Sie möchten Ihr Produkt klassifizieren und die wichtigsten Verpflichtungen verstehen?
Die Cyber-Resilience-Act (CRA) ist eine von der Europäischen Union eingeführte Verordnung zur Verbesserung der Cybersicherheit digitaler Produkte und Dienstleistungen, wobei ein besonderer Schwerpunkt auf den wachsenden Risiken in der Lieferkette liegt. Der EU-Cyber-Resilienz-Act trat Ende 2024 in Kraft und zielt darauf ab, kritische Infrastrukturen zu schützen, indem sichergestellt wird, dass alle Produkte mit digitalen Komponenten bis November 2027 strenge Sicherheitsstandards erfüllen. Die CRA ist ein wichtiger Schritt zum Aufbau cyber-resilienter Systeme in diesen Sektoren. Für Unternehmen ist es wichtig, die Anforderungen zu verstehen und zu wissen, wie sie ihre eingebetteten Systeme und Produkte wirksam schützen können.
Der Blogbeitrag gibt einen Überblick über den Cyber Resilience Act (CRA) und seine Auswirkungen auf embedded Systeme, wobei der Schwerpunkt auf der Notwendigkeit und den wichtigen Schritten für Hersteller liegt, um die Cybersicherheitsanforderungen zu erfüllen.
Das Wichtigste zuerst: Die CRA konzentriert sich auf Cybersicherheitsvorschriften für das Inverkehrbringen von Hardware und Software in der EU. In der CRA werden sie als Produkte mit digitalen Elementen benannt also Produkte, die mit einem anderen Gerät oder einem Netzwerk verbunden werden können. Sie umfassen sowohl Hardwareprodukte, als auch reine Softwareprodukte. Beispiele für digitale Produkte sind Software wie Firmware, Endgeräte wie Sensoren oder Komponenten wie Prozessoren, FPGAs und ASICs. Das bedeutet, dass bspw. Hersteller von Geräten, die auf Mikrocontrollern, Mikroprozessoren und FPGA-Systemen sowie ASICs basieren, Maßnahmen ergreifen müssen.
Die CRA stellt erhebliche Anforderungen an Hersteller und Entwickler solcher Systeme. Ihre Anforderungen decken den gesamten Lebenszyklus eines betroffenen Produkts ab: Cybersicherheitsmaßnahmen müssen bereits in der ersten Entwurfsphase umgesetzt und für einen Supportzeitraum von mindestens fünf Jahren aufrechterhalten werden. Darüber hinaus berücksichtigt die CRA auch die erwartete Lebensdauer des Produkts.
Die CRA betont eine Verlagerung hin zu den Prinzipien von "Secure by Design", um sicherzustellen, dass eingebettete Systeme von Anfang an mit robusten Sicherheitsmechanismen und ggf. Protokollen ausgestattet sind. Die wesentlichen technischen Sicherheitsanforderungen oder Produkteigenschaften die eingebracht werden müssen, hängen mitunter von der Risiko- und Bedrohungsanalyse ab. Die Analyse ist ein wichtiger erster Schritt, um potenzielle Sicherheitslücken zu identifizieren und zu bewerten. Hersteller müssen unabhängig von den Motiven eines Angreifers beurteilen, welche Angriffe und Exploits das Gerät beeinträchtigen können. Die Schutzmaßnahmen sollten auf das jeweilige Gerät und dessen Verwendung zugeschnitten sein. Die CRA definiert grundlegende Anforderungen an die Cybersicherheit.
In der folgenden Tabelle finden Sie alle (technischen) Sicherheitsanforderungen und Merkmale für die in Anhang I genannten Produkte, die berücksichtigt werden müssen.
|
Schutz vor Sicherheitslücken |
Produkte müssen ohne bekannte Sicherheitslücken bereitgestellt werden. |
|
Sichere Standardkonfiguration |
Produkte sollen mit einer sicheren Standardkonfiguration ausgeliefert werden. |
|
Sicherheitsupdates |
Sicherheitsupdates sollen bereitgestellt werden, um auftretende Sicherheitsprobleme zu beheben. |
|
Zugangskontrolle |
Ein Authentifizierungs- und Identitätsmanagement muss verwendet werden, um unbefugten Zugriff zu verhindern. |
|
Vertraulichkeit von Daten |
Gespeicherte Daten müssen geschützt werden, z. B. durch Verschlüsselung. |
|
Integrität von Daten |
Daten müssen vor Manipulation geschützt werden. |
|
Datenminimierung |
Es dürfen nur relevante und notwendige Daten verwendet und gespeichert werden. |
|
Verfügbarkeit von Funktionen |
Wesentliche und grundlegende Funktionen müssen jederzeit geschützt sein, auch nach Zwischenfällen. |
|
Minimierung von negativen Effekten |
Andere Systeme sind zu schützen, indem die Auswirkungen von Vorfällen auf andere Systeme minimiert werden. |
|
Möglichst geringe Angriffsfläche |
Geräte müssen über minimale Angriffsflächen verfügen, einschließlich der externer Schnittstellen. |
|
Möglichst geringe Auswirkungen im Ernstfall |
Geeignete Strategien und Methoden zur Bekämpfung von Ausnutzung und zur Verringerung der Auswirkungen von Vorfällen sind erforderlich. |
|
Aufzeichnung und Überwachung |
Sicherheitsrelevante Informationen sind durch Protokollierung und Überwachung interner Aktivitäten bereitzustellen, außerdem muss den Nutzern eine Opt-out-Möglichkeit angeboten werden. |
|
Daten und Einstellungen dauerhaft löschbar |
Benutzer müssen in der Lage sein, alle Daten und Einstellungen dauerhaft zu löschen und bei Bedarf eine sichere Datenübertragung auf andere Systeme zu gewährleisten. |
In der folgenden Tabelle finden Sie die Anforderungen an den Umgang mit Sicherheitslücken für die in Anhang I genannten Produkte.
|
Teil II Anforderungen an die Behandlung von Schwachstellen |
|
|
Schwachstellen identifizieren und dokumentieren |
Schwachstellen und Komponenten, einschließlich einer Software-Stückliste (SBOM), müssen dokumentiert werden. |
|
Sicherheitslücken beheben |
Hersteller müssen Schwachstellen umgehend durch Updates oder Abhilfemaßnahmen beheben. |
|
Regelmäßige Tests und Überprüfungen |
Hersteller müssen die Sicherheitseigenschaften ihrer Produkte dokumentieren und regelmäßig auf ihre Richtigkeit testen und überprüfen. |
|
Behobene Sicherheitslücken veröffentlichen |
Der Hersteller muss die Nutzer über Schwachstellen und deren Auswirkungen informieren und Abhilfe schaffen, indem er Sicherheitshinweise in maschinenlesbarer Form bereitstellt. |
|
Offenlegung von Sicherheitslücken |
Der Hersteller muss einen Prozess zur Offenlegung von Sicherheitslücken gemäß den Vorgaben veröffentlichen und implementieren. |
|
Informationen über Schwachstellen weitergeben |
Der Hersteller muss Maßnahmen ergreifen, um den Austausch von Informationen über potenzielle Schwachstellen zu ermöglichen. |
|
Sichere Verteilung von Updates |
Der Hersteller stellt einen Mechanismus für die sichere Verteilung von Updates gemäß den Vorgaben bereit. |
|
Bereitstellung von Updates |
Der Hersteller muss Aktualisierungsmechanismen und Benutzerdokumentationen für die Anwendung von Aktualisierungen gemäß den Vorgaben bereitstellen. |
Die CRA erfordert einen vielschichtigen Ansatz zur Sicherung eingebetteter Systeme und zur Bewältigung von Cybersicherheitsrisiken. Hier sind die empfohlenen acht wichtigsten Schritte, auf die sich Hersteller eingebetteter Produkte konzentrieren sollten, um die Einhaltung der CRA sicherzustellen.
Zunächst muss das betroffene Produkt identifiziert und gemäß den CRA-Kategorien klassifiziert werden. Die Verordnung unterteilt die betroffenen Produkte in verschiedene Risikokategorien.
Für alle Risikoklassen gelten die gleichen Produktanforderungen. Der Hauptunterschied besteht in der Konformitätsbewertung. Mit steigender Risikoklasse werden die Kriterien strenger und der Bewertungsprozess umfangreicher. Für wichtige Produkte der Klasse II und kritische Produkte sind außerdem Bewertungen durch unabhängige Stellen vorgeschrieben, und unter Umständen ist auch eine Zertifizierung gemäß einem europäischen Zertifizierungssystem erforderlich.
Die CRA verlangt von Herstellern von embedded Systemen, dass sie im Rahmen der anfänglichen Produktentwicklung und während des gesamten Produktlebenszyklus eine Risikobewertung durchführen. Das bedeutet, potenzielle Cybersicherheitsrisiken auf der Grundlage der beabsichtigten Verwendung, vorhersehbarer Bedingungen und der erwarteten Lebensdauer zu identifizieren, zu bewerten und zu mindern. Das Ziel besteht darin, diesen Risiken durch die Implementierung von Sicherheitsfunktionen proaktiv zu begegnen.
Bei eingebetteter Hardware kann dies die Identifizierung von Hardware-Schwachstellen wie Designfehlern, Seitenkanal-Schwachstellen, Manipulationsrisiken oder Schwachstellen umfassen, die durch physischen Zugriff auf das Gerät ausgenutzt werden könnten und durch Hardware-Sicherheitsfunktionen wie sichere Boot-Mechanismen verhindert werden können.
Die Risikobewertung für Software umfasst die Identifizierung potenzieller Schwachstellen im Code und seiner Ausführungsumgebung. Dazu gehören Probleme wie Pufferüberläufe, unsachgemäße Eingabevalidierung und die Verwendung veralteter oder anfälliger Softwarebibliotheken. Es ist unerlässlich, die Software-Lieferkette auf potenzielle Schwachstellen von Drittanbietern zu überprüfen. Der Secure Development Lifecycle (SDL) trägt zur Minderung dieser Risiken bei, indem er sichere Codierungspraktiken, Codeüberprüfungen und statische Analysewerkzeuge einbezieht, um Software-Schwachstellen frühzeitig in der Entwicklung zu identifizieren.
„Secure by Design“ bezeichnet die Philosophie, von Anfang an robuste Sicherheitsmaßnahmen in das Design und die Architektur eingebetteter Produkte zu integrieren. Dazu gehören Sicherheitsmaßnahmen wie die Verwendung sicherer Codierungstechniken, die Implementierung hardwarebasierter Sicherheitsfunktionen und die Gewährleistung, dass Firmware- und Software-Updates sicher durchgeführt werden können. Um die CRA-Vorschriften zu erfüllen, müssen eingebettete Systeme gegen eine Reihe von Cyber-Bedrohungen resistent sein, und das Design muss Sicherheitskontrollen integrieren, die auch zukünftigen Schwachstellen standhalten können.
Die Software-Stückliste ist ein wichtiger Bestandteil des Cybersicherheitsrahmens der CRA. Es handelt sich dabei im Wesentlichen um eine detaillierte Bestandsaufnahme aller in einem eingebetteten System verwendeten Softwarekomponenten, in der mehrere Eigenschaften jeder einzelnen Komponente aufgeführt sind. Durch die Bereitstellung einer vollständigen Stückliste erleichtern Hersteller die Identifizierung und Behebung von Sicherheitslücken und die Einhaltung der Anforderungen der CRA an das Schwachstellenmanagement.
Die CRA verlangt von Herstellern, ein System zur Meldung aller in ihren eingebetteten Systemen festgestellten Schwachstellen einzurichten. Dies umfasst die Meldung sowohl an Endnutzer als auch an Aufsichtsbehörden. Eine zeitnahe Meldung stellt sicher, dass Bedrohungen sofort öffentlich bekannt werden und schnell behoben oder gemindert werden können. Dieser Schritt trägt auch dazu bei, das Vertrauen der Verbraucher zu stärken und sicherzustellen, dass eingebettete Systeme sicher und konform bleiben.
Hersteller müssen Konformitätsbewertungen durchführen, um nachzuweisen, dass ihre eingebetteten Systeme die im CRA festgelegten Cybersicherheitsanforderungen erfüllen. Dies kann je nach Komplexität des Produkts und Verwendungszweck unabhängige Tests oder eine Selbstbewertung umfassen. Dieser Prozess stellt sicher, dass das Produkt alle erforderlichen Sicherheitsstandards erfüllt.
Schließlich bestätigt die CE-Kennzeichnung für Ihre embedded Systeme, dass Ihr Produkt der CRA entspricht und für den Einsatz auf dem EU-Markt sicher ist. Diese Kennzeichnung zeigt an, dass alle erforderlichen Sicherheitsmaßnahmen getroffen wurden und dass das Produkt den von der EU festgelegten Standards entspricht.
KiviCore bietet umfassende Dienstleistungen, um Herstellern dabei zu helfen, die Einhaltung des Cyber Resilience Act (CRA) für eingebettete Systeme sicherzustellen. Wir stellen CRA-konforme Checklisten zur Verfügung, unterstützen bei der Risikobewertung und helfen bei der Umsetzung von Sicherheitsmaßnahmen und der Behandlung von Schwachstellen. Unsere Expertise erstreckt sich außerdem auf die Entwicklung von Testkonzepten und die Begleitung von Unternehmen durch die Konformitätsbewertungsverfahren.
Unsere Services sind auf die Anforderungen von Herstellern von embedded Systemen zugeschnitten, mit tiefgreifender Erfahrung im Hardware/Software-Co-Design und moderner Cybersicherheit. Dank erfahrener Experten und schlanker Strukturen können wir unsere Expertise schnell, flexibel und zu einem fairen Preis anbieten. Wir kombinieren kostengünstige Dienstleistungen mit hoher Verfügbarkeit und gewährleistet einen schnellen, effizienten Prozess, der sich an Ihren Projektzeitplänen orientiert, wobei wir stets großen Wert auf langfristige Partnerschaften und Support legen.
Zusammenfassend lässt sich sagen, dass das Cyber Resilience Act (CRA) neue Standards für die Cybersicherheit in embedded Systemen festlegt und von den Herstellern verlangt, strengere Sicherheitsmaßnahmen zu ergreifen und die Einhaltung dieser Standards durch Risikobewertungen, sichere Designpraktiken und kontinuierliches Schwachstellenmanagement sicherzustellen. Sobald die Verordnung in Kraft tritt, müssen Unternehmen diese Anforderungen verstehen und umsetzen, um ihre Produkte zu schützen und die EU-Marktstandards zu erfüllen. Das CRA stellt zwar Herausforderungen dar, bietet den Herstellern aber auch die Möglichkeit, die Widerstandsfähigkeit ihrer eingebetteten Systeme und die allgemeine Sicherheit zu verbessern. Durch die proaktive Erfüllung der CRA-Verpflichtungen können Unternehmen sicherstellen, dass ihre Produkte für die sich wandelnden regulatorischen Rahmenbedingungen gerüstet sind.
Unser Team unterstützt Sie bei jedem Schritt, von der Identifizierung und Minderung von Risiken über die Implementierung von Hardware oder Software bis hin zur Vorbereitung auf Konformitätsbewertungen, um Ihr Produkt mit dem CE-Zeichen zu versehen. Mit einem kosteneffizienten und reaktionsschnellen Ansatz sowie jahrzehntelanger Erfahrung unserer Mitarbeiter bietet KiviCore das erforderliche Fachwissen, um die CRA-Anforderungen zu erfüllen und gleichzeitig Sicherheit und Konformität zu gewährleisten.