Im März 2024 wurde der Cyber Resilience Act (CRA) vom Europäischen Parlament angenommen. Während der CRA für Kunden, also private Verbraucher und Unternehmen, in der EU mit Blick auf eine bessere Produktsicherheit Vorteile bringt, müssen sich manche Hersteller bis zur Einführung noch ins Zeug legen und anpassen. Was dahintersteckt.
Worum geht es?
Die EU-Verordnung zielt darauf ab, dass erstmalig horizontale – also von der Produktkategorie unabhängige – Cybersicherheitsanforderungen für den Schutz von digitalen Produkten eingeführt werden. Der CRA gilt ab 11. Dezember 2027, Meldepflichten bestehen jedoch bereits ab September 2026.
Hier ein aktuelles Beispiel mit Bezug auf Geräte vom Hersteller “D-Link”: Ältere Modellreihen von Routern dieses Herstellers sind noch funktionstüchtig und stabil, sie werden nach wie vor bei Kunden betrieben. Für diese Modelle gibt es aber keine Updates mehr, weil sie “End of Life (EoL)” sind und daher im Rahmen der Herstellerproduktpolitik* keine Pflege und Wartung mehr erfolgt.
Dies ist in der Praxis durchaus üblich, auch andere Hersteller machen es so! Denn Technologie und Software entwickeln sich ja immer weiter und jeder Hersteller entscheidet selbst, ob und wie lange Support geboten wird. Dies ist aus Kosten- oder Technologiegründen nachvollziehbar. Die Geräte stehen im harten Wettbewerb um den besten Preis: Wartung kostet Geld!
Die Anwender der Router haben die fehlenden Updates aber wohl noch nicht bemerkt (dies liesse sich mit einem einfachen Scan ermitteln) oder haben - vielleicht unter straffem Kostenregime - die Entscheidung getroffen, das Risiko einzugehen. Beides wäre bedauerlich.
Aber kontrollieren Sie ihre Geräte zu dem Thema "Updates" in regelmäßigen Abständen oder haben Update-Mechanismen implementiert?
Es bleibt die Alternative, diese auszutauschen gegen sichere Geräte mit aktuellen Schutzmechanismen mit laufenden Updates oder die “unsicheren” weiter zu betreiben. Bleibt noch die Frage der Organisation von EoL-Phasen, wenn es keine Verbindung zwischen Produktanwender und Hersteller gibt. Wie erfährt der Kunde davon, daß Systeme EoL sind? Es sind Millionen von Routern in Betrieb!
Hersteller müssen gemäß CRA zudem über den Zeitpunkt des Kaufs hinaus die Verantwortung für die IT-Sicherheit ihrer Produkte übernehmen, also etwa für alle Produkte mit digitalen Elementen, von Smartwatches und Bluetooth-Lautsprechern bis hin zu komplexen industriellen Anlagen wie Verpackungsmaschinen, sofern diese nicht unter andere spezifische EU-Cybersecurity-Regularien fallen (z. B. Medizingeräte).
Wichtig zu wissen ist vor allem, dass die Anforderungen für den ganzen Lebenszyklus gelten, diese also in der Produktentwicklungsphase, in der aktiven Nutzung mit Wartungsupdates und bis zum Ende der Nutzung relevant sind.
Wesentlich sind u. a. folgende Punkte:
Durchführung von Risiko-Assessments um Cybersicherheitsrisiken in der Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphase des Produkts zu bewerten
Durchlauf eines Konformitätsbewertungsverfahrens (produktabhängig)
Bereitstellung von Sicherheitsupdates über den gesamten Lebenszyklus des Produkts
Meldung von Schwachstellen innerhalb von 24 Stunden nach Erkennung
Erstellung einer Software-Bill of Materials (SBOM)
Gewährleistung von Vertraulichkeit und Integrität der verarbeiteten Daten mittels Security by Design
Für Anwender sind verständliche Informationen zu bekannten Schwachstellen, verfügbaren Updates und einem sicheren Gebrauch des Produkts zur Verfügung zu stellen
Dies gilt nicht nur für die Hersteller, sondern auch für Importeure oder Händler, die entsprechende Produkte im EU-Binnenmarkt in den Verkehr bringen.
Nicht nur Mehraufwand für Unternehmen – es gibt positive Effekte!
Für die Anwender ist der CRA natürlich positiv, da mehr Produktsicherheit über die ganze Laufzeit geschaffen wird! Zudem wird es sicher mehr strukturelle Maßnahmen zu Qualität und Prozessen geben, was manchem Anbieter guttut.
So wird der CRA eine Steigerung des Reifegrades der Unternehmen zur Folge haben.
Und es sind für KMU CRA-Erleichterungen vorgehen, Hersteller müssen die Sicherheitsupdates nur in den ersten fünf Jahren kostenlos bereitstellen. Hinzu kommt: Open-Source-Lösungen haben verringerte Anforderungen.
So wird es für die Anbieter zunächst erst einmal ein „mehr“ Aufwand heißen, sofern diese noch nicht den Anforderungen genügen. Das wird sich aber einspielen. Und siehe "Router-Beispiel" gibt es zu tun.
Auf jeden Fall gilt: Auf die Anforderungen müssen sich Unternehmen bis 2027 erst einmal einstellen.
So sollte sich jeder kritisch fragen, ob er die Anforderungen in der jetzigen Organisation erfüllen könnte! Nun argumentieren vielleicht manche, dass es bis 2026, bis die Meldepflichten gelten, noch lange dauert – man also locker für das Jahr 2026 budgetieren kann. Aber wie lange ist der Weg, dies umzusetzen, reichen ein paar Monate? Habe ich dann die Mittel und das Personal?
Frühzeitig starten, um Mindeststandards rechtzeitig zu erreichen
Hersteller werden einwenden, sie müssten mehr tun und kostenoptimierte (gewinnmaximierende) Minimal-Lösungen wären nicht mehr möglich. Und sicher ist noch einiges an der Auslegung und Ausgestaltung zu tun; kein Gesetz ist perfekt, es gibt in vielerlei Hinsicht offene Fragen, die an der Gültigkeit des CRA aber nichts ändern.
Was ist also bis 2026 – dem Beginn der Meldepflichten – für den Mindeststandard zu tun?
Das Mindset in der Organisation ist zu schaffen
Die Organisation ist anzupassen
Die Ausbildung der Mitarbeiter ist zu ergänzen als Basis zur Erreichung der oben genannten Ziele
Die nötigen Prozesse sind zu gestalten oder zu ändern (inklusive Softwareentwicklung, Test, Wartung, End of life-Handhabung)
Die technische Umsetzung ist an Standards zu orientieren (beispielsweise gemäß BSI TR-03183)
Laufende und zukünftige Entwicklungsstrategien sind zu prüfen für alle Produkte, die unter dem CRA auf den Markt kommen
Das war nur ein kurzer Einblick. Es lohnt sich, die ganzen Dokumente rund um den CRA zu studieren und die Entwicklung zu verfolgen. Auch bei Rechtsfragen wird sich noch etwas tun und Auslegungsfragen sind zu beantworten.
Unterm Strich
Die digitale Resilienz unserer Produktwelt wird besser werden! Aber wie immer passiert das nicht von selbst, alle haben ihren Teil beizutragen. Vermutlich werden zum Nutzen der Sicherheit einige Geräte auch teurer, da die Investitionen rentabel sein müssen. Andere Geräte werden vom Markt genommen werden, wenn sich der Pflegeaufwand nicht lohnt.
Aber sind wir realistisch und selbstkritisch: Viele Cybersicherheits-Probleme der heutigen Zeit (etwa Geräte ohne Updates) würde es nicht geben, wenn die beschriebenen Maßnahmen schon in der Vergangenheit von den Verantwortlichen proaktiv umgesetzt worden wären!
Warum musste erst die Regulatorik den Rahmen setzen? Wir empfehlen: Laufen Sie heute schon los, denn die Aufgaben greifen in viele Bereiche hinein und die Kultur muss sich anpassen, sie lassen sich nicht in ein paar Wochen umsetzen!
Legende zu D-Link Routern:
Hinweis: Die o.g. Ausführungen stellen keine Rechtsberatung dar und wurden nach bestem Wissen und Gewissen erstellt.
Commentaires