• Entwicklung/Architektur
  • Methoden
  • Programmiersprachen
• Betrieb
  • Künstliche Intelligenz
  • Datenbanken
  • Server
  • IT-Security
  • Speicher
  • Netzwerke
  • Virtualisierung
  • Verfügbarkeit
• Management und Recht
  • Projektmanagement
  • Digitalisierung
  • IT-Recht
  • IT-Selbständige
• Aktuelles
• Termine
• IT-Jobs

☰

• Entwicklung
• Betrieb
• Management und Recht
• News
• IT-Jobs
• Newsletter

Patrick Kiessling 15. Oktober 2024

Der Cyber Resilience Act: Konkrete Maßnahmen für Unternehmen

Der CRA im Überblick

Insbesondere nimmt der CRA die Software-Lieferkette in den Fokus. Von ihrem Anfang bis zu ihrem Ende müssen Unternehmen eine hohe Cybersicherheit gewährleisten. Das betrifft direkte Anforderungen an das Produktdesign, aber auch Entwicklungsprozesse, die Verwendung von Third-Party-Code und den Umgang mit Schwachstellen sowie Dokumentationspflichten. Das Wichtigste:

Produktdesign

Gemäß den Vorgaben des CRA müssen alle Produkte möglichst sicher sein. Das heißt, sie müssen ohne bekannte Schwachstellen bereitgestellt werden und standardmäßig sicher konfiguriert sein. Generell soll ein Produkt zukünftig die kleinstmögliche Angriffsfläche bieten. Die Vertraulichkeit und Integrität gespeicherter, verarbeiteter und übermittelter Daten müssen geschützt sein und die Datenverarbeitung sollte auf das notwendige Maß beschränkt werden. Außerdem brauchen Produkte Mechanismen, die unbefugte Zugriffsversuche erkennen und melden. Des Weiteren benötigen Produkte zukünftig einen Schutz gegen (D)DoS-Angriffe und die Hersteller müssen Maßnahmen ergreifen, die die Auswirkungen dieser Angriffe auf andere Geräte oder Netzwerke minimieren. Darüber hinaus sollen Nutzer ihre Daten jederzeit einfach und sicher übermitteln und entfernen können.

Entwicklung und Postproduktion

Der CRA fordert, dass Hersteller die Cybersicherheitsrisiken eines Produkts entsprechend den Anforderungen in allen Phasen der Produktentwicklung detailliert bewerten. Dazu zählen regelmäßige interne Prüfungen, Tests und Bewertungen für das Produkt und seine Updates bis in den Support-Zeitraum hinein. Unternehmen müssen sicherstellen, dass Komponenten Dritter und Open-Source-Komponenten die Produktsicherheit nicht beeinträchtigen. Die einzelnen Komponenten der Software müssen Hersteller in Zukunft mit einer SBOM dokumentieren, um Produktkomponenten und ihre Schwachstellen nahezu in Echtzeit nachverfolgen zu können.

Umgang mit Schwachstellen

Hersteller müssen effektive Prozesse für den Umgang mit Produktschwachstellen etablieren und Schwachstellen bei Bekanntwerden unverzüglich beheben. Darüber hinaus sind Hersteller verpflichtet, eine zentrale Anlaufstelle für Nutzer einzurichten, um eine direkte und schnelle Kommunikation zu ermöglichen. Diese Infrastruktur muss ebenfalls für die Meldung von Schwachstellen existieren. Eine Kontaktadresse zur Meldung von Schwachstellen sowie entsprechende Prozesse (Coordinated Vulnerability Disclosure, CVD) müssen vorhanden und für die breite Öffentlichkeit leicht zugänglich sein. Nach Behebung einer Schwachstelle müssen Mechanismen greifen, die sicherstellen, dass im Einsatz befindliche Produkte schnell die erforderlichen Patches erhalten, beispielsweise durch automatische Sicherheitsupdates oder Update-Benachrichtigungen. Sicherheitsupdates müssen, sofern technisch realisierbar, getrennt von Funktionsupdates gehalten werden. Informationen zur behobenen Schwachstelle müssen nach Bereitstellung eines Updates öffentlich kommuniziert werden. Wenn einem Hersteller eine Schwachstelle in Drittkomponenten bekannt wird, muss er den Komponentenanbieter informieren.

Dokumentationspflichten

Unter dem CRA muss den Produkten ein Mindestmaß an nutzerorientierter Dokumentation beigefügt werden. Diese muss Angaben zum Hersteller des Produkts, zur zentralen Anlaufstelle für den Umgang mit Schwachstellen, zum Verwendungszweck des Produkts und zu dessen Sicherheitseigenschaften enthalten. Bekannte Umstände, die das Produkt Cybersicherheitsrisiken aussetzen könnten, die Dauer des Support-Zeitraums, Anweisungen für die sichere Inbetriebnahme und Nutzung des Produkts sowie Anleitungen zur Installation und Aktivierung bzw. Deaktivierung von Sicherheitsupdates müssen ebenfalls dokumentiert sein. Zusätzlich müssen Hersteller intern eine technische Dokumentation vorhalten, die eine Vielzahl von Themen abdeckt: von der Beschreibung des Prozesses zum Umgang mit Schwachstellen über die Ergebnisse der Bewertungen von Cybersicherheitsrisiken bis hin zur Bestimmung des Support-Zeitraums. Diese Dokumentation muss auf Aufforderung der EU zur Verfügung gestellt werden und dient unter anderem als Audit-Protokoll, um sicherzustellen, dass die verschiedenen Prozessanforderungen des CRA vom Hersteller effektiv umgesetzt wurden.

Von Software Composition Analysis zum Software-Supply-Chain-Management: die Lösung für die CRA-Implementierung?

Nach jahrelangen Untersuchungen verschiedener Organisationen besteht die meiste Software aus bis zu 90 Prozent Fremdcode oder Open-Source-Code. Die Anforderungen des CRA sind daher nicht umsetzbar, ohne Prozesse zu schaffen, die sich auch mit den Risiken von Drittanbieter-Code befassen. Software-Supply-Chain-Management-Plattformen (SSCM) helfen dabei, einen Überblick über den SDLC zu erhalten, und sind eine Weiterentwicklung bestehender Software-Composition-Analysis-Tools, die von einigen Unternehmen lediglich im Sicherheitskontext verwendet wurden. Plattformen identifizieren Abhängigkeiten von Dritten, überwachen und kategorisieren die Abhängigkeiten einer Software und erleichtern deren Verarbeitung. Die Erstellung und Speicherung einer Software-Stückliste, eine sogenannte SBOM, in der Hersteller, Version, Zweck, bekannte Risiken und Lizenzen der Drittkomponenten aufgeführt sind, ist eine Kernanforderung für jede effektive SSCM-Plattform. Dies schafft einen vollständigen Überblick über die potenzielle Angriffsfläche im Kontext der beabsichtigten Anwendungsfälle und ermöglicht es dem Unternehmen, im Hinblick auf die CRA nachzuweisen, dass Maßnahmen zur Risikominderung ergriffen wurden.

SSCM-Plattformen bieten die Möglichkeit, bekannte Schwachstellen in Komponenten von Drittanbietern zu identifizieren und automatisch eine standardkonforme, maschinenlesbare SBOM in den gängigen Formaten CycloneDX oder SPDX zu erstellen. Diese SBOM wird dann bei jeder Weiterentwicklung der Software automatisch aktualisiert. Sie kann auch zur Überwachung von Änderungen und Schwachstellen sowie zur Identifizierung potenziell schädlicher Komponenten von Drittanbietern genutzt werden. Eine für Unternehmen unverzichtbare Funktion ist die Möglichkeit, automatische Vorschläge zur Behebung von entdeckten Problemen zu machen, selbst wenn diese durch das Zusammenspiel verschiedener Komponenten verursacht werden. Fortschrittlichere Engines ermöglichen es sogar, Abhilfemaßnahmen zu kombinieren und so den Arbeitsaufwand für Updates zu minimieren.

Vereinfachung von Produkttests und Updates

Der CRA verlangt effektive und regelmäßige Sicherheitstests von Produkten mit digitalen Elementen. Der richtige Platz für SSCM-Plattformen ist die Integration in den Software Development Lifecycle (SDLC) und in DevSecOps-Pipelines. Unternehmen können automatisch häufige und umfassende Tests durchführen, sobald ein neuer Build erstellt wird und Probleme so früh und so effektiv wie möglich im Lebenszyklus der Produktentwicklung angehen.
SSCM-Plattformen helfen bei der Verteilung von Updates. Wenn der CRA in Kraft tritt, benötigen die Hersteller Mechanismen zur sicheren Verteilung von Updates, um zu gewährleisten, dass Schwachstellen rechtzeitig und, falls erforderlich, automatisch behoben werden. Artifact Repositories innerhalb dieser Plattformen können als Update-Sites genutzt werden und ermöglichen die Verteilung von Software-Updates auf skalierbare Weise.

Erleichterung der Meldepflichten

Gemäß dem CRA müssen auch Informationen über die behobenen Schwachstellen veröffentlicht werden. Die erforderlichen Schwachstellen-Beschreibungen, Informationen zur Identifizierung des betroffenen Produkts, die Auswirkungen der Schwachstellen, ihr Schweregrad und klare sowie zugängliche Informationen zur Behebung der Schwachstellen lassen sich mit einer SSCM-Plattform leicht dokumentieren und koordinieren. Sie erfasst gemeldete Schwachstellen und hält sie in der SBOM einer Software fest. Diese Grundlage erleichtert die Kommunikation über bekannte und unbekannte Komponenten und deren Behebung.

Die Hersteller müssen jede aktiv ausgenutzte Schwachstelle in einem Produkt mit digitalen Elementen, von der sie Kenntnis erlangen, gleichzeitig an die benannten Sicherheitsstellen (CSIRT oder ENISA) melden. Diese Meldungen erfolgen über eine zentrale Meldeplattform. Nach Bekanntwerden einer aktiv ausgenutzten Schwachstelle oder eines schwerwiegenden Vorfalls müssen die betroffenen Nutzer informiert werden. Die bereitgestellten Informationen sollten strukturiert und maschinenlesbar sein. SSCM-Plattformen können sogenannte Vulnerability-Exchange-(VEX-)Dateien generieren und aktualisieren, um detailliert über bekannte Sicherheitsschwachstellen in SBOM zu berichten. Mit diesen Werkzeugen lässt sich der aktuelle Stand der Schwachstellen – insbesondere derjenigen, die in der Produktion behoben wurden – viel einfacher kommunizieren. Die Sicherheitsdatenbanken bieten einen umfassenden Zugriff auf die gesamte Sicherheitslage der Lieferkette und liefern entsprechende Berichte.

Wenn Hersteller in Zukunft eine Schwachstelle in einer Komponente, einschließlich einer Open-Source-Komponente, feststellen, müssen sie diese dem Komponentenhersteller melden und die Schwachstelle gemäß den Anforderungen der CRA beheben. Wenn eine Software- oder Hardware-Änderung entwickelt wurde, um die Schwachstelle zu beheben, muss der entsprechende Code oder die Dokumentation an den Komponentenhersteller weitergegeben werden.

Von A bis O: Den gesamten SDLC im Blick behalten

Der Cyber Resilience Act (CRA) hat weitreichende Auswirkungen auf Unternehmen, die Produkte mit digitalen Elementen entwickeln und vertreiben. Aufgrund der strengen Sicherheits- und Transparenzanforderungen müssen die Unternehmen ihre Sicherheitsprozesse und -praktiken grundlegend überdenken und anpassen. Software-Supply-Chain-Management-Plattformen und Software Bills of Materials (SBOM) spielen dabei eine entscheidende Rolle. Letztere werden nach dem Inkrafttreten für die Unternehmen sogar verpflichtend sein. Es ist zwingend notwendig, nicht mit einem manuellen Prozess zu beginnen, da die Last der Regulierung zu kompliziert ist, um sie ohne effektive Automatisierung umzusetzen.

Eine effektive SSCM-Lösung ermöglicht es, Abhängigkeiten von Drittanbietern und Open-Source-Komponenten zu erkennen und kontinuierlich zu überwachen. Dies vereinfacht die Einhaltung der CRA-Richtlinien und erhöht die Transparenz und das Vertrauen in die Sicherheit der Produkte gegenüber den Endnutzern und dem Markt. Mit automatisierten SBOM und fortschrittlichen SSCM-Lösungen, die in bereits bestehende SDLCs integriert sind, können Unternehmen Schwachstellen schneller erkennen und beheben und Sicherheitsupdates effizienter verwalten, ohne die Geschwindigkeit zu verlieren, die durch die bisherige Einführung von DevSecOps erreicht wurde. Letztlich helfen diese Technologien Unternehmen nicht nur dabei, die Anforderungen der CRA zu erfüllen. Gleichzeitig stärken sie die Cyber-Resilienz ihrer Produkte zu ihrem eigenen Vorteil.

Autor

Das könnte Sie auch interessieren