Der EU Cyber Resilience Act (CRA) verlangt von der Industrie ab diesem Jahr umfangreiche Ma\u00dfnahmen bei der Entwicklung und \u00dcberwachung von sicheren Produkten zur Abwehr von Hackerangriffen. Doch die Frage der Zust\u00e4ndigkeit f\u00fcr die Einhaltung der EU-Verordnung zur St\u00e4rkung der Produkt-Cybersicherheit ist in der Industrie noch weitgehend ungekl\u00e4rt. Dies geht aus dem aktuellen \u201eIoT & OT Cybersecurity Report\u201c des D\u00fcsseldorfer Cybersicherheitsunternehmens ONEKEY hervor. F\u00fcr die Untersuchung waren 300 Unternehmen nach ihrer CRA-Strategie bei \u201eOperational Technology\u201c (OT), also beispielsweise industriellen Steuerungssystemen, und \u201eInternet of Things\u201c (IoT), vom Smart Building bis zu Industrierobotern, befragt worden.<\/p>\n
Demnach liegt die Hauptverantwortung f\u00fcr die Erf\u00fcllung des Cyber Resilience Act in 46 Prozent der Unternehmen bei der IT-Sicherheit. Bei gut einem F\u00fcnftel (21 Prozent) tr\u00e4gt in erster Linie die Compliance-Abteilung die Verantwortung. In 18 Prozent aller F\u00e4lle ist die Gesch\u00e4ftsleitung zust\u00e4ndig, in 16 Prozent die Rechtsabteilung und in 15 Prozent der befragten Firmen die Produktentwicklung. \u201eDie Zust\u00e4ndigkeiten sollten noch klarer geb\u00fcndelt und definiert werden\u201c, analysiert Jan Wendenburg, CEO von ONEKEY, die Ergebnisse. Er erkl\u00e4rt: \u201eDie gro\u00dfe Bandbreite der CRA-Verantwortungstr\u00e4ger in der Industrie h\u00e4ngt damit zusammen, dass die Verordnung selbst ein breites Spektrum an Themen ber\u00fchrt.\u201c<\/p>\n
So m\u00fcssen die Hersteller vernetzter Produkte ihre Ger\u00e4te, Maschinen und Anlagen von Grund auf so entwickeln, dass sie von Anfang an sicher sind (Security by Design) und w\u00e4hrend ihres gesamten Lebenszyklus den Anforderungen des CRA entsprechen. \u201eDas ist zweifellos eine Anforderung, bei der Engineering und Produktentwicklung gefragt sind\u201c, sagt Jan Wendenburg. Dar\u00fcber hinaus sind die Anbieter verpflichtet, aktiv ausgenutzte Schwachstellen und schwerwiegende Vorf\u00e4lle, die die Sicherheit ihrer Produkte beeintr\u00e4chtigen, innerhalb von 24 Stunden der europ\u00e4ischen Cybersecurity-Beh\u00f6rde ENISA und dem zust\u00e4ndigen nationalen CSIRT (Computer Security Incident Response Team) zu melden. \u201eDas ber\u00fchrt in der Regel die IT-Sicherheitsabteilung\u201c, ordnet Jan Wendenburg zu.<\/p>\n
Zudem sind die Anbieter verpflichtet, in regelm\u00e4\u00dfigen Abst\u00e4nden Sicherheitsupdates bereitzustellen, um bekannte Schwachstellen zu schlie\u00dfen und die Produktsicherheit zu gew\u00e4hrleisten. Ebenso erforderlich ist eine vollst\u00e4ndige Dokumentation s\u00e4mtlicher Produkte, einschlie\u00dflich einer Software-St\u00fcckliste (Software Bill of Materials, SBOM), die Transparenz und R\u00fcckverfolgbarkeit der eingesetzten Komponenten erm\u00f6glicht. \u201eDiese Aufgaben fallen in der Regel in die Verantwortung von Entwicklung und Produktion.\u201c, sagt Jan Wendenburg.<\/p>\n
Die dazugeh\u00f6rige Dokumentation als Nachweis der Konformit\u00e4t mit den CRA-Anforderungen stuft der ONEKEY-CEO hingegen prim\u00e4r als Verantwortungsbereich des Produkt Managements in Zusammenarbeit mit der Compliance-Abteilung ein. Bei Verst\u00f6\u00dfen gegen die EU-Verordnung drohen Bu\u00dfgelder von bis zu 15\u202fMillionen Euro oder 2,5\u202fProzent des welt\u00adweiten Jahresumsatzes, je nachdem, welcher Betrag h\u00f6her ist \u2013 ein Fall f\u00fcr die Juristen im Unternehmen. Und schlie\u00dflich ist auch das Risiko der pers\u00f6nlichen Haftung von Vorstand bzw. Gesch\u00e4ftsf\u00fchrung nicht zu \u00fcbersehen \u2013 insofern ist es verst\u00e4ndlich, wenn die oberste F\u00fchrungsebene sich ebenfalls in die betriebliche Umsetzung des Cyber Resilience Act involviert.<\/p>\n
Jan Wendenburg stellt klar: \u201eDer Cyber Resilience Act ist tats\u00e4chlich so abteilungs- und funktions\u00fcbergreifend, dass die Zust\u00e4ndigkeit im Unternehmen nicht auf der Hand liegt. Was auf den ersten Blick wie Verantwortungs-Wirrwarr aussieht, ist bei genauerem Hinsehen also nachvollzieh\u00adbar. Die Herausforderung f\u00fcr die Industrie besteht darin, der EU-Verordnung in ihrer gesamten Breite gerecht zu werden.\u201c<\/p>\n
Entsprechend breit ist auch das Spektrum der Positionen, die mit dem Thema CRA befasst sind, wie der Report zutage gef\u00f6rdert hat. In 18 Prozent aller Unternehmen ist der Produktmanager zust\u00e4ndig, in 17 Prozent der Compliance-Verantwortliche, in 15 Prozent der Chief Information Security Officer (CISO) und in 11 Prozent ein Cybersecurity-Analyst. Der Leiter Softwareentwicklung steht lediglich bei 8 Prozent der Firmen in der Verantwortung f\u00fcr den Cyber Resilience Act, obgleich die Software-St\u00fcckliste, die Software Bill of Materials (SBOM), den wichtigsten Schl\u00fcssel zur Erf\u00fcllung der CRA-Verordnung darstellt. Der Cyber Resilience Act verpflichtet alle Hersteller, die vernetzte Produkte in die EU liefern, im Rahmen der technischen Dokumentation eine SBOM bereitzustellen. Diese hat ausf\u00fchrliche Angaben zu den einzelnen Softwarekomponenten zu enthalten.<\/p>\n
\u201eDie SBOM ist das schw\u00e4chste Glied in der Compliance-Kette f\u00fcr den Cyber Resilience Act\u201c, sagt Jan Wendenburg. Er erl\u00e4utert: \u201eDer CRA schreibt eine pr\u00e4zise Auflistung s\u00e4mtlicher Komponenten, Bibliotheken, Frameworks und Abh\u00e4ngigkeiten vor \u2013 einschlie\u00dflich exakter Versionsnummern, Informationen zu den jeweiligen Lizenzen, sowie einer \u00dcbersicht aller bekannten Schwachstellen und Sicherheitsl\u00fccken. Wenn sich auch nur in einer dieser Komponenten ein Einfallstor f\u00fcr Hacker befindet, das nachweislich bereits irgendwo schon ausgenutzt wurde, darf das Produkt oder die Softwareversion nicht auf den Markt gebracht werden. Bei bestehenden Produkten m\u00fcssen die Beh\u00f6rden innerhalb von 24 Stunden informiert werden. Angesicht von durchschnittlich \u00fcber 2.000 neuen Schwachstellen in Softwareprodukten pro Monat ist das keine leichte Aufgabe und ohne eine automatisierte Pr\u00fcfung im Grunde nicht zu erf\u00fcllen.\u201c<\/p>\n
Tragen die Unternehmen dem funktions- und abteilungs\u00fcbergreifenden Handlungsbedarf zur Erf\u00fcllung des Cyber Resilience Act durch eine interdisziplin\u00e4re Zusammenarbeit im Betrieb Rechnung, wollte ONEKEY im Rahmen der Industrieumfrage wissen. Die Antwort: Bei 28 Prozent der Firmen existiert eine Arbeitsgruppe aus verschiedenen Abteilungen, bei 13 Prozent gibt es sogar ein dediziertes CRA-Team. Knapp ein Drittel (32 Prozent) hat indes keine spezifische Teamstruktur f\u00fcr die EU-Verordnung aufgebaut.<\/p>\n
Bei 18 Prozent der Unternehmen sind vier bis zehn Personen in der Arbeitsgruppe oder im Team f\u00fcr den CRA engagiert; bei 15 Prozent sind es bis zu drei Personen. Bei knapp einem Zehntel (8 Prozent) der von ONEKEY befragten Firmen k\u00fcmmern sich sogar mehr als zehn Besch\u00e4ftigte um die Umsetzung des Cyber Resilience Act, von der Produktentwicklung \u00fcber die Erstellung und Pflege einer Software Bill of Materials bis hin zu Compliance-Aspekten.<\/p>\n
\u201eEs ist gut, dass sich mehr als 40 Prozent der Unternehmen der Umsetzung des CRA mit einer wie auch immer gearteten eigenen Organisationsstruktur widmen\u201c, betont Jan Wendenburg. Er stellt klar: \u201eLetztlich geht es beim Thema Cybersicherheit nicht prim\u00e4r um die Erf\u00fcllung l\u00e4stiger regulatorischer Vorschriften, sondern um die Absicherung des Unternehmens vor immer ausgefeilteren Hackerangriffen mit potenziell dramatischen Folgen.\u201c<\/p>\n
ONEKEY bietet eine vollautomatisierte Product & Cybersecurity Compliance Plattform, die f\u00fcr Unternehmen die SBOM Erstellung, Schwachstellenmanagement und Compliance Pr\u00fcfung automatisiert und so viel Zeit, Kosten und Nerven spart.\u00a0F\u00fcr Einsteiger bietet ONEKEY auch einen praxisnahen CRA Readiness Assessment-Workshop. In einf\u00fchrenden Sessions erfahren Teilnehmende, welche konkreten Auswirkungen der CRA auf ihren Betrieb hat und erhalten darauf basierend einen individuellen Bewertungsplan. Im Rahmen einer detaillierten Prozess\u00fcberpr\u00fcfung werden zentrale Bereiche wie Softwareentwicklung und Schwachstellenmanagement analysiert. Dar\u00fcber hinaus deckt eine GAP-Analyse bestehende Compliance-L\u00fccken auf und zeigt M\u00f6glichkeiten zu deren Behebung. Am Ende des Workshops erh\u00e4lt jedes Unternehmen eine ma\u00dfgeschneiderte Roadmap, die klar aufzeigt, wie sich die Anforderungen des CRA strukturiert und effizient umsetzen lassen.<\/p>\n