Produkte im Fadenkreuz der Angreifer und die Antwort des CRA


Was können wir aus den bisherigen Vorfällen im Bereich der Produktsicherheit lernen?

In unserer von Zeit- und Kostendruck geprägten Welt können Produkt Hersteller schneller mit Sicherheitsproblemen konfrontiert werden, als es uns lieb ist.

Doch aus bestehenden Sicherheitsvorfällen können wir wertvolle Lektionen ziehen, wie zum Beispiel:
  • Schwachstellen in Produkten mit digitalen Elementen können reale Folgen haben
  • Security Features nachträglich hinzufügen kann teuer oder unmöglich sein
  • "Coordinated disclosure" Koordinierte Veröffentlichung gehört zum guten Stiel
  • Kunden sind über Schwachstellen und Gegenmaßnahmen geeignet zu informieren
  • Behörden sind in der Lage Produkte zu verbieten

Viele der oben genannten Punkte sind auch Anforderungen der CRA, wie z.B.:
  • Integration von Sicherheit bereits in der Desingsphase 
  • Behebung von Schwachstellen durch (automatische) Sicherheitsupdates
  • Einführung und Durchsetzung einer Politik zur koordinierten Offenlegung von Sicherheitslücken
  • Weitergabe und Offenlegung von Informationen über behobene Schwachstellen, sobald ein Security-Update zur Verfügung steht, usw.

Welche Produkte sind vom Cyber Resilience Act betroffen?

Default-Kategorie


  • Trifft auf 90% der Produkte zu. Eigenschaften dieser Produkte sind:
    • Keine schwerwiegende Auswirkung durch Sicherheitsvorfall
    • Keine Security Funktion
    • Keine Safety Auswirkung

  • Beispiele:
    Bildbearbeitungsprogramme
    Textverarbeitungsprogramme

Wichtige Produkte - Kategorie 1


  • Eigenschaften dieser Produkte sind:
    • Schwerwiegende Auswirkung durch Sicherheitsvorfall
    • Produkt hat Security Funktion
    • Safety Auswirkung

  • Beispiele:
    Passwort Manager
    Smart Home Assistenten
    VPN

Wichtige Produkte - Kategorie 2


  • Eigenschaften dieser Produkte sind:
    • Wie Wichtige Produkte-Kategorie 1, aber mit stärkeren Auswirkungen durch einen Sicherheitsvorfall

  • Beispiele:
    Hypervisoren
    Firewalls
    Manipulations-resistente Microprozessoren

Kritische Produkte


Eigenschaften dieser Produkte sind:
  • Wie Wichtige Produkte-Kategorie 2, aber mit noch stärkeren Auswirkungen
  • Kritische Produkte für die Umsetzung von NIS2

  • Beispiele:
    Hardware Geräte mit Security Boxes
    Smartcards
    Smart Meter Gateways

CRA Status 

Der CRA ist noch nicht in Kraft getreten, da das Gesetzgebungsverfahren noch nicht abgeschlossen ist. 

Der Act wurde bereits vom europäischen Parlament zugestimmt. 
Nach der Zustimmung des Rats der Europäischen Union ist die Verordnung offiziell angenommen. Danach erfolgt die Veröffentlichung im Amtsplatt der EU mit Bekanntgabe des Datums an dem die Verordnung in Kraft tritt. Das geschieht vermutlich schon im Sommer 2024.

Nachdem der CRA in Kraft getreten ist haben die Mitgliedsstaaten und Unternehmen 36 Monate Zeit die Anforderungen zu erfüllen.
Für die Umsetzung von Anforderungen zum Reporting von Schwachstellen und Incidents werden lediglich 21 Monate Zeit gegeben.

loaded_image

Steht mein Produkt vom EU-Stopp?  

Entdecke mit unserem kostenlosen Blueprint, ob dein Produkt vom CRA betroffen ist und wie du mit den Anforderungen umgehst.

Kontakt
Du bist an einem Gespräch interessiert oder hast eine Frage? Kontaktiere uns!