Christian Koch ist Senior Vice President Cybersecurity IT/OT, Innovations & Business Development bei NTT DATA DACH. (Quelle: NTT DATA)
Spätestens seit 2016 sollte eigentlich klar sein, welche Cybergefahren von vernetzten Geräten ausgehen, die grundlegende Sicherheitsanforderungen nicht erfüllen. Damals wurde ein Botnet bekannt, in dem rund 500.000 kompromittierte Geräte zusammengeschlossen waren: vor allem Router, Überwachungskameras, digitale Videorekorder und mit dem Internet verbundene Fernseher. Sie alle waren über Sicherheitslücken mit der Malware Mirai infiziert und für DDoS-Attacken missbraucht worden. Schnell wuchs das Botnet auf mehrere Millionen Geräte an und parallel dazu entstanden weitere Botnets auf Basis von Mirai und Mirai-Varianten – selbst heute tauchen noch neue Ableger der Malware und neue Botnets auf.
Da immer mehr Produkte mit Online-Funktionen ausgestattet werden, wächst für Verbraucher und Unternehmen die Gefahr, zum Opfer von Cyberattacken und Cyberkriminalität zu werden. Zumal sie häufig nur schwer erkennen können, wie sicher ein Produkt ist und wie lange es vom Hersteller mit Sicherheitsupdates versorgt wird. Aus diesem Grund legt die EU mit dem Cyber Resilience Act (CRA) verbindliche Sicherheitsanforderungen für Produkte fest, die mit anderen Geräten oder einem Netzwerk verbunden sind. Ausnahmen gibt es lediglich für einige Produktkategorien, die wie Autos oder Medizinprodukte bereits unter andere Vorschriften fallen.
Strenge Meldepflichten und hohe Strafen
Die meisten Verpflichtungen des CRA gelten ab dem 11. Dezember 2027 – die strengen Meldepflichten jedoch schon ab dem 11. September 2026. Ab diesem Zeitpunkt müssen Hersteller aktiv ausgenutzte Schwachstellen in ihren Produkten und schwerwiegende Sicherheitsvorfälle, die sich auf die Produktsicherheit auswirken, innerhalb von 24 h bei den zuständigen Behörden melden. Binnen 72 h sind detaillierte Informationen zur Schwachstelle beziehungsweise zu dem Sicherheitsvorfall und den ergriffenen Maßnahmen nachzureichen. Später ist dann noch ein Abschlussbericht fällig – bei Schwachstellen innerhalb von 14 Tagen, nachdem ein Patch oder andere Korrekturmaßnahmen zur Verfügung stehen, bei Sicherheitsvorfällen innerhalb eines Monats nach der initialen Meldung.
Darüber hinaus sollen Hersteller die Nutzer der betroffenen Produkte über Maßnahmen informieren, die diese ergreifen können, um die Auswirkungen der Schwachstelle oder des Sicherheitsvorfalls zu mindern, etwa das Installieren eines Patches oder eine Konfigurationsänderung.
Verstoßen Hersteller gegen die Meldepflichten – oder die im Anhang I der Verordnung aufgelisteten Security-Anforderungen – drohen Geldbußen von bis zu 15 Mio. € oder bis zu 2,5 % des weltweiten Jahresumsatzes. Um Geldbußen wegen ausbleibender oder unzureichender Meldungen zu vermeiden, benötigen Hersteller allerdings nicht nur interne Prozesse für die fristgerechte Benachrichtigung der Behörden. Sie müssen generell erst einmal in der Lage sein, Sicherheitslücken in selbst entwickelten Komponenten und in der Software von Drittanbietern zu erkennen und zu untersuchen, um die erforderlichen Informationen bereitstellen und geeignete Maßnahmen ergreifen zu können. Viele Hersteller von Produkten sind aktuell darauf allerdings nicht vorbereitet.
Security by Design wird zur Pflichtaufgabe
Damit Hersteller sichere Produkte auf den Markt bringen und sich um Schwachstellen kümmern, macht der CRA konkrete Vorgaben. Diese reichen von einer möglichst geringen Angriffsfläche und sicheren Standardkonfigurationen über das Vorhandensein von Update-Funktionen bis hin zu einem Schutz vor unbefugten Zugriffen und einem Schutz sämtlicher Daten vor Missbrauch und Manipulation. All das lässt sich gut mit Security by Design und Security by Default beschreiben und verpflichtet Hersteller im Grunde, Sicherheit bereits bei der Produktentwicklung zu berücksichtigen und ein Risikomanagement zu implementieren. Über die gesamte Lebensdauer eines Produkts hinweg müssen sie mögliche Risiken identifizieren, bewerten und beseitigen – oder zumindest minimieren.
Als Lebensdauer digitaler Produkte nennt die Verordnung mindestens fünf Jahre, wobei es bei Produkten, die nicht so lange genutzt werden, durchaus weniger sein dürfen. Umgekehrt sollen allerdings Produkte, die länger im Einsatz sind, auch länger gepflegt werden – Hersteller müssen dabei „die berechtigten Erwartungen der Nutzer“ berücksichtigen.
Entdeckt ein Hersteller in seinem Produkt eine Schwachstelle, verlangt der CRA, dass er sie „unverzüglich“ behebt, etwa durch die Bereitstellung von Patches. Diese müssen kostenlos sein und sollen möglichst unabhängig von funktionalen Updates verteilt werden. Zudem reicht es nicht, dass Hersteller passiv darauf warten, dass ihnen Kunden oder Sicherheitsexperten Schwachstellen melden, wofür eine Kontaktadresse angegeben werden muss. Sie sollen die Sicherheit ihrer Produkte überdies „regelmäßig und wirksam testen und überprüfen“.
Da in vielen Produkten nicht nur selbst entwickelte Software steckt, sondern auch Bibliotheken und Tools von Dritten zum Einsatz kommen, müssen Hersteller alle Komponenten dokumentieren und unter anderem eine Software-Stückliste erstellen. Diese auch Software Bill Of Materials (SBOM) genannte Liste hilft, Abhängigkeiten zu erkennen und Schwachstellen in fremden Softwarebestandteilen kontinuierlich zu monitoren und zu identifizieren, die sich auf die Sicherheit des eigenen Produkts auswirken.