollständig umgesetzt ist, werden viele Unternehmen nicht wissen, dass es ihnen an Schutz mangelt. Der CRA konzentriert sich zudem auf Sicherheitsanforderungen für Endprodukte, aber viele Sicherheitslücken haben ihren Ursprung tiefer in der Lieferkette, in Komponenten, die von Unterauftragnehmern geliefert werden, oder in Open-Source-Software.

Der CRA bietet auch Sicherheitszertifizierungen für einige Produkte an. Da die Zertifizierungen aber oft freiwillig sind, kann es vorkommen, dass sich Hersteller aus Kosten- oder Zeitgründen nicht zertifizieren lassen, was der Wirksamkeit des Gesetzes zuwiderläuft.

Gefahr einer zu grossen Abhängigkeit von einem oder nur wenigen Lieferanten

Der CRA nimmt zwar die Zulieferer vermehrt in die Pflicht, doch die Verantwortung für die Umsetzung von Sicherheitsmassnahmen und das Schwachstellen-Management bleibt weitgehend bei den Unternehmen selbst. Eine starke Abhängigkeit von Herstellern oder Softwareanbietern, besonders im Rahmen einer Single-Vendor-Strategie kann trotzdem zu Schwachstellen in der Lieferkette führen, da nicht alle Hersteller proaktiv Sicherheitslücken beheben oder die vorgeschriebenen Standards vollständig einhalten (oder die Übergangsfrist bis 2027 “aussitzen), was zu Lücken in der gesamten Cybersicherheitslage führt.

Und wer macht den Job bis dahin?

Die Notwendigkeit, die eigene Security Posture intern oder mit einem Managed Service zu verwalten, ist offensichtlich, wenn die eigentliche Fragestellung eher lautet, wann mein nächster Angriff über die Supply Chain erfolgen könnte. Zusätzlich zu EDR (Endpoint Detection and Response) für Endpoints, vor allem im IT-Netzwerk, kann eine Network Detection and Response (NDR)-Lösung hier permanent Bedrohungen und mögliche böswillige Kommunikation überwachen, die aus Malware in der Ausnutzung von Sicherheitslücken in IT/OT/IoT-Umgebungen entstehen könnte.