Den EU-cyber resilience Act verstehen und Produkt Cybersicherheit und  compliance erreichen

HINTERGRUND

DER NEUE EUROPÄISCHE CYBER-RESILIENZ-Act (CRA) ZIELT AUF DIE ERHÖHUNG DES SICHERHEITSNIVEAUS UND DER TRANSPARENZ AB

Am 15. September 2022 veröffentlichte die Agentur der Europäischen Union für Cybersicherheit (ENISA) den Entwurf des neuen Cyber Resilience Act (CRA), welcher nach Anpassungen und Beschluss der EU per 10. Dezember 2024 in Kraft getreten ist. Der CRA gilt in der gesamten Europäischen Union und weltweit für alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die ihre Produkte in der EU vermarkten. Der CRA zielt darauf ab, das Sicherheitsniveau aller Produkte mit digitalen Elementen in der Europäischen Union zu erhöhen, indem sie die Hersteller verpflichtet, einen Cybersicherheitsrahmen zu implementieren und aufrechtzuerhalten und diesen Rahmen während des gesamten Produktlebenszyklus einzuhalten. Darüber hinaus wird eine verbesserte Transparenz in Bezug auf Sicherheitseigenschaften es Verbrauchern und Unternehmen ermöglichen, sicherheitsbewusste Entscheidungen zu treffen und Produkte mit digitalen Elementen sicherer zu verwenden.

BEGRENZTE HANDLUNGSZEIT FÜR PRODUKTE MIT DIGITALEN ELEMENTEN

Diese Initiative der ENISA folgt auf die zunehmenden Schäden durch Cyberkriminalität, die 2021 zu weltweiten Kosten von mehr als 5,5 Billionen Euro führten. Viele dieser Cyberangriffe werden durch Sicherheitslücken in Produkten mit digitalen Elementen verursacht und durch die mangelnde Transparenz der Hersteller in Bezug auf relevante Sicherheitseigenschaften noch verschärft. Während die CRA ein breites Spektrum an „Produkten mit digitalen Elementen“ ins Visier nimmt, das von Betriebssystemen, Desktop- und mobilen Anwendungen bis hin zu Hardwaregeräten und Netzwerkgeräten reicht, konzentriert sich dieses Whitepaper auf vernetzte Geräte und richtet sich an Hersteller, Händler und Importeure solcher Geräte.

Der CRA wurde in 2024 von der Europäischen Kommission als Europäische Richtlinie verabschiedet und ist per 10. Dezember 2024 in Kraft getreten. Dadurch bleibt — selbst mit der Übergangsfrist bis 10. Dez 2026 — nur wenig Zeit, um die erforderlichen Berichtspflichten zu verabschieden und die verbleibenden grundlegenden Anforderungen zu erfüllen. Aufgrund mehrjähriger Konstruktions- und Entwicklungszyklen müssen alle Hersteller jetzt handeln. Nur Geräte, die durch die Verordnung (EU) 2018/1139 (Zivilluftfahrt), die Verordnung (EU) 2017/745 (Medizinprodukte) und die Verordnung reguliert werden (EU) 2017/746 (medizinische In-vitro-Diagnostika) oder gemäß der Verordnung (EU) 2019/2144 zertifizierte Geräte (Typgenehmigung von Kraftfahrzeugen und ihren Anhängern sowie für solche Fahrzeuge bestimmte Systeme, Bauteile und selbstständige technische Einheiten...) sind ausgenommen von der CRA. Angesichts der durchschnittlichen mehrjährigen Zeitspanne zwischen der Entwicklung und der Produktion der angeschlossenen Geräte bleibt nur wenig Zeit für die Annahme und Anwendung der notwendigen Sicherheitsänderungen.

ÜBERBLICK ÜBER DIE CRA ANFORDERUNGEN

Während der CRA erweiterte Sicherheitsverpflichtungen für die Erfüllung der grundlegenden Sicherheitsanforderungen festlegt, wie z. B. Konformitätsbewertungen durch Dritte für kritische Produkte (sowohl für Klasse I als auch für Klasse II), bleiben die zugrunde liegenden Anforderungen für alle Produkte gleich. Die neuen Anforderungen der CRA lassen sich grob in die drei Kategorien Governance, Produktentwicklung und Berichterstattung einteilen:

ANFORDERUNGEN AN DIE PRODUKTENTWICKLUNG

1. Anforderungen, die das Produkt selbst betreffen, definieren ein Mindestmaß an Sicherheitseigenschaften, um das Produkt vor Cyberangriffen zu schützen und sein Sicherheitsniveau zu erhöhen.

ANFORDERUNGEN AN DIE UNTERNEHMENSFÜHRUNG

2. Anforderungen, die sich auf die Prozesse des Softwareentwicklungszyklus (SDLC) des Herstellers auswirken, wie Konzept und Design, Entwicklung, Produktion und Markteinführung sowie Service und Support, sollen die Sicherheit erhöhen, sichere Produkte zu entwickeln und ihr Sicherheitsniveau auf wiederholbare, transparente und nachhaltige Weise aufrechtzuerhalten, die mit angemessenen Sicherheitskontrollen messbar ist.

ANFORDERUNGEN AN DIE BERICHTERSTATTUNG

3. Melde- und Informationspflichten gegenüber den Überwachungsbehörden und Nutzern von Produkten über ausgenutzte Sicherheitslücken und Vorfälle, die das Produkt betreffen, stellen sicher, dass Maßnahmen zur Schadensbegrenzung zeitnah umgesetzt werden können. Ziel ist es, den Zeitrahmen, in dem sowohl Endnutzer als auch Anbieter kritischer Infrastrukturen durch kritische Sicherheitslücken Cyberbedrohungen ausgesetzt sind, zu minimieren, um das allgemeine Sicherheitsniveau der europäischen digitalen Infrastruktur zu erhöhen, indem bereitgestellte Korrekturen oder Zwischenmaßnahmen ergriffen werden, um die Auswirkungen der Sicherheitslücke zu verringern.

CRA-ANFORDERUNGEN DECKEN SICHERHEITSLÜCKEN IN DER LIEFERKETTE AB

Die folgende Abbildung gibt einen Überblick über die wichtigsten Anforderungen und deren Zusammenhang mit den jeweiligen Phasen des Produktsicherheitslebenszyklus. Ihr Zweck besteht darin, tiefgreifende und sichere Schutzansätze zu unterstützen und zu gewährleisten, mit dem Ziel, die Gewissheit zu schaffen, dass die Produkte die erhöhten Sicherheitserwartungen des europäischen Marktes erfüllen. Eine zentrale Anforderung des CRA ist das Risikomanagement in der Lieferkette.

RISIKEN IN DER LIEFERKETTE

In modernen Anwendungen bestehen 80%-90% der Codebasis aus Softwarekomponenten von Drittanbietern — sowohl Open-Source-Komponenten als auch proprietärer Software.3 Diese reichen von Kryptobibliotheken, die zur Sicherung vertraulicher Informationen bei der Übertragung verwendet werden, bis hin zu Closed-Source-SDKs zur Steuerung von Hardwaremodulen von Drittanbietern, die in angeschlossenen Geräten enthalten sind. Da ein Großteil der Codebasis nicht unter der direkten Kontrolle des Herstellers steht, wird ein erheblicher Teil des Risikos und der Gefährdung verbundener Geräte von Softwarekomponenten von Drittanbietern übernommen. Zu den Risiken gehören:

RISIKEN DURCH DRITTE BLEIBEN VERBORGEN

Mangelnde Sichtbarkeit: Während direkte Abhängigkeiten und Einschlüsse von Komponenten von Drittanbietern oft bekannt sind, endet die Lieferkette selten dort. Komponenten von Drittanbietern sind in der Regel auf weitere Abhängigkeiten angewiesen, die wiederum wiederum Abhängigkeiten haben. Die gesamte Lieferkette transparent zu machen, ist noch schwieriger, wenn der Quellcode der betroffenen Komponenten nicht verfügbar ist, wie dies häufig bei Importeuren oder Händlern von angeschlossenen Geräten der Fall ist.

SOFTWARE VON DRITTANBIETERN KANN DAS ALLGEMEINE SICHERHEITSNIVEAU SENKEN

Niedrigere Sicherheitsstandards: Die Entwicklungspraktiken sowie das Sicherheitsniveau von Anbietern von Open-Source-Komponenten und kommerziellen Standard-Softwarekomponenten (COTS) von Drittanbietern werden selten überprüft. Dies führt zu Szenarien, in denen ein erheblicher Teil des Endprodukts möglicherweise nicht den Sicherheitsanforderungen des Herstellers entspricht, was den Sicherheitsstandard des gesamten Produkts senkt.

SOFTWARE VON DRITTANBIETERN KANN EBENFALLS ANFÄLLIG SEIN

Anfällige Komponenten: Jeder Dritthersteller arbeitet in unterschiedlichen Intervallen daran, neue Versionen für seine Softwarekomponenten bereitzustellen. Darüber hinaus würde die Aktualisierung einer solchen Abhängigkeit in einem angeschlossenen Gerät strenge Tests erfordern, um unbeabsichtigte Nebenwirkungen und die Beeinträchtigung vorhandener Funktionen zu vermeiden — insbesondere, wenn das Gerät Sicherheitsanforderungen erfüllt. Das hat zur Folge, dass Softwarekomponenten von Drittanbietern, die einmal im Lieferumfang enthalten waren, selten aktualisiert werden, selbst wenn neuere Versionen Sicherheitsupdates enthielten.

ANGREIFER KONZENTRIEREN SICH ZUNEHMEND AUF DIE LIEFERKETTE

Angriffe auf die Lieferkette: Lieferketten sind in den Fokus von Cyberkriminellen gerückt, da sie als lukrativer Einstiegspunkt in die Infrastruktur ihrer Ziele gelten. Bedrohungsakteure haben begonnen, aktiv Hintertüren in Open-Source-Komponenten einzubauen und Malware über Open-Source-Repositorys zu verbreiten.

GEGENMASSNAHMEN GEGEN LIEFERKETTENRISIKEN

ANFORDERUNGEN DER LIEFERKETTE AN DIE PRODUKTSICHERHEIT

Sicherheitslücken in der Lieferkette spielen in der CRA eine große Rolle. Die Schwere der Risiken in der Lieferkette rechtfertigt rigorose Minderungsmaßnahmen. Die Ratingagentur ist sich dieser Herausforderungen bewusst und erörtert das Risiko der Lieferkette aus verschiedenen Blickwinkeln.

PRODUKTSICHERHEIT

Aus Sicht der Produktsicherheit ist die CRA ziemlich direkt, wenn es um Abschnitt 1 der grundlegenden Sicherheitsanforderungen geht, die Risiken in der Lieferkette betreffen: Sie verlangt vom Hersteller, sicherzustellen, dass das Produkt zum Zeitpunkt der Veröffentlichung frei von bekannten ausnutzbaren Sicherheitslücken ist und dass dieses Sicherheitsniveau während des gesamten Produktlebenszyklus aufrechterhalten wird. Die naheliegende Strategie zur Erfüllung dieser Anforderung besteht darin, sich ausschließlich auf die neuesten Versionen von Drittanbieter-Abhängigkeiten zu verlassen, die frei von bekannten Sicherheitslücken sind (Common Vulnerabilities and Exposures/CVE4).

Um zu vermeiden, von bekannten Sicherheitslücken betroffen zu werden, bei denen es nicht möglich ist, einfach die neueste Softwareversion zu verwenden, müssen die Auswirkungen bekannter Sicherheitslücken bewertet und entweder als gemindert oder nicht zutreffend eingestuft werden, oder — falls sie tatsächlich ausnutzbar sind — auf individueller Ebene gemindert werden, z. B. durch Rückportierung von Sicherheitspatches. In der Regel ist die Folgenabschätzung, um festzustellen, ob bekannte Sicherheitslücken behoben werden müssen, ein manueller Prozess, bei dem die CVE, die zugehörigen Patches und die Ressourcen in Kombination mit der Zielumgebung oder dem Quellcode analysiert werden.

Um den Aufwand manueller Folgenabschätzungen für jede bekannte Sicherheitslücke zu reduzieren, kann eine binäre Software-Kompositionsanalyse (SCA), die in den Kontext der Konfiguration und Einrichtung des Zielprodukts gestellt wird, diesen Prozess enorm unterstützen, da bekannte Sicherheitslücken mit geringer Wahrscheinlichkeit, dass sie die Konfiguration des Zielprodukts beeinträchtigen, automatisch ermittelt und verworfen werden. Auf diese Weise kann der Schwerpunkt auf die Behebung der verbleibenden bekannten ausnutzbaren Sicherheitslücken gelegt werden. Binary SCA optimiert manuelle Folgenabschätzungen, indem Schwachstellen mit geringem Risiko automatisch ignoriert werden und der Schwerpunkt im Verhältnis zum Design des Zielprodukts auf ausnutzbare Schwachstellen gelegt wird.

Governance

Die CRA definiert zahlreiche Anforderungen, die auch Fragen im Zusammenhang mit der Lieferkette abdecken:

• Softwarekomponenten müssen identifiziert und eine Softwareliste (SBOM) muss verwaltet werden.
• Sicherheitslücken müssen unverzüglich behoben werden und Sicherheitsupdates müssen an die betroffenen Benutzer verteilt werden.
• Produkte müssen regelmäßig getestet und auf ihr Sicherheitsniveau überprüft werden.
• Für alle Komponenten von Drittanbietern ist die gebotene Sorgfalt erforderlich. Es muss sichergestellt werden, dass solche Komponenten das allgemeine Sicherheitsniveau des Produkts nicht gefährden.

WIE KANN DIE LIEFERKETTEN-STEUERUNG EINGEHALTEN WERDEN?

Jetzt ist die Einführung von Tools zur Analyse der Softwarekomposition von entscheidender Bedeutung. Die Analyse der Softwarezusammensetzung (SCA) beschreibt den automatisierten Prozess zur Bestimmung der Softwarekomponenten (Open Source und COTS), die in einem Endprodukt enthalten sind. Das Ergebnis einer SCA ist eine SBOM, die entweder aus Quellcode, Metadaten wie Paketmanagerinformationen oder aus einer Binärdarstellung abgeleitet wird. Da in der Regel nicht garantiert werden kann, dass Quellcode für alle Softwarekomponenten verfügbar ist, die von Drittanbietern entlang der Lieferkette bereitgestellt werden, kann SCA sich oft nur auf kompilierte binäre Repräsentationen einer Softwarekomponente verlassen.
Durch die Einbeziehung binärer SCA in den Prozess zur Identifizierung und Verwaltung von Sicherheitsrisiken im Zusammenhang mit Komponenten von Drittanbietern, die im Produkt verwendet werden, kann die Generierung des Inventars von Softwarekomponenten von Drittanbietern automatisiert werden. Dies wird erreicht, indem der binäre Firmware-Build dekonstruiert wird, um sicherzustellen, dass alle Softwarekomponenten, die letztendlich den Benutzern der Produkte zur Verfügung gestellt werden, untersucht werden können.

Die SBOM umfasst identifizierte Softwarekomponenten, zugehörige Versionen sowie das enthaltene Patch-Level. Dieselbe Folgenabschätzung bekannter Sicherheitslücken, die für die erste Version des Produkts durchgeführt wurde, muss für jede neu veröffentlichte Sicherheitslücke, die einen Teil des Produkts betrifft, wiederholt werden. Basierend auf der SBOM können bekannte Sicherheitslücken identifiziert werden, die jeden Teil des Produkts betreffen. Dieser Vorgang muss regelmäßig wiederholt werden, um einen aktuellen Überblick über die Sicherheitslücken zu erhalten, die das Produkt betreffen.

SBOMS MÜSSEN DEN BINÄRCODE AUS DER LIEFERKETTE ENTHALTEN

Ein automatisiertes „Security Quality Gate“ mit binärem SCA als Teil des Build-Prozesses unterstützt den Prozess der Überprüfung, dass ein Produkt oder Produkt-Upgrade erst veröffentlicht wird, wenn die sicherheitsrelevanten Probleme behoben wurden. Da Release-Pipelines automatisch ausfallen, wenn ausnutzbare Sicherheitslücken identifiziert werden, kann sichergestellt werden, dass sicherheitsrelevante Probleme, die durch Software von Drittanbietern verursacht werden, so früh wie möglich behoben werden.

Die ONEKEY Product Security Platform ermöglicht es Herstellern (Händler/Importeur), ihre Produktsicherheit in mehreren Schritten während des gesamten Produktlebenszyklus zu automatisieren:

Die einzigartige und proprietäre Binärextraktionstechnologie von ONEKEY ermöglicht eine tiefere und genauere Analyse des binären Firmware-Images, ohne dass Quellcode erforderlich ist. ONEKEY generiert automatisch eine detaillierte SBOM, einschließlich der Softwareabhängigkeiten auf allen Ebenen der Firmware. Als Nächstes verwendet ONEKEY auf der Grundlage künstlicher Intelligenz und maschinellen Lernens einen NLP-Ansatz (Natural Language Processing), um festzustellen, ob es öffentlich bekannte Sicherheitslücken gibt, die diese Softwareversion betreffen. Darüber hinaus analysiert der KI/ML-basierte Ansatz von ONEKEY automatisch die Voraussetzungen für die Ausnutzbarkeit der Sicherheitslücken. In einer integrierten, automatisierten Folgenabschätzung wird das Zielgerät analysiert, ob die Voraussetzungen für die Ausnutzbarkeit erfüllt sind, und nicht relevante Sicherheitslücken herausgefiltert. Dieser einzigartige Ansatz verkürzt die Reaktionszeiten, da die manuelle Folgenabschätzung erheblich reduziert wird und die Möglichkeit besteht, dass Entwicklungs- und Product Security Incident Response Teams (PSIRT) eingesetzt werden

Die ONEKEY Product Security Platform bietet automatisierte Sicherheitsprozesse und -kontrollen, die im EU-Cyber Resilience Act vorgeschrieben sind:

ONEKEY kann eine SBOM einfach aus einem binären Firmware-Image generieren. Die SBOM kann sowohl in maschinenlesbaren (d. h. CyclonedX, SPDX) als auch in menschenlesbaren Formaten (CSV, EXCEL) exportiert werden, um sie anderen Systemen, Endbenutzern und Aufsichtsbehörden zur Verfügung zu stellen. Das Firmware-Monitoring von ONEKEY analysiert das Zielprodukt täglich auf neue Zero-Day-Schwachstellen oder bekannte Sicherheitslücken und führt automatische AI/ML-basierte Folgenabschätzungen für alle identifizierten Sicherheitslücken durch. Dies ermöglicht es Herstellern, in kürzester Zeit auf neue Sicherheitslücken zu reagieren und Sicherheitspatches zu erstellen und zu verteilen. Analyse und Überwachung zur automatisierten Sicherheitsprüfung von Komponenten von Drittanbietern — richten Sie ONEKEY einfach als Quality Gate für alle Komponenten oder Produkte von Drittanbietern ein.

CRA MELDEPFLICHTEN

ANFORDERUNGEN DER LIEFERKETTE AN DIE BERICHTERSTATTUNG

Ein zentrales Ziel der CRA ist die Förderung des Austauschs und der Zusammenarbeit zwischen verschiedenen Interessengruppen in digitalen Ökosystemen. Daher müssen Nutzer und Marktüberwachungsbehörden mit relevanten sicherheitsrelevanten Informationen über Produkte versorgt werden, und es ist notwendig, CRA-spezifische Unterlagen zur Verfügung zu stellen.

• Die Hersteller sind verpflichtet, während der Lebensdauer des Produkts Informationen über ausgenutzte Sicherheitslücken an die Marktüberwachungsbehörden und die ENISA weiterzugeben. Dazu gehören auch Sicherheitslücken, die Komponenten von Drittanbietern betreffen, die in einem Produkt enthalten sind.
• Benutzer und Behörden müssen darüber informiert werden, welche Maßnahmen zur Schadensbegrenzung ergriffen werden können und wann Sicherheitspatches verfügbar sind.
• Darüber hinaus müssen Hersteller von Drittanbieterkomponenten und Betreuer von Open-Source-Software informiert werden, wenn Anwendungen, die unter ihrer Kontrolle stehen, von einer Sicherheitslücke betroffen sind.

AUSWIRKUNGEN AUF HÄNDLER
UND IMPORTEURE

Diese Anforderungen unterstreichen, dass Sicherheit nicht nur eine einmalige Anstrengung ist. Es ist ein Prozess und erfordert eine kontinuierliche Wartung. Regelmäßige Überprüfung der SBOM einer Firmware auf neu veröffentlichte Sicherheitslücken. Gehen Sie proaktiv auf diese Anforderung ein und unterstützen Sie die Überprüfung und Bewertung sicherheitsrelevanter Probleme, indem die Anwendbarkeit validiert und die Auswirkungen auf das Produkt bestimmt werden.

Händlern und Importeuren fehlen häufig die technischen Fähigkeiten und die notwendigen Einblicke in die betroffenen Produkte, um die Einhaltung der CRA zuverlässig feststellen zu können. Um sich nicht ausschließlich auf die Selbsteinschätzung des Herstellers zu verlassen, können Händler und Importeure dieselben Techniken anwenden, um die SBOM aus der Binärdatei zu generieren Firmware und um alle bekannten ausnutzbaren Sicherheitslücken aufzudecken.

UNTERSTÜTZUNG für CRA EINHALTUNG?

Strenge Sicherheits- und Berichtspraktiken, wie sie von der CRA gefordert werden, erhöhen den Aufwand für die bestehenden Produktentwicklungszyklen. Dennoch sind sie eine Notwendigkeit, um den heutigen erhöhten Sicherheitsanforderungen und der ständig wachsenden Bedrohungslandschaft gerecht zu werden. Und natürlich, um die regulatorischen Anforderungen der ENISA zu erfüllen und Strafen von bis zu 15 Millionen Euro oder 2,5% des weltweiten Jahresumsatzes zu vermeiden.

Es stehen in der ONEKEY Plattform verschiedene Tools zur Verfügung, um die Dokumentation, Prozesse und die Automatisierung der Cybersicherheit zu verbessern. Um die Einführung von CRA zu erleichtern, steht innerhalb der Produktsicherheitsplattform von ONEKEY ein automatisierter Support zur Verfügung, der das Schwachstellenmanagement oder die Bewertung der Lieferkette unterstützt und bei der Erfüllung der Berichts- und Dokumentationsanforderungen hilft. Darüber hinaus bietet ONEKEY fachkundige Beratung und Beratungsressourcen, um Hersteller, Importeure und Händler bei der Einhaltung der CRA zu unterstützen.

AUTOMATION & SUPPORT TO ACHIEVE & MAINTAIN CRA SECURITY REQUIREMENTS & COMPLIANCE

ONEKEY’S SECURITY EXPERTS’ ADVICE & AUTOMATION

In addition to reducing manual efforts by adding automated controls to processes required by the CRA, ONEKEY aids manufacturers, importers, and distributors of products with digital elements in adopting processes required by the CRA with gap analyses and implementation support.

ONEKEY‘s automated firmware security analysis platform can automatically detect and report violations of essential cybersecurity requirements as defined in Section 1 of Annex I of the CRA. Expanding on ONEKEY’s automated capabilities, ONEKEY’s technical experts and security researchers are also available to identify gaps to a product’s adherence to the CRA and to conduct penetration tests and vulnerability assessments on affected connected devices.

KEY TAKE AWAYS

Manufacturers need to act now to ensure product compliance:

• With attacks on connected devices on the rise, ENISA has defined essential requirements to increase the level of security of connected devices and established a framework to foster cooperation and information sharing on new vulnerabilities and emerging threats.
• CRA provides the toolset to produce such cyber-resilient connected devices, especially from a supply-chain risk’s perspective.
• To meet elevated security and compliance requirements and to tackle supply-chain risks, implementation of automated security and compliance controls, i.e., holistic binary software analysis, are required. Automated initial software analysis and continuous monitoring will substantially reduce efforts for implementation and maintaining CRA compliance.
• The ONEKEY platform automates essential cybersecurity and compliance processes, as required by the CRA. Vulnerability management, assessment, prioritization and monitoring are practically automated, and the required reporting obligation is also met through extensive reporting.

Interested in further discussion with our security experts on how to achieve and maintain your CRA product security compliance? Please contact our security experts at: experts@onekey.com