Mit dem Cyber Resilience Act sollen Lücken in der Cyber-Sicherheit über die gesamte Lieferkette von Produkten geschlossen werden und Verbraucher sowie Unternehmen vor gefährlichen Attacken durch Hacker geschützt werden.
Damit stehen nun auch Importeure und Distributoren in der Haftung – und werden von der EU teilweise sogar als Hersteller angesehen. „Wir haben damit die Situation, dass Importeure von OEM-Ware, die nur gelabelt wird – bis hin zum Internetanbieter, der seinen Kunden Devices unter seinem Namen zur Verfügung stellt – als Hersteller gelten und damit auch die Regelungen für Produzenten vollumfänglich erfüllen müssen“, sagt Jan Wendenburg, Geschäftsführer von Onekey.
Die Folge: Jedes Produkt mit digitalen Elementen – also einem Mikroprozessor – muss während des gesamten Lebenszyklus vor durch von Hackern ausnutzbaren Schwachstellen geschützt werden. Damit verbunden sind Melde- und Sorgfaltspflichten sowie die Erstellung eines Stammbaums aller digitalen Komponenten in Form einer Software Bill of Materials (SBOM). Bisher sind Importeure und große Distributoren von OEM-Ware aus Asien allerdings kaum auf diesen Fall eingerichtet und notwendige Ressourcen und Kompetenzen müssen rasch aufgebaut werden, um diese Prüfungen vorzunehmen.
EU greift in Handelsketten ein
„Die EU-Kommission greift damit in die gewachsenen Strukturen des IT-Distributionsmodells ein. Viele Unternehmen bestellen Whitelabel-Ware bei asiatischen Großherstellern, die allerdings selten den neuen Sicherheitsanforderungen des Cyber Resilience Acts entsprechen und an der Einhaltung auch kein primäres Interesse haben. Die neue und für Verbraucher und Anwender in der Wirtschaft richtige Verordnung erfordert damit ein strukturelles Umdenken des bisherigen Handelsmodells“, erklärt Wendenburg weiter.
Sein Unternehmen ermöglicht eine softwaregestützte automatisierte Analyse von vernetzten, smarten Geräten inklusive aller verwendeten Baugruppen und Komponenten zur Erkennung bislang unbekannter Schwachstellen. Auf dieser Basis kann Onekey bereits heute eine SBOM mit der kompletten DNA eines vernetzten Gerätes erstellen.
Unternehmen, die rechtzeitig ihre Prozesse anpassen, können die Time-to-Market für neue Produkte auch auf Basis der neuen Regelungen optimieren und das Haftungsrisiko reduzieren. Automatisierte Analyse- und Prüfroutinen sind allerdings die Voraussetzung, denn auch im Fall eines Updates einer der Komponenten ist die Sicherheit und Integrität des Geräts weiter zu gewährleisten.
Sicherheit auch für Bestandsgeräte
„Wir müssen uns darauf verlassen können, dass die Produkte, die im Binnenmarkt angeboten werden, sicher sind“, erklärte dazu die für Digitales zuständige Kommissionsvizepräsidentin Margrethe Vestager in einer Presseerklärung der EU. „Dazu nehmen wir diejenigen in die Pflicht, die die Produkte in Verkehr bringen“, präzisiert Vestager weiter. Mit dem Konzept der „integrierten Cyber-Sicherheit“ wolle die Kommission gegensteuern.
„Dieser Schritt ist richtig und wichtig. In den letzten Monaten hat nicht nur die Häufigkeit, sondern auch die Gefährlichkeit der Attacken zugenommen. Zudem wird mehr und mehr klar, dass allein in vernetzten Produktions- und Unternehmensumgebungen unzählige Anlagen im Einsatz sind, die noch zahlreiche Schwachstellen enthalten und dringend ebenfalls untersucht werden müssten“, analysiert Cybersecurity-Spezialist Wendenburg. So häufen sich bei Onekey die Anfragen aus Industrie und Wirtschaft, und eine Vielzahl von Sicherheitslücken bis zu möglichen Zero-Day-Exploits konnten gefunden und behoben werden. (rhh)