In der EU dürfen Hersteller zukünftig keine smarten Produkte mehr mit bekannten Sicherheitslücken in den Verkehr bringen – andernfalls drohen erhebliche Strafen.
Inhaltsverzeichnis
Von CVE zu CRA – Common Vulnerabilities and Exposures und der Cyber Resilience Act
Allein in den USA wurden im laufenden Jahr 2024 schon 14.286 CVEs auf der Website des National Institute of Standards and Technology (NIST) veröffentlicht. Diese “Common Vulnerabilities and Exposures” (CVE) kennzeichnen Sicherheitslücken und Schwachstellen in Computersystemen und Programmen, die Hackern eben Angriffe auf diese ermöglichen können. Nach dem kommenden Cyber Resilience Act (CRA) der EU dürfen Geräte nicht mehr mit bekannten Schwachstellen ausgeliefert werden. Sollten dennoch solche Schwachstellen auftreten, haften die Hersteller, Reseller oder Importeure und deren gesamte Unternehmensführung.
In Sachen Cyber-Resilienz besagt das Gesetz, dass die Kundschaft – sowohl privat als auch industriell – einen Anspruch auf sichere Software hat. Da der Wettlauf um das Entdecken von Schwachstellen weitergeht, sind Unternehmen gut beraten, eine effiziente CVE-Erkennung und ein Impact Assessment einzuführen, um ihre Produkte besser zu prüfen und sich vor den Folgen von Schwachstellen zu schützen.
Der Cyber Resilience Act verlangt von allen Herstellern verpflichtende Prüfungen, Überwachung und Dokumentation der Produkt-Cybersicherheit. Auch müssen sie auf unbekannte Schwachstellen, sogenannten Zero-Days, geprüft werden.
Auch Zero Days
Der Begriff Zero-Day beschreibt neu entdeckte Sicherheitslücken, über die andere ein System angreifen könnten, und bezieht sich auf die Null Tage, die Hersteller oder Developer Zeit haben, den Fehler zu beheben. Viele Hersteller kennen die potenziellen Schwachstellen ihrer Produkte nur unzureichend, insbesondere bei Industriesteuerungen, die oft Komponenten mit eigener Firmware von Zulieferunternehmen enthalten.
Generell können Hardware und Firmware sowie alle Geräte des Internet of Things (IoT) von solchen Schwachstellen betroffen sein. Dafür sind jetzt schon Werkzeuge verfügbar die eine Cybersicherheitsbewertung von Produkten mit digitalen Elementen ermöglichen. So werden beispielsweise automatische Schwachstellenerkennung, CVE-Priorisierung und -Filterung mit einem umfassenden, interaktiven Compliance-Fragebogen kombiniert, um Aufwand und Kosten von Cybersicherheits-Compliance-Prozessen zu reduziert und das Risiko drohender Bussgelder zu minimiert.
Risk-Assessment und Software Bill of Materials
Neben der Risikobewertung muss dabei auch die sogenannte “Software Bill of Materials (SBOM)” erstellt und überprüft werden. Das kann man sich wie eine Software-Lieferkette vorstellen, in der Komponenten, Dependencies und Bibliotheken aufgelistet werden, so dass man auch deren Schwachstellen früh genug entdecken kann. Manche erinnern sich noch an die Log4Shell-Schwachstelle, die unter dem CVE-2021-44228 firmierte.
Diese Schwachstelle war seit 2013 unentdeckt in der beliebten Bibliothek Log4j, mit der in Java Protokolle erstellt werden können. Log4Shell erlaubte nicht nur das Abgreifen von Informationen durch angreifende Parteien, sondern auch das ausführen von beliebigem Code auf den betroffenen Systemen. Neben Minecraft, Steam, Tencent QQ waren auch Apples iCloud und Amazon AWS betroffen. Die Enthüllung der Sicherheitslücke Log2Shell löste damals heftige Reaktionen von Cybersecurity-Experten aus. Das Cybersicherheitsunternehmen Tenable bezeichnete die Sicherheitslücke als "die grösste und kritischste Schwachstelle aller Zeiten", Ars Technica nannte sie "die wohl schwerwiegendste Schwachstelle aller Zeiten" und die Washington Post schrieb, die Beschreibungen der Sicherheitsexperten "grenzen an die Apokalypse".
Der Cyber Resilience Act soll nun in Bälde verabschiedet werden und dann mit Übergangsfristen von 12 bzw. 24 Monaten in Kraft treten. Ab dann ist Security by Design verpflichtend und beim Entdecken und Beheben einer Schwachstelle (oder wenn ein Hersteller über eine solche informiert wird), muss nicht nur die Kundschaft sondern innert 24 Stunden auch die Europäischen Agentur für Cybersicherheit (ENISA) darüber in Kenntnis gesetzt werden.
Das bedeutet, wer in Zukunft einen Smart TV oder ein Handy verkauft, importiert oder herstellt, muss darauf achten, dass alles sicher ist. Eine alte Version von Log4j zu benutzen etwa bedeutet, eine empfindliche Strafe von mithin bis zu 15 Millionen Euro oder 2.5 Prozent des weltweiten Jahresumsatzes. Das wird niemand leichtfertig riskieren wollen.
Und die Schweiz?
Während die Schweiz ja bekanntermassen nicht Teil der EU ist, hat der Cyber Resilience Act natürlich auch absehbar direkte Auswirkungen hierzulande. Kein Unternehmen kann mehr Produkte in die EU verkaufen, ohne den CRA zu berücksichtigen.
Dies bedeutet für Unternehmen, nicht nur Hersteller digitaler Produkte, alles natürlich erst mal viel Aufwand und Arbeit. Doch was kommt dabei raus? Hoffentlich sicherere Geräte für uns Konsumentinnen und Konsumenten. Denn wer will schon, dass der eigene Heizungsthermostat plötzlich Teil eines weltweiten Botnetzes wird? Einziges Problem, dass der CRA noch immer nicht an geht, sind alte Produkte. Wenn ein Gerät keine Updates mehr bekommt, können und sind höchstwahrscheinlich auch unzählige Sicherheitslücken noch vorhanden und werden vermutlich nie behoben werden.
Quellen: Europäische Kommission, is its, onekey