F\u00fcr die Hersteller vernetzter Ger\u00e4te, Maschinen und Anlagen besteht beim Einsatz von Open-Source-Software in ihren Produkten aufgrund einer neuen EU-Regulierung besondere Vorsicht: Open-Source Programme selbst unterliegen nicht den strengen Regeln des bald in Kraft tretenden Cyber Resilience Act (CRA), die Hersteller von Produkten die Open-Source verwenden hingegen schon. Vor dieser \u201eOpen-Source-Falle\u201c warnt Jan Wendenburg, CEO des D\u00fcsseldorfer Cybersicherheitsunternehmens ONEKEY und sein Cybersicherheits-Expertenteam. Die von der EU auf den Weg gebrachte CRA-Regulierung verlangt von den Herstellern oder Inverkehrbringern (Importeure, Distributoren) von Connected Devices, dass sie diese auch nach der Auslieferung mit stets neuen Software Updates versorgen, um sie dauerhaft gegen Hackerangriffe zu sch\u00fctzen. Bei schwerwiegenden Verst\u00f6\u00dfen gegen den Cyber Resilience Act k\u00f6nnen Unternehmen mit Bu\u00dfgeldern von bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des weltweiten Jahresumsatzes bestraft werden, je nachdem, welcher Betrag h\u00f6her ist. \u201eWenn Open-Source-Software mit ausnutzbaren Schwachstellen in neuen vernetzten Ger\u00e4ten verkauft wird, haftet nicht automatisch der Softwareanbieter, sondern immer derjenige, der das Produkt mit der integrierten Software auf den Markt bringt\u201c, verdeutlicht Jan Wendenburg.<\/p>\n
Der Hintergrund: Die EU tr\u00e4gt beim Cyber Resilience Act den Besonderheiten der Open-Source-Community Rechnung. Dadurch sollen nicht-kommerzielle Projekte, Hochschulen, Organisationen der Zivilgesellschaft und \u00f6ffentliche Verwaltungen von den strengen Regularien in Bezug auf Cyber\u00adsicherheit befreit werden. \u201eDas ist zwar einerseits lobenswert, weil damit Forschung, Entwicklung und ehrenamtliches Engagement gef\u00f6rdert wird, aber andererseits k\u00f6nnten die geringeren Anforderungen zu potenziell unsicherer Software f\u00fchren\u201c, analysiert Cybersicherheitsexperte Jan Wendenburg.<\/p>\n
Die Sonderrolle der sogenannten \u201eStewards\u201c von Open-Source-Projekten im Cyber Resilience Act bewertet Jan Wendenburg ebenfalls ambivalent. F\u00fcr diese Organisationen, die in einem gesch\u00e4ftlichen Umfeld Open-Source-Software entwickeln, sieht die CRA-Regulierung abgeschw\u00e4chte Sicherheitsregeln vor. So sind sie beispielweise von Geldstrafen vollst\u00e4ndig ausgenommen. Immerhin m\u00fcssen sie eine Cybersicherheitsstrategie f\u00fcr ihre Programme vorweisen, d\u00fcrfen erkannte Schwach\u00adstellen in der Software nicht ignorieren und m\u00fcssen mit den CRA-Beh\u00f6rden zusammenarbeiten.<\/p>\n
\u201eBei allem Verst\u00e4ndnis f\u00fcr die Open-Source-Community, ist durch die zahlreichen Ausnahmen und Abschw\u00e4chungen f\u00fcr die Akteure auf diesem Sektor, der Schutzwall gegen Cyberkriminelle, den die EU mit dem Cyber Resilience Act gerade aufbaut, von Anfang an l\u00f6chrig geworden\u201c, analysiert Jan Wendenburg. Er verweist auf die Diskrepanz zwischen den niedrigeren Anforderungen bei der Entwicklung von Open-Source-Programmen einerseits und der vollst\u00e4ndigen Pflichterf\u00fcllung anderer\u00adseits, sobald die Software als Bestandteil eines \u201eProdukts mit digitalen Elementen\u201c kommerziell genutzt wird. \u201eDie Hersteller von OT- und IoT-Ger\u00e4ten sind daher gut beraten, ihre Open-Source-Aktivit\u00e4ten neu zu \u00fcberdenken\u201c, empfiehlt der ONEKEY-CEO. Gemeint sind damit maschinelle Steuerungen (Operation Technology, OT), wie sie in der Industrie 4.0 breitfl\u00e4chig zum Einsatz kommen, und Ger\u00e4te f\u00fcr das Internet of Things (IoT), also beispielsweise im Smart Home.<\/p>\n
Nach aktuellem Stand wird Open-Source-Technik zunehmend in der Entwicklung und im Einsatz von OT- und IoT-Plattformen verwendet. \u00dcber 100 Open-Source-Projekte f\u00fcr OT\/IoT seien alleine in EU-Initiativen dokumentiert, die eine gro\u00dfe Bandbreite von Softwarekomponenten abdeckten, wie etwa Gateways, Middleware f\u00fcr Edge-Computing und Cloud-Plattformen. Die EU f\u00f6rdere aktiv Open-Source-Projekte f\u00fcr den OT\/IoT-Sektor. Jan Wendenburg analysiert: \u201eDer Einsatz von Open Source bringt viele Vorteile, aber auch erhebliche Herausforderungen bei der OT- und IoT-Integration mit sich. Mit der CRA-Regulierung kommen zus\u00e4tzliche Auflagen in Sachen Sicherheit hinzu, die es zu erf\u00fcllen gilt. Die neue Dimension liegt dabei in der Haftung: Jeder Fehler kann einen Produkthersteller im wahrsten Sinne des Wortes teuer zu stehen kommen.\u201c<\/p>\n
Der ONEKEY-CEO r\u00e4t den Herstellern vernetzter Ger\u00e4te, Maschinen und Anlagen zu einer automatischen SBOM- und Schwachstellenanalyse, bevor die Produkte auf den Markt gebracht werden. Das K\u00fcrzel steht f\u00fcr \u201eSoftware Bill of Materials\u201c, einer St\u00fcckliste aller Softwarekomponenten, in der die Komponenten festgestellt werden. Anschlie\u00dfend wird die Cyberresilienz auf Schwachstellen gepr\u00fcft und dokumentiert. Dabei erfolgt zuerst ein Abgleich mit der CVE-Datenbank aller bekannten Softwareschwachstellen (Common Vulnerabilities and Exposures), die vom Massachusetts Institute of Technology Research and Engineering (MITRE) im Auftrag der US-Regierung verwaltet wird. Jeden Monat kommen zwischen 500 und 2.000 neue Eintr\u00e4ge \u00fcber bekannt werdende Sicherheitsl\u00fccken hinzu. Etwa 25 bis 30 Prozent davon entfallen auf Open-Source-Software, sch\u00e4tzen Experten. Danach wird auf unbekannte, sogenannte Zero-Day Schwachstellen gepr\u00fcft. \u201eAllerdings gen\u00fcgt es laut CRA nicht, diesen Check nur bei der Auslieferung eines neuen OT\/IoT-Produktes auf den Markt durchzuf\u00fchren, sondern es muss \u00fcber die gesamte Produklebensdauer hinweg immer wieder neu gepr\u00fcft werden\u201c, stellt Jan Wendenburg klar. Er erg\u00e4nzt: \u201eBei IoT-Ger\u00e4ten etwa f\u00fcr das Smart Home wird \u00fcblicherweise von f\u00fcnf Jahren Einsatzdauer ausgegangen, aber bei maschinellen Steuerungen f\u00fcr die Industrie 4.0 kann der Lebenszyklus bei zehn, 20 oder mehr Jahren liegen.\u201c<\/p>\n","protected":false},"excerpt":{"rendered":"
F\u00fcr die Hersteller vernetzter Ger\u00e4te, Maschinen und Anlagen besteht beim Einsatz von Open-Source-Software in ihren Produkten aufgrund einer neuen EU-Regulierung besondere Vorsicht: Open-Source Programme selbst unterliegen nicht den strengen Regeln des bald in Kraft tretenden Cyber Resilience Act (CRA), die Hersteller von Produkten die Open-Source verwenden hingegen schon. Vor dieser \u201eOpen-Source-Falle\u201c warnt Jan Wendenburg, CEO […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,11],"tags":[],"class_list":["post-1321","post","type-post","status-publish","format-standard","hentry","category-networks","category-security"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1321","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=1321"}],"version-history":[{"count":3,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1321\/revisions"}],"predecessor-version":[{"id":1324,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1321\/revisions\/1324"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=1321"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=1321"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=1321"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}