Eine Herkulesaufgabe für die Industrie?
Der Cyber Resilience Act und die Folgen
Der EU Cyber Resilience Act (CRA-E) ändert die Verantwortlichkeiten: Künftig müssen nicht die Nutzer, sondern die Anbieter von Produkten sicherstellen, dass diese keine bekannten Schwachstellen haben. Doch was heißt das konkret? Wer ist tatsächlich betroffen, und welche Prozesse könnten sich ändern?
Fehlfunktionen, Maschinenstillstände, Produktionsausfälle und Datenverlust sind nur einige der Folgen, die ein unautorisierter Zugriff auf die Software von Maschinen und Anlagen nach sich zieht. Um die Anforderungen des Cyber Resilience Acts der EU-Kommission zu erfüllen, muss die IoT- und OT-Branche nachbessern – und zwar möglichst rasch. Schon bald soll der CRA-E in Kraft treten, freilich mit der klassischen Übergangsfrist von 24 Monaten. Um das Haftungsrisiko für die digitalen Bestandteile in den Produkten zu minimieren, müssen Betroffene die entsprechenden Artikel einer detaillierten Risikoanalyse unterziehen. Doch blickt man tiefer, geht es um weitaus mehr: Denn der Gesetzesentwurf fordert von den Herstellern auch die Einführung höherer Produktsicherheits-Standards – und zwar von der Entwicklung und dem Release bis hin zur Überwachung des gesamten Produktlebenszyklus.
Der Anwendungs- und Verantwortungsbereich
Der Anwendungsbereich der EU-Verordnung bezieht sich auf »Produkte mit digitalen Elementen«, also Hard- und Softwareprodukte einschließlich dazugehöriger Datenverarbeitungslösungen in der Cloud. Unterschieden wird zwischen »unkritischen«, »kritischen« und »sehr kritischen« Produkten, wobei in die zweite Kategorie etwa Passwortmanager, Identitäts- und Zugangsmanagementsysteme, Browser oder SIEM-Tools (Security Information and Event Management) fallen, in die dritte Kategorie unter anderem Betriebssysteme für Server, Desktop- und Mobilgeräte, Mikroprozessoren oder Hardware Security Module (HSM). Für diese kritischeren Produkte sind demzufolge strengere Anforderungen vorgesehen, etwa bei der Konformitätsbewertung.
Von der Verordnung betroffen sind sowohl Hersteller als auch Importeure und Händler gleichermaßen. Allerdings stehen vor allem Hersteller und Software-Developer in der Pflicht: Denn sie müssen in der Lage sein, entsprechende Verfahren zu implementieren, um Schwachstellen in ihren Produkten zu identifizieren und zu beheben sowie Sicherheitsvorfälle an die ENISA (Agentur der Europäischen Union für Cybersicherheit) und an betroffene Nutzer zu melden. Werden diese Pflichten verletzt, drohen Geldbußen von bis zu 2,5 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Die Handhabe der Behörden reicht außerdem von der Forderung, ein identifiziertes Risiko mitsamt Wiederherstellung der Konformität zu beseitigen, bis hin zur Einschränkung der Bereitstellung oder zum Rückruf eines Produkts.
Was die Gesetzgebung außerdem besagt, ist, dass Hersteller über den vorgesehenen Lebenszyklus eines Produkts - gemäß Verordnung derzeit jedoch maximal fünf Jahre - für die Sicherheit und Integrität der Bauteile bzw. der Produkte und Anlagen Sorge tragen müssen. Dies bedeutet, dass sie in diesem Zeitraum die ENISA und die Nutzer über behobene Schwachstellen und Cybersecurity-Vorfälle zwingend zu informieren haben. Betrachtet man jedoch Sektoren wie Industrie und Fertigung, wird schnell klar, dass dort Produkte und Anlagen meist länger im Einsatz sind, was bedeutet, dass die nutzenden Unternehmen nach diesem Zeitraum, den das Gesetz vorsieht, in die Eigenverantwortung treten.
Wie lassen sich die Anforderungen fristgerecht erfüllen?
Die Anforderungen der Verordnung bedingen die Schaffung einer Sicherheitsarchitektur, die schon beim Gerätedesign bekannte Bedrohungsszenarien berücksichtigt (Security-by-Design). Allerdings erfordert die hohe Dynamik im Bereich der Cybersecurity, dass auch neue Sicherheitsstrategien bei der Weiterentwicklung von Produkten bedacht werden. Welche Auswirkungen haben diese Aspekte nun für die betroffenen Unternehmen?
Sowohl in den Produktionsstätten als auch im Anlagen- und Maschinenbau wird man umdenken müssen, will man sowohl die Anforderungen des CRA erfüllen als auch, und so ist der Gedanke, den Hackern immer einen Schritt voraus sein – besonders im Hinblick auf die traditionellen Entwicklungs- und Produktionsprozesse sowie auf die Einkaufs- und Serviceprozesse. Die erste verpflichtende Maßnahme ist die gründliche Prüfung des eigenen Produktbestands, um festzustellen, welche Geräte betroffen sind. Die Bestimmungen des CRA werden im Idealfall bereits im frühen Entwicklungsstadium eines Geräts mitgedacht. Dazu muss eruiert werden, welche Datenflüsse zwischen Gerät und Netzwerk stattfinden und welche Angriffsszenarien sich hieraus und aus dem Design des Geräts ergeben könnten.
Obligatorisch ist die Dokumentationspflicht zu nennen, zu der das Führen von Software-Stücklisten (SBOM, Software Bill of Materials) zählt. Mit diesen Software-Stücklisten sind Hersteller und Nutzer gleichermaßen in der Lage, festzustellen, aus welchen digitalen Komponenten und Netzwerkverbindungen ihre Produkte bestehen. Weil Software diverse Bausteine umfasst und Drittanbieter-Codes genutzt werden, um Zeit und Kosten zu sparen, könnte sie Malware, Bugs oder andere Schwachstellen enthalten, was dem Entwickler nicht bekannt sein muss. Unternehmen benötigen daher zuverlässige Prüfverfahren für den Code, um weiterhin auf der sicheren Seite zu sein. Zu den grundlegenden Sicherheitsanforderungen, die der Gesetzesentwurf fordert, zählt neben der Bereitstellung geeigneter Kontrollmechanismen zum Schutz vor unbefugtem Zugriff, wie Authentifizierungs-, Identitäts- oder Zugangsverwaltungssysteme, auch die Verfügbarkeit wesentlicher Funktionen zur Abwehr von Denial-of-Service-Angriffen, wie Firewalls.
Des Weiteren sieht die Verordnung vor, dass während des gesamten Produktlebenszyklus die Schwachstellen gemanagt, in regelmäßigen Abständen Tests durchgeführt und ein umfangreiches Patchmanagement gewährleistet werden muss. Alle Hersteller oder Entwickler vernetzter digitaler Geräte sind daher angewiesen, fortlaufend Sicherheitsbewertungen und Penetrationstests bereits zu Beginn und während der Produktentwicklung durchzuführen. Dieser Prozess kann das grundlegende Sicherheitsniveau erheblich erhöhen und die Resilienz von Geräten gegen Cyberangriffe erhöhen.
Doch die Rechtsvorschrift zur Cyberresilienz besagt noch mehr: So fällt darunter auch die regelmäßige Aktualisierung des Datenbestands zu den Produkten inklusive einer zehnjährigen Aufbewahrungspflicht nach dem Inverkehrbringen. Produkte und Komponenten von Drittanbietern dürfen bei der Schwachstellenanalyse ebenso wenig unter den Tisch fallen wie die Dokumentation der Prüfung.
Dass diese Anforderungen Hersteller, Entwickler und Anwenderunternehmen gerade im Hinblick auf die Knappheit personeller Ressourcen vor große Herausforderungen stellt, liegt auf der Hand. Dennoch gilt es, jetzt die Weichen zu stellen und schon heute damit zu beginnen, die künftigen Anforderungen in die Produktentwicklung zu integrieren.
Mehr Pflichten für Industrie sowie Maschinen- und Anlagenbau
Mit dem IoT, dem 3D-Druck oder der künstlichen Intelligenz, die zunehmend Einzug in die Fertigungsbranche halten, steigen die Anforderungen an die Sicherheit. Die Industrie und besonders der Maschinen- und Anlagenbau muss künftig nicht nur die Vorgaben des CRA, sondern auch die der EU-Richtlinie NIS-2 und der Maschinenverordnung berücksichtigen. Die NIS-2-Richtlinie, die im Herbst 2024 in Kraft tritt, gilt jetzt auch für die Sektoren Maschinenbau und Automotive (ab 50 Mitarbeiter bzw. einem Jahresumsatz von mehr als 10 Millionen Euro). Weil sich die Vorgaben der NIS-2 auf die Sicherheit der gesamten Lieferkette beziehen, fallen ab einer gewissen Größe auch die Hersteller von Automatisierungslösungen, Steuerungen oder Sensoren, mit denen Anlagen- und Maschinenbauer zusammenarbeiten, unter diese Regelung. Für die betroffenen Unternehmen bedeutet dies, den Nachweis über technische, operative und organisatorische Maßnahmen zum Schutz vor Sicherheitsvorfällen zu erbringen. Hierzu zählen Risikoanalysen bestehender Produktionsumgebungen sowie die Implementierung dedizierter Prozesse und Maßnahmen – auch unter Einbeziehung der Lieferketten.
Während der Cyber Resilience Act darüber hinaus die Cybersecurity über den gesamten Produktlebenszyklus erhöhen soll, ist in der neuen Maschinenverordnung die Cybersecurity als verpflichtend verankert. So müssen Unternehmen künftig nachweisen können, dass ihre Maschinen gegen Manipulation geschützt sind. Dies bedeutet: Es liegt nicht länger im Ermessen einer Organisation, sich mit dem Thema Security näher auseinanderzusetzen.
Der Autor:
Patrick Scholl ist Head of OT bei Infinigate.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Prognos-Studie
Die Resilienz der deutschen Industrie ist gesunken
Mehr Selbstschutz ist notwendig
Justiz oft machtlos bei Cyberangriffen auf Unternehmen
