Cyber-Resilienz der EU wird zum Kraftakt für die Industrie
Time-to-Market wird ohne automatische Analyse-Routinen zum Wagnis
Düsseldorf (ots)
Alle Produkte mit digitalen Elementen - vom Router über smarte Kühlschränke bis zum Fernseher und vor allem jede moderne Industrieanlage - sollen für die Nutzer zukünftig keine Cyber-Risiken mehr darstellen. Das fordert die EU-Kommission und legt mit dem Cyber Resilience Act - einem Gesetz zur "Cyber-Widerstandsfähigkeit" (Download der vorläufigen PDF-Version) - fest, dass Produkte "mit digitalen Elementen" wie Hard- und Software zukünftig während des vollen Lebenszyklus vor durch Hacker ausnutzbaren Schwachstellen geschützt werden müssen. "Dieses Gesetz wird zu einem Kraftakt für die Industrie. Die Regelung ist überfällig und sehr sinnvoll, da vor allem in den letzten Monaten mehr und mehr solcher Schwachstellen von smarten Geräten gnadenlos ausgenutzt oder als Einfallstor in Netzwerke verwendet wurden. Die Time-to-Market für neue Produkte und Anlagen wird allerdings enorm unter dem Regelwerk leiden, und ohne automatisierte Analyse- und Prüfroutinen ist der Prozess kaum abbildbar", sagt Jan Wendenburg, Geschäftsführer von ONEKEY. Der europäische IoT-Security-Spezialist ermöglicht erstmals die softwaregestützte automatisierte Analyse von Binärsoftware zur Erkennung bislang unbekannter Schwachstellen - bis hin zu Zero-Day-Lücken.
Software-Stücklisten (SBOM) lösen viele Probleme
Bis vor kurzem waren sich weder Nutzer noch Hersteller oder Inverkehrbringer darüber bewusst, aus welchen "Zutaten" Produkte mit digitalen Elementen und Netzwerkverbindungen bestehen. Das ist allerdings ein Problem, denn die Nutzung von Drittanbieter-Codes läuft außer Kontrolle. Generell wird Software schon lange nicht mehr in einer Hand entwickelt, sondern aus Bausteinen, d. h. Komponenten zusammengesetzt - egal ob Open-Source- oder Binär-Lizenz-Software. Diese Komponentenbauweise wird genutzt, um die Kosten in der Entwicklung zu senken und Zeit zu sparen. Die Herausforderung besteht darin, dass die Komponenten wieder Komponenten enthalten - und so tief verschachtelt die eigene Firmware, Malware, Bugs oder andere Schwachstellen enthalten kann, von denen der Entwickler nichts weiß. "Ohne ein robustes und zuverlässiges Prüfverfahren für den Code können sich Unternehmen der Bedrohungen nicht sicher sein und stehen gemäß Cyber Resilience Act mit einem Bein im zukünftig strafbaren Raum", so Wendenburg weiter. ONEKEY ist weltweit einer der wenigen Anbieter, die mit der automatisierten Firmware-Analyse bereits heute ohne Source Code die SBOM (Software Bill of Materials, d.h. Software-Stückliste) erstellen und bei Updates diese auch stetig und voll automatisiert weiter pflegen können.
Industrielle Steuersysteme besonders gefährdet
Die EU-Gesetzgebung sieht zudem vor, dass Hersteller für einen Zeitraum von fünf Jahren oder die vorgesehene Lebenszeit eines Produktes - der kürzere Zeitraum ist relevant - die Sicherheit und Integrität der Bauteile oder Produkte und Anlagen gewährleisten müssen. Hier sieht der Security-Experte von ONEKEY insbesondere bei industriellen Steuerungen Nachholbedarf: "IoT-Anlagen sind in der Industrie - in Fabriken, im Service und der Fertigung - wesentlich länger im Einsatz, selbst wenn der Hersteller nach fünf Jahren das Produkt einstellt. Hier müssen sich vor allem die nutzenden Unternehmen im Klaren sein, dass der Schutz des EU-Gesetzes irgendwann endet und die Eigenverantwortung beginnt", warnt Jan Wendenburg von ONEKEY. In Zukunft verboten ist zudem das Inverkehrbringen von Produkten mit bekannten Schwachstellen. Damit endet das heute oft übliche Copy-Paste-Engineering, welches häufig unerkannte oder auch bekannte Fehler erneut in neue Produkte einbaut. Zukünftig müssen verwendete Komponenten oder Endergebnisse geprüft werden um zu verhindern, dass alte Schwachstellen in neue Produkte kopiert werden.
Fragen Sie sich, ob Sie auf den Cyber Resilience Act vorbereitet sind? Die Cybersecurity-Experten von ONEKEY unterstützen Sie gern. Hier finden Sie weitere Details.
Über ONEKEY:
ONEKEY ist ein führender europäischer Spezialist für automatische Security & Compliance Analysen für Geräte in der Industrie (IIoT), Produktion (OT) und dem Internet der Dinge (IoT). Über automatisch erstellte "Digital Twins" und "Software Bill of Materials (SBOM)" der Geräte analysiert ONEKEY eigenständig Firmware auf kritische Sicherheitslücken und Compliance Verstöße, ganz ohne Sourcecode, Geräte- oder Netzwerkzugriff. Schwachstellen für Angriffe und Sicherheitsrisiken werden in kürzester Zeit identifiziert und können so gezielt behoben werden. Die einfach in die Software-Entwicklung und Procurement-Prozesse zu integrierende Lösung ermöglicht für Hersteller, Inverkehrbringer und Nutzer von IoT-Technologie die schnelle, automatische Sicherheits- und Compliance-Prüfung bereits vor einer Nutzung und darüber hinaus 24/7 über den kompletten Produktlebenszyklus. Führende Unternehmen, wie z. B. SWISSCOM, VERBUND AG und ZYXEL, nutzen heute diese Plattform - Universitäten und Forschungseinrichtungen können die ONEKEY Plattform für Studienzwecke kostenfrei nutzen.
Kontakt:
ONEKEY GmbH,
Sara Fortmann, E-Mail: sara.fortmann@onekey.com,
Kaiserswerther Straße 45, 40477 Düsseldorf, Deutschland,
Web: www.onekey.com
PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
Tel.: +49 611 973150, E-Mail: team@euromarcom.de,
Web: www.euromarcom.de
Original-Content von: ONEKEY GmbH, übermittelt durch news aktuell