So heiß gegessen wie gekocht
Cyber Resilience Act für Embedded-Systeme
Der Cyber Resilience Act (CRA) hat für Maschinenbauer und Industrie-Ausrüster erhebliche Konsequenzen: Ab Dezember 2027 müssen sämtliche Produkte mit digitalen Elementen – schon eine USB-Schnittstelle genügt – den Anforderungen der EU-Verordnung entsprechen und eine CE-Kennzeichnung tragen.
Wird tatsächlich nichts so heiß gegessen, wie es gekocht wird? Eine der beliebtesten Entschuldigungen für Prokrastination gilt nicht für den Cyber Resilience Act (CRA) der EU, hierzulande offiziell Cyberresilienz-Verordnung (CRV) genannt. Dass die unmittelbaren Konsequenzen der seit 10. Dezember 2024 gültigen EU-Verordnung bisher überschaubar sind, darf nicht darüber hinwegtäuschen, dass der »CRA-Topf« seither auf dem Herd steht – und dass ab dem 11. Dezember 2027 alle die Suppe auslöffeln müssen: Spätestens dann müssen alle vernetzten Produkte, die innerhalb der EU auf den Markt gebracht werden, eine CE-Kennzeichnung tragen – und die ist ohne CRA-Konformität nicht möglich. Nichtstun ist demzufolge keine Option.
Standard, wichtig oder kritisch?
Zu beachten ist ferner, dass das Verfahren zur Bewertung der Konformität zwischen Standardprodukten einerseits und »wichtigen« oder »kritischen« Produkten andererseits unterscheidet. Nur Standardprodukte kann der Hersteller nach einer harmonisierten europäischen Norm selbst bewerten, alle anderen unterliegen einer Konformitätsbewertung durch eine notifizierte Stelle. Maschinenbauer, Automatisierer und andere Ausrüster der Industrie sind deshalb gut beraten, möglichst bald zu prüfen, welche Anforderungen für ihre Produkte gelten, und daraus geeignete Konsequenzen zu ziehen.
Jobangebote+ passend zum Thema
|
Maßnahmen für CRA-gerechte Entwicklung: Security by Design |
|---|
|
• Betriebssystemintegration kompatibel zu CRA und IEC 62443 • Gesicherter Zugriff auf Prozesse und Dateisysteme durch spezifische Benutzerrechte (nach dem Least-Privilege-Prinzip) • Möglicher Einsatz von Containersystemen zur Isolierung (z.B. podman, docker, moby) • Integrierte, kundenspezifisch konfigurierbare Firewall • Individuell kontrollierbarer API-Zugriff (z.B. gRPC) auf verschiedene Dienste, Konfigurationen oder Systeminformationen nach individuellen Berechtigungsstufen, z.B. aus Containern • Gerätespezifische Zertifikate (z.B. zur Ermöglichung gerätespezifischer Berechtigungen beim Zugriff auf einen Server) • Secure Boot mit sicherer Schlüsselverwaltung, auch im laufenden Betrieb verwendbar • Unabhängig getrennte Schlüssel für unterschiedliche Aufgabenbereiche • Updatefähigkeit mit verschiedenen Kompatibilitätschecks (z.B. auch Rollback-Index) • Verschlüsselung bidirektionaler Kommunikationswege mit dem Gerät oder auch innerhalb des Geräts |
Höchste Zeit für die Bedrohungs- und Risikoanalyse
Denn viele Firmen unterschätzen aus Sicht nicht nur der Grossenbacher Systeme AG noch immer, was auf sie zukommt. Deshalb bietet das Unternehmen seinen Kunden umfassende Unterstützung an, die schon bei der Bedrohungs- und Risikoanalyse (englisch »Threat and Risk Analysis« oder kurz TARA) als verpflichtendes und strategisch unentbehrliches Basiselement beginnt. Unternehmen müssen solche Analysen für alle Produkte durchführen und deren Ergebnisse fest in den Entwicklungsprozess integrieren. Damit versetzen sie sich in die Lage, systematisch Bedrohungen zu identifizieren, das jeweilige Sicherheitsrisiko zu bewerten und anschließend fundierte Schutz- und Gegenmaßnahmen einzuleiten. Auf diese Weise lässt sich das Sicherheitsniveau von Hard- und Software kontinuierlich und angemessen erhöhen. Die Entwickler sollen so sicherheitsbewusster werden, um die Cybersicherheit von Anlagen, Maschinen und Infrastrukturen zu stärken, und gleichzeitig teure und unnötige Maßnahmen vermeiden.
Bei Controllern in der industriellen Fertigung, die per Funk, Ethernet oder USB mit dem Internet verbunden sind, wird eine Bedrohungs- und Risikoanalyse gemäß CRA ohne Zweifel Gefährdungspotenziale identifizieren und Gegenmaßnahmen erforderlich machen. Dennoch ist sie für viele Unternehmen eine Black Box. Sie profitieren deshalb enorm von kompetenter Unterstützung im TARA-Prozess. Schließlich schafft er die Grundlage, um bereits frühzeitig einen Katalog konkreter, anwendungsorientierter Maßnahmen festlegen zu können.
Im günstigsten Fall, also bei modernen und auf Cybersecurity vorbereiteten Controllern, können dafür schon Updates der Firmware und Software ausreichen. Zu diesem Zweck bietet die Grossenbacher Systeme AG nicht nur die Möglichkeit, Geräte aller Art CRA-fähig zu machen, sondern zudem mit ihrem Updatetool »GUT!« zentral zu überwachen, zu managen und im laufenden Roll-out-Verfahren zu aktualisieren – ist Updatefähigkeit doch eine zentrale Voraussetzung für CRA-Konformität.
Geeignete Maßnahmen ergreifen
Generell können Maßnahmen zur Erlangung der CRA-Konformität sehr unterschiedlich ausfallen. Betrachten wir deshalb zunächst die Situation bei älteren oder weniger leistungsstarken Controllern, die bisher nicht auf einer ARM-Architektur beruhen.
Geräte auf Basis von Mikrocontrollern (MCU) können unter Umständen – bei Standardprodukten mit niedrigen Sicherheitsanforderungen – bereits durch neue, monolithisch geschriebene Software CRA-konform werden. Weil bei »wichtigen« oder »kritischen« Produkten neue Software allein nicht ausreicht, ist die sinnvollste Lösung unter Umständen eine Erweiterung der vorhandenen Hardware durch Secure-Element-Chips. Diese dienen der Absicherung der Kommunikation, der Geräteauthentifizierung oder dem Schutz gegen Fälschung und Firmware-Manipulationen. Sie ergänzen die MCU, indem sie besonders sensible Funktionen übernehmen und so mehr Sicherheit bieten.
Ob und wann sich der Aufwand zur Erweiterung vorhandener MCU-basierter Geräte rentiert, sollte allerdings Gegenstand genauer Überlegungen sein. Schließlich geht die Entwicklung seit langem in Richtung leistungsstärkerer, ARM-basierter Controller. Sind solche Geräte bereits im Einsatz, lassen sich akzeptable Schutzlevel viel häufiger mit reinen Softwarelösungen realisieren. Wer diese Möglichkeit ausschöpfen will, sollte dabei auf ein Linux-Yocto-Betriebssystem mit Echtzeiterweiterung sowie den Einsatz von Containersystemen zur Isolierung (z.B. podman, docker, moby) einzelner Applikationen achten.
Auf Nummer sicher mit Trusted Platform Modules
Das höchste Maß an (Zukunfts-)Sicherheit und CRA-Konformität lässt sich erzielen, wenn man zusätzlich hardwarebasierte Trusted Platform Modules (TPM) integriert – denn erst diese ermöglichen nachweisbare Sicherheit »by design«. TPM sind spezielle Sicherheitschips, die kryptographische Schlüssel und sensible Daten hardwarebasiert schützen. Sie können als Root of Trust für Industriecontroller oder andere Embedded Systeme dienen und Funktionen wie Secure Boot, Verschlüsselung, Authentifizierung und Manipulationserkennung bereitstellen.
Allerdings ist der Schritt von der Erweiterung eines vorhandenen Geräts mit Yocto und containerisierter Software sowie TPM hin zu einem komplett neuen Produkt nicht weit. Letzteres kann eine Individualentwicklung oder eine Anpassung eines universell einsetzbaren Controllers sein, wobei der Übergang zwischen beiden Optionen fließend sein kann. Dies spiegelt sich auch im Angebotsportfolio wider, mit dem Unternehmen wie die Grossenbacher Systeme AG am Markt agieren. Das Portfolio umfasst sowohl innovative und flexibel einsetzbare Controller mit ARM/Yocto-Architektur und optionaler KI-Ergänzung als auch Hard- und Software-Baukästen für kundenindividuelle Controller mit Cybersecurity-Elementen. Grossenbacher selbst stellte auf der SPS 2024 seinen IEC-62443-konformen »Universal Controller« vor und präsentierte einen Hard- und Software-Baukasten, der eine Vielzahl von Bausteinen und Modulen zur Erreichung der CRA-Konformität bereitstellt.
Jetzt die Weichen für Wettbewerbsvorteile stellen
So gesehen gibt es für Maschinenbauer, Automatisierer und andere Ausrüster der Industrie keinen Grund mehr, abzuwarten. Um auch nach dem 11. Dezember 2027 vernetzte digitale Produkte mit CE-Kennzeichnung anbieten zu können, haben sie schon heute die Wahl zwischen umfassender Unterstützung bei der Bedrohungs- und Risikoanalyse, konkreten Entwicklungsleistungen, Hard- und Software-Baukästen und universell einsetzbaren Controllern – einschließlich deren Life-Cycle-Management.
Wofür auch immer die Entscheidung fällt: Wenn Unternehmen bei der Wahl ihrer Partner auf nachweisbare Erfahrung mit CRA-Projekten sowie sachgerechte Zertifizierungen achten und vor allem rechtzeitig handeln, können sie sich Wettbewerbsvorteile sichern, sobald der CRA verbindlich in Kraft tritt. Startpunkt ist dabei stets eine professionelle Bedrohungs- und Risikoanalyse – als erster Schritt, um in rund 24 Monaten Geräte mit CE-Zeichen erfolgreich vermarkten zu können.
Lesen Sie mehr zum Thema
