{"id":13991,"date":"2024-03-21T15:26:00","date_gmt":"2024-03-21T13:26:00","guid":{"rendered":"https:\/\/proekspert.com\/?p=13991"},"modified":"2024-10-11T10:23:34","modified_gmt":"2024-10-11T08:23:34","slug":"drei-moeglichkeiten-zur-vorbereitung-auf-das-eu-cyber-resilience-act","status":"publish","type":"post","link":"https:\/\/proekspert.com\/de\/blog\/news-von-proekspert\/drei-moeglichkeiten-zur-vorbereitung-auf-das-eu-cyber-resilience-act\/","title":{"rendered":"Drei M\u00f6glichkeiten zur Vorbereitung auf das EU Cyber Resilience Act"},"content":{"rendered":"\n

Terry London von Proekspert erl\u00e4utert das EU Cyber Resilience Act und zeigt drei M\u00f6glichkeiten auf, sich darauf vorzubereiten.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
<\/div>\n\n\n\n

<\/a>Vortrag auf der <\/em>IPEC 2024<\/em><\/a> in N\u00fcrnberg hier ansehen:<\/em><\/p>\n\n\n

\n\t\t\t<\/a>\n\t\t\t
\n\t\t\t\t\t\t
<\/div>\n\t\t\t<\/div>\n\t\t
\n\t\t\t\t
\n\t\t\t„Preparing Industrial device manufacturers for the upcoming EU CRA“ by Terry London, 14.03.2024.\t\t<\/div>\n\t\t\t\t\t\t
\n\t\t\t\t\t\tIPEC 2024 conference speech at Germany Nurenberg…\n\t\t<\/div>\n\t\t\t\t\t\t
\n\t\t\thttps:\/\/www.youtube.com\/watch?v=-63R7KXn6wQ<\/a>\n\t\t<\/div>\n\t\t\t<\/div>\n<\/div>\n\n\n\n
<\/div>\n\n\n\n

Was ist das EU Cyber Resilience Act?<\/h2>\n\n\n\n

Es gab viel Verwirrung um das EU-Gesetz zur Cyberresilienz (CRA). Eines ist aber sicher: Dieses Gesetz wird 2024 in Kraft treten. Urspr\u00fcnglich sollte das Gesetzes im Fr\u00fchjahr verabschiedet werden, doch der Termin wurden nun auf den Herbst 2024 verschoben. <\/p>\n\n\n\n

Das Ziel des CRA ist einfach: die Vereinheitlichung der Cybersicherheitsvorschriften auf dem gesamten EU-Markt. Zu diesem Zweck soll es eine CE-Kennzeichnung f\u00fcr digitale Produkte geben. Das CRA deckt nahezu alle Software- und Hardwareprodukte ab, die mit dem Internet verbunden sind. Es gibt aber auch einige Ausnahmen, wie beispielsweise Medizin- und Automobilprodukte. Ebenfalls ausgeschlossen sind Open-Source-Software und SaaS-L\u00f6sungen (Software as a Service). <\/p>\n\n\n\n

Die Europ\u00e4ische Kommission hatte im Herbst 2022 einen ersten Entwurf des Gesetzes vorgelegt. Allerdings stie\u00df dieser bei den Softwareentwicklern auf wenig Gegenliebe, da man ihn als zu restriktiv und belastend empfand. Dennoch handelt es sich um eine sehr gute Initiative der EU.  Das CRA hat zwei Hauptziele. Zum einen soll das Gesetz die Endbenutzer internetf\u00e4higer Ger\u00e4te sch\u00fctzen. Zum anderen soll angesichts der Vielzahl von IoT-Ger\u00e4ten in unseren Haushalten und B\u00fcros den Softwareentwicklern und Ger\u00e4teherstellern etwas mehr Verantwortung f\u00fcr die Ger\u00e4tesicherheit \u00fcbertragen werden.<\/p>\n\n\n\n

Cyberbedrohungen sind real <\/h2>\n\n\n\n

Eines ist sicher: Cyberbedrohungen sind real. Die Zahl der Cyberangriffe auf Unternehmen nimmt stetig zu und die Sch\u00e4den sind betr\u00e4chtlich. <\/p>\n\n\n\n

Viele glauben vielleicht immer noch, dass dies keine Auswirkungen auf die industrielle Automatisierung haben wird, da Produktionsumgebungen normalerweise vom Internet isoliert sind. Ein Blick auf die Geschichte zeigt jedoch, dass Isolation nichts n\u00fctzt, wenn Hacker es auf ein Unternehmen abgesehen haben. <\/p>\n\n\n\n

Zudem gibt es weit verbreitete Mythen \u00fcber industrielle Steuerungssysteme. Es hat sich jedoch bereits gezeigt, dass digitale Angriffe auf Steuerungssysteme auch ohne Internet m\u00f6glich sind und zu physischen Sch\u00e4den f\u00fchren k\u00f6nnen. Offline zu sein ist kein Schutz vor einem Angriff mit USB-Stick oder \u00fcber das mobile Internet. <\/p>\n\n\n\n

Eine Ma\u00dfnahme zum Schutz vor Cyberrisiken ist das Abschalten von Ger\u00e4ten. Allerdings ergeben sich erhebliche Probleme durch die Notwendigkeit, sie mit dem Internet zu verbinden. Fertigungsunternehmen implementieren zunehmend digitale Systeme zur Effizienz- und Produktivit\u00e4tssteigerung. Bei vernetzten Systemen m\u00fcssen wir M\u00f6glichkeiten finden, Cyberrisiken zu mindern, die sich infolge der Vernetzung ergeben.<\/p>\n\n\n\n

Hauptanforderungen des CRA <\/h2>\n\n\n\n

Aus dem CRA habe ich vier Hauptanforderungen an die Hersteller von industriellen Ger\u00e4ten herausgearbeitet: <\/p>\n\n\n\n

    \n
  1. Lassen Sie Produkte zertifizieren. <\/li>\n\n\n\n
  2. Beginnen Sie mit der Zusammenstellung einer Software-St\u00fcckliste. <\/li>\n\n\n\n
  3. Beginnen Sie mit der Meldung von Schwachstellen. <\/li>\n\n\n\n
  4. Stellen Sie Sicherheitsupdates bereit, um Schwachstellen zu beheben. <\/li>\n<\/ol>\n\n\n\n

    Sp\u00e4ter werde ich auf jedes Thema ausf\u00fchrlicher eingehen. <\/p>\n\n\n\n

    Was wir bereits heute tun <\/h2>\n\n\n\n

    Welchen Bezug haben wir zum Thema? Proekspert ist ein Unternehmen f\u00fcr Softwareentwicklung. Unser Schwerpunkt liegt auf der Betreuung industrieller Ger\u00e4tehersteller. Typischerweise handelt es sich bei unseren Kunden um Experten in der Entwicklung hochzuverl\u00e4ssiger Ger\u00e4te wie Frequenzumrichter f\u00fcr Elektromotoren oder HLK-Ger\u00e4te. Diese Ger\u00e4te sind daf\u00fcr ausgelegt, monate- oder jahrelang autonom und ohne gro\u00dfe Aufmerksamkeit ihrer Besitzer zu funktionieren. <\/p>\n\n\n\n

    Unsere Kundenunternehmen sind Experten in der Hardwareentwicklung. Dementsprechend wissen sie, wie die Software zum Betrieb ihrer Ger\u00e4te zu entwickeln ist. Unsere Aufgabe besteht darin, unsere Kunden in Bereichen au\u00dferhalb ihrer Kernkompetenzen zu unterst\u00fctzen. Dazu geh\u00f6ren unter anderem Ger\u00e4tesicherheit, Internetkonnektivit\u00e4t und digitale Benutzeroberfl\u00e4chen. Diese Bereiche sind stark IT-orientiert und \u00e4ndern sich unter Umst\u00e4nden so schnell, dass ein Unternehmen, das sich haupts\u00e4chlich auf den Maschinenbau und die Elektrotechnik konzentriert, mit den Ver\u00e4nderungen nicht Schritt halten kann.<\/p>\n\n\n\n

    Warum unsere Erfahrung z\u00e4hlt <\/h2>\n\n\n\n

    Proekspert kann auf die Erfahrung von 31 Jahren in der Branche zur\u00fcckgreifen. Seit unseren Anf\u00e4ngen arbeiten wir an Spezialger\u00e4ten und entwickeln Software, die Ger\u00e4te aus der Ferne \u00fcberwacht und steuert <\/strong>oder die Daten sch\u00fctzt, die sie w\u00e4hrend des Betriebs verarbeiten<\/strong>. <\/p>\n\n\n\n

    Begonnen haben wir mit der Entwicklung von Steuerungssoftware f\u00fcr Applikon-Bioreaktoren. Diese Erfahrung f\u00fchrte uns in den Bereich der industriellen Automatisierungssysteme. Seit 20 Jahren sind wir an der Entwicklung von Frequenzumrichtern bei Danfoss<\/a> beteiligt. Wir waren auch an der fr\u00fchen Entwicklung von Geldautomaten mit Chipkarten beteiligt. Dies war eine bahnbrechende Technologie, die sehr schnelle und sehr sichere Vorg\u00e4nge erm\u00f6glichte. Nach dieser Erfahrung haben wir uns im Bereich Daten- und Ger\u00e4tesicherheit<\/strong> etabliert. Heute kombinieren wir industrielle Automatisierung mit moderner Cybersicherheit.<\/p>\n\n\n\n

    Kategorien der Produktzertifizierung <\/h2>\n\n\n\n

    Befassen wir uns noch einmal mit dem EU-Gesetz \u00fcber Cyberresilienz. Zun\u00e4chst sollten wir uns bewusst machen, dass es sich dabei um ein Rahmengesetz handelt. Als solches gibt es keine genauen technischen Standards vor, die Ihre Produkte erf\u00fcllen m\u00fcssen. Stattdessen besteht seine wichtigste Anforderung darin, dass jedes Produkt zertifiziert oder bewertet werden muss. <\/p>\n\n\n\n

    Je nachdem, wie kritisch die zu erf\u00fcllende Aufgabe ist, werden Produkte in drei Hauptkategorien unterteilt. Beispielsweise fallen internetf\u00e4hige Smart-Home-Ger\u00e4te und Spielzeuge in die niedrigste Kategorie und erfordern lediglich eine Selbsteinsch\u00e4tzung. Bei kritischeren Produkten ist jedoch eine Bewertung oder Zertifizierung durch Dritte erforderlich, sofern diese Produkte sicherheitsrelevant sind. <\/p>\n\n\n\n

    Dabei ist jedoch zu beachten, dass alles mit einer Selbsteinsch\u00e4tzung beginnt. Und genau hier k\u00f6nnen Ger\u00e4tehersteller ansetzen. <\/p>\n\n\n\n

    Anforderungen an Ger\u00e4tehersteller <\/h2>\n\n\n\n

    Mit den folgenden Anforderungen bewegen wir uns sehr nahe an der Welt der Software-Entwicklung: <\/p>\n\n\n\n

      \n
    1. Produktunternehmen m\u00fcssen eine Software-St\u00fcckliste (SBOM) anfertigen und bereitstellen. Sie m\u00fcssen verstehen, woher Ihre Software kommt. Au\u00dferdem m\u00fcssen Sie wissen, wer f\u00fcr jede einzelne Softwarekomponente im Ger\u00e4t verantwortlich ist. <\/li>\n\n\n\n
    2. Ger\u00e4tehersteller m\u00fcssen damit beginnen, die Schwachstellen ihrer Ger\u00e4te oder Software zu \u00fcberwachen und zu melden. \u00dcber die genaue Ausgestaltung des Meldeprozesses muss noch entschieden werden. Aus Sicht der Softwareentwicklung ist das Aufsp\u00fcren von Schwachstellen von entscheidender Bedeutung. Und dies ist wiederum sehr eng mit dem SBOM-Management verkn\u00fcpft.<\/li>\n\n\n\n
    3. Unternehmen m\u00fcssen Sicherheitsupdates <\/strong>f\u00fcr ihre Produkte bereitstellen. Mit dieser Verantwortung geht auch die Anforderung einher, die erwartete Lebensdauer von Produkten anzugeben.<\/li>\n<\/ol>\n\n\n\n

      Was ist eine SBOM? <\/h2>\n\n\n\n

      Eine Software Bill of Materials ist ein entscheidendes Element der CRA-Anforderungen. Vereinfacht ausgedr\u00fcckt handelt es sich dabei um eine Liste von Bestandteilen und Komponenten einer Softwareanwendung. Technisch gesehen geht es um eine Liste aller Open-Source- und Drittanbieterkomponenten im Code eines Systems. Sie gibt die Lizenzen und die Versionen der Komponenten an, die wir in unserem Code verwenden. Daran l\u00e4sst sich zudem erkennen, ob diese Komponenten auf dem neuesten Stand sind. So k\u00f6nnen wir m\u00f6gliche Sicherheits- und Lizenzrisiken schnell erkennen. <\/p>\n\n\n\n

      SBOM-Management und die M\u00f6glichkeit, Schwachstellen zu melden, sind ein und dasselbe. <\/p>\n\n\n\n

      Eine SBOM wird vom Hersteller oder Softwarelieferanten erstellt und gepflegt. Und wie jeder professionelle Softwareentwickler wei\u00df, k\u00f6nnen sich Schwachstellen einer Software h\u00e4ufig \u00e4ndern, auch wenn ihre Abh\u00e4ngigkeiten gleich bleiben. Mit zunehmendem Alter der Software werden im Code wahrscheinlich immer mehr Risiken entdeckt, die sich ausnutzen lassen.<\/p>\n\n\n\n

      Somit m\u00fcssen wir geeignete Tools zur Softwareentwicklung verwenden und strenge Prozesse implementieren. Dies ist an sich nichts Ungew\u00f6hnliches. F\u00fcr Unternehmen ohne Erfahrung in der Softwareentwicklung kann es jedoch schnell zur \u00dcberforderung werden. Die Implementierung solcher Verfahren ist arbeitsintensiv und erfordert jahrelange \u00dcbung und Erfahrung.<\/p>\n\n\n\n

      M\u00f6glichkeiten zur sicheren Bereitstellung von Sicherheitsupdates<\/h2>\n\n\n\n

      Traditionell werden Industrieger\u00e4te nicht durch Softwarema\u00dfnahmen gesch\u00fctzt, da die internen Prozesse in der Regel gut funktionieren. Wenn es um Ger\u00e4te geht, die sich in physisch isolierten Bereichen befinden, mag ein Schutz durch Benutzerkennw\u00f6rter ausreichend erscheinen. Wir sehen jedoch bereits, dass Unternehmen von dieser Praxis abr\u00fccken. Immer mehr Industrieger\u00e4te sind direkt oder \u00fcber sichere Gateways mit dem Internet verbunden. <\/p>\n\n\n\n

      Um Ger\u00e4te vor b\u00f6sartigen Software-Updates zu sch\u00fctzen, werden zwei wichtige Cybersicherheitsma\u00dfnahmen eingesetzt. <\/p>\n\n\n\n

        \n
      1. F\u00fcr die Verteilung von Softwareupdates werden sichere Kommunikationskan\u00e4le wie https verwendet. <\/li>\n\n\n\n
      2. Bei der Verschl\u00fcsselung auf Ger\u00e4teebene \u00fcberpr\u00fcft ein Ger\u00e4t, ob ein heruntergeladenes Datenpaket aus einer autorisierten Quelle stammt. <\/li>\n<\/ol>\n\n\n\n

        Zudem gibt es noch eine dritte Option, bei der wir mithilfe von Kryptochips jedem Ger\u00e4t eine einzigartige Identit\u00e4t verleihen und so h\u00f6chste Sicherheit erreichen k\u00f6nnen<\/a>. Dahinter steht die Idee, dass Ger\u00e4tehersteller die gr\u00f6\u00dftm\u00f6gliche Kontrolle \u00fcber Software-Updates haben und es nicht m\u00f6glich ist, dasselbe Firmware-Paket auf zwei Ger\u00e4ten gleichzeitig zu verwenden.<\/p>\n\n\n\n

        Solche Cyber-Sicherheitsma\u00dfnahmen erfordern eine IT-Infrastruktur zur Verwaltung von Zertifikaten und Verschl\u00fcsselungscodes sowie aller Benutzerrollen von Personen, die mit Ger\u00e4ten und Berechtigungen arbeiten.<\/p>\n\n\n\n

        So unterst\u00fctzen wir unsere Kunden <\/h2>\n\n\n\n

        Neben der Entwicklung von Software f\u00fcr ihre Ger\u00e4te geh\u00f6rt die Vorbereitung unserer Kunden auf das EU CRA zu unseren t\u00e4glichen Aufgaben. <\/p>\n\n\n\n

          \n
        1. Wir unterst\u00fctzen Unternehmen bei der Selbsteinsch\u00e4tzung. Dabei konzentrieren wir uns auf das IEC-62443-Framework, das Cyberrisiken f\u00fcr industrielle Automatisierungs- und Steuerungssysteme abdeckt<\/a>. Unsere Ingenieure identifizieren und mappen Produktentwicklungsprozesse und Schwachstellen, bevor sie Sicherheitsma\u00dfnahmen vorschlagen, um Sicherheitsrisiken im Produktquellcode und in den Entwicklungsprozessen zu reduzieren. <\/li>\n\n\n\n
        2. Wir \u00fcbernehmen die SBOM-Verwaltung und dokumentieren Schwachstellen. Dazu richten wir ein Toolset f\u00fcr die Softwareentwicklung ein und verwalten es, damit es die Produkte unserer Kunden unterst\u00fctzt und bei der \u00dcberwachung von Schwachstellen hilft. <\/li>\n\n\n\n
        3. Wir implementieren Mechanismen f\u00fcr Sicherheitsupdates. Dieser Teil h\u00e4ngt von der Gesch\u00e4ftst\u00e4tigkeit und den Ger\u00e4ten unserer Kunden ab. Dabei kann es sich um ein einfaches Firmware-Update oder auch um komplexere Vorg\u00e4nge handeln. Da sich die Technologie schnell ver\u00e4ndert, gibt es keine Einheitsl\u00f6sung. <\/li>\n<\/ol>\n\n\n\n

          Dar\u00fcber hinaus empfehlen wir Ihnen, einen langfristigen Plan f\u00fcr die Wartung und Aktualisierung Ihrer IT- und Ger\u00e4te-Sicherheitsinfrastruktur zu erstellen. <\/p>\n\n\n\n

          Zusammenfassend l\u00e4sst sich sagen, dass es sich beim EU CRA um ein Rahmengesetz handelt, dessen Schwerpunkte auf relativ offensichtliche Aspekte hinauslaufen. Wenn Sie sich auf die drei oben genannten Aktivit\u00e4ten konzentrieren, k\u00f6nnen Sie bereits jetzt mit den Vorbereitungen beginnen.<\/p>\n\n\n\n

          <\/div>\n\n\n\n
          \n\n\n\n

          IPEC ist ein Akronym f\u00fcr die <\/em>International Production Environmental Community<\/em><\/a> <\/em>mit Sitz in N\u00fcrnberg. Am 13. M\u00e4rz 2024 berichtete Terry London, Produktmanager f\u00fcr Ger\u00e4tesicherheitsl\u00f6sungen bei Proekspert, \u00fcber unsere Erfahrungen bei der Vorbereitung von Herstellern industrieller Ger\u00e4te auf das bevorstehende EU-Gesetz zur Cyberresilienz \u2013 aus der Perspektive der sicheren Entwicklung eingebetteter Software.<\/em><\/em><\/p>\n\n\n\n

          <\/div>\n\n\n\n

          Mehr erfahren<\/h2>\n\n\n
          \n\t\t\t<\/a>\n\t\t\t
          \n\t\t\t\t\t\t
          <\/div>\n\t\t\t<\/div>\n\t\t
          \n\t\t\t\t
          \n\t\t\tDecoding the EU Cyber Resilience Act\t\t<\/div>\n\t\t\t\t\t\t
          \n\t\t\t\t\t\tThe EU was always clear about penalties in its Cyber Resilience Act. Now they\u2019ve recently begun to be forthcoming about obligati…\n\t\t<\/div>\n\t\t\t\t\t\t
          \n\t\t\thttps:\/\/proekspert.com\/blog\/connected-products\/official-eu-cyber-resilience-act-cra-december-2023-updates\/<\/a>\n\t\t<\/div>\n\t\t\t<\/div>\n<\/div>\n\n\n
          \n\t\t\t<\/a>\n\t\t\t
          \n\t\t\t\t\t\t
          <\/div>\n\t\t\t<\/div>\n\t\t
          \n\t\t\t\t
          \n\t\t\tInsights for the upcoming EU Cyber Resilience Act (CRA)\t\t<\/div>\n\t\t\t\t\t\t
          \n\t\t\t\t\t\tSince the EU CRA has created a lot of questions for device manufacturers, we held a seminar and shared our knowledge regarding the…\n\t\t<\/div>\n\t\t\t\t\t\t
          \n\t\t\thttps:\/\/proekspert.com\/blog\/connected-products\/insights-for-the-upcoming-eu-cyber-resilience-act\/<\/a>\n\t\t<\/div>\n\t\t\t<\/div>\n<\/div>\n\n\n
          \n\t\t\t<\/a>\n\t\t\t
          \n\t\t\t\t\t\t
          <\/div>\n\t\t\t<\/div>\n\t\t
          \n\t\t\t\t
          \n\t\t\tAn interview with EU CRA expert Thorwald-Eirik Kaljo | Proekspert\t\t<\/div>\n\t\t\t\t\t\t
          \n\t\t\t\t\t\tAn interview with EU CRA expert Thorwald-Eirik Kaljo….\n\t\t<\/div>\n\t\t\t\t\t\t
          \n\t\t\thttps:\/\/proekspert.com\/blog\/connected-products\/preparing-for-the-upcoming-eu-cyber-resilience-act\/<\/a>\n\t\t<\/div>\n\t\t\t<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

          Terry London von Proekspert erl\u00e4utert das EU Cyber Resilience Act und zeigt drei M\u00f6glichkeiten auf, sich darauf vorzubereiten.<\/p>\n","protected":false},"author":5,"featured_media":13616,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[81,55],"tags":[],"class_list":["post-13991","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-geratesicherheit","category-news-von-proekspert"],"acf":[],"_links":{"self":[{"href":"https:\/\/proekspert.com\/de\/wp-json\/wp\/v2\/posts\/13991","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/proekspert.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/proekspert.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/proekspert.com\/de\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/proekspert.com\/de\/wp-json\/wp\/v2\/comments?post=13991"}],"version-history":[{"count":3,"href":"https:\/\/proekspert.com\/de\/wp-json\/wp\/v2\/posts\/13991\/revisions"}],"predecessor-version":[{"id":14579,"href":"https:\/\/proekspert.com\/de\/wp-json\/wp\/v2\/posts\/13991\/revisions\/14579"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/proekspert.com\/de\/wp-json\/wp\/v2\/media\/13616"}],"wp:attachment":[{"href":"https:\/\/proekspert.com\/de\/wp-json\/wp\/v2\/media?parent=13991"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/proekspert.com\/de\/wp-json\/wp\/v2\/categories?post=13991"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/proekspert.com\/de\/wp-json\/wp\/v2\/tags?post=13991"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}