Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
4 2025 www markttechnik de 31 15 000 »Common Vulnerabilities and Exposures« kurz CVEs also Sicherheitslücken und Schwachstellen in Software auf der Website des National Institute of Standards and Technology NIST veröffentlicht wurden wird die Herausforderung für die Hersteller und Inverkehrbringer deutlich Unternehmen sind daher gut beraten sowohl eine schnelle effiziente CVE-Erkennung als auch ein kontinuierliches Impact-Assessment einzuführen also eine ständige Bewertung jeder einzelnen Schwachstelle um die eigenen Produkte besser zu durchleuchten und sich gegen schwerwiegende Folgen von Schwachstellenszenarien zu wappnen Der CRA fordert von allen Herstellern verpflichtende Prüfungen Überwachung und Dokumentation der Produkt-Cybersicherheit Hinzu kommt dass die CRA-Regelung den gesamten Lebenszyklus aller betroffenen Produkte umspannt von der Konzeptionsund Entwicklungsphase über den laufenden Einsatz bis zur Außerbetriebnahme Sicherheits-Updates für das Gerät die Maschine die Komponente oder die Software müssen mindestens fünf Jahre lang zur Verfügung gestellt werden Lediglich bei einer geringeren Nutzungsdauer darf die Versorgung mit Updates entsprechend kürzer ausfallen Indes sind in der Industrie häufig deutlich längere Laufzeiten von 10 20 oder mehr Jahren beim Einsatz zu verzeichnen entsprechend lang ist auch die Überwachung und der Software-Support zu kalkulieren Für diese Sicherheit muss nicht etwa nur der Hersteller sorgen denn der CRA betrifft ausdrücklich auch Importeure und Händler Es geht dem Gesetzgeber also darum die gesamte digitale Lieferkette im EU-Binnenmarkt zu schützen Cybersicherheit wird somit zu einer zentralen Voraussetzung für den Marktzugang in die EU Mit anderen Worten Es sind nicht nur EU-Firmen betroffen sondern alle Unternehmen weltweit also auch in Asien und den USA die Produkte in die EU liefern Software-Bill of Materials als Schlüssel zur Sicherheit Eine vollständige und korrekte Software-Bill of Materials SBOM also eine genaue Stückliste aller Softwarekomponenten stellt eine wichtige Grundlage für die Sicherheit dar gleichgültig ob es um ein Gerät eine Maschine oder ein sonstiges »Thing« im Sinne des Internet of Things IoT geht Das Spektrum reicht von Aktoren und Sensoren aller Art über Smart Devices bis hin zu Telematikgeräten um nur einige Beispiele zu nennen Daher messen sowohl die EU-Behörden als auch das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI der lückenlosen SBOM eine hohe Bedeutung bezüglich der Cybersicherheit zu Das BSI hat sogar eine eigene SBOM-Richtlinie herausgebracht Es nützt nichts wenn »die meisten« Komponenten sicher sind jedes IT-System ist nur so sicher wie das schwächste Glied Das ist im Grunde eine Binsenweisheit – und doch hat genau dieser Aspekt im Juli 2024 zum größten globalen IT-Ausfall der Geschichte geführt Ein fehlerhaftes Update einer einzigen Software hat weltweit rund 8 5 Millionen Windows-Rechner lahmgelegt Es war eine Panne kein Cyberangriff Aber es zeigte wie ein einzelner »Patzer« in einer Softwarekomponente ein ganzes System aus dem Tritt bringen kann In diesem Fall bemühte sich der Softwarelieferant um rasche Abhilfe für alle Betroffenen – doch genau damit ist im Falle einer Cyberattacke natürlich nicht zu rechnen Angesichts der Vielfalt an Software die in Geräten Maschinen und Anlagen steckt kann heutzutage kein Unternehmen mehr »händisch« eine SBOM erarbeiten geschweige denn pflegen Vielmehr bedarf es dazu automatisierter Self-Assessment-Tools zur kontinuierlichen Überwachung gängiger Standards und zur Erstellung einer stets aktuellen SBOM Das gilt umso mehr als der CRA wie dargelegt alle smarten Produkte wie etwa IoTund OT-Geräte sowie praktisch alle mit dem Internet verbundenen Anlagen umfasst Industrie 4 0 obliegt der Meldepflicht Werden neue Sicherheitslücken gefunden müssen sie laut CRA innerhalb von 24 Stunden an die nationalen Aufsichtsbehörden und Prozess des Product-Compliance-Lifecycle mit Nutzung des Compliance Wizard von Onekey Bild Onekey