Cyber Resilienz

Die EU wird ein Gesetz für Cyber resiliente Systeme verabschieden. Vom Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) wurde im Juli dazu bereits eine erste Richtlinie veröffentlicht. Worum geht es dabei? 

Ein Cyber resilientes System liefert trotz Cyber Attacken kontinuierlich die vorgesehenen Ergebnisse. Diese Widerstandsfähigkeit ist essenziell für IT-Systeme und kritische Infrastrukturen.

Ereignisse wie z. B. Cyber Attacken können die Verfügbarkeit, Integrität oder Vertraulichkeit von vernetzten IT-Systemen negativ beeinflussen. Cyber Sicherheit dient dazu, Systeme, Netzwerke und Daten vor Kriminalität zu schützen. In Abgrenzung dazu geht es bei Cyber Resilienz darum, falls die Sicherheit dennoch erfolgreich kompromittiert wurde, die Auswirkungen zu minimieren.

Unternehmen müssen sich darauf vorbereiten, nicht nur Attacken zu verhindern, sondern sich von Attacken auch schnellstmöglich erfolgreich erholen zu können. Dazu müssen sie in der Lage sein, die Auswirkungen identifizieren, eingrenzen sowie den sicheren Zustand zeitnah wieder erreichen zu können.

Im September 2022 hat die Europäische Kommission einen Gesetzentwurf für den Cyber Resilience Act (kurz CRA) vorgeschlagen. Die Verordnung soll für alle Produkte mit digitalen Elementen (Soft- und Hardware-Produkte) gelten. Produkte, die bereits über andere Verordnungen geregelt sind (z. B. Medizinprodukte, Diagnostika, Kraftfahrzeuge, zivile Luftfahrt) werden voraussichtlich ausgenommen.

Motivation für das Gesetz sind die Cyber Attacken, die bis 2021 zu geschätzten jährlichen Kosten von 5,5 Billionen Euro führten. Die Sicherheit von digitalen Produkten soll grundlegend verbessert werden.

Die Verordnung führt dazu verschiedene Pflichten für Hersteller, Einführer und Händler ein. Diese beinhalten unter anderem:

• Kontaktmöglichkeiten
• EU-Konformitätserklärung
• Risikobewertungen
• Dokumentationen und Anleitungen
• Sicherheitsupdates
• Software-Stücklisten
• Meldepflichten für Sicherheitsvorfälle und Schwachstellen

Und einige dieser Pflichten gelten während des gesamten Produktlebenszyklus (max. 5 Jahre).

Es werden Mindestanforderungen an die Produktsicherheit gestellt, wie z. B.

• Auslieferung ohne bekannte Schwachstellen
• Schutz vor unbefugtem Zugriff
• Moderne Verschlüsselung
• Integritätsschutz
• Datenminimierung
• Verfügbarkeit
• Schadensminimierung

Auf Schwachstellen ist regelmäßig zu testen. Sie müssen dokumentiert und behoben werden. Für Schwachstellenmeldungen müssen Kontaktinformationen bereitgestellt werden. Zur Ermittlung von Schwachstellen müssen maschinenlesbare Software-Stücklisten erstellt werden.

Ab Inkrafttreten des CRA haben Unternehmen voraussichtlich eine Übergangszeit von zwei Jahren zur Umsetzung. Die Meldepflichten beginnen bereits nach einem Jahr.

Das BSI hat dazu passend am 12.07.2023 die "Technische Richtlinie TR-03183: Cyber-Resilienz-Anforderungen an Hersteller und Produkte - Teil 2: Software Bill of Materials (SBOM)" veröffentlicht.

Teil 1 mit den "Allgemeinen Anforderungen" soll noch bis Ende 2023 nachgereicht werden und wird vor allem die allgemeinen Anforderungen an die Hersteller und Produkte thematisieren.

Der bereits veröffentlichte Teil 2 macht dagegen ganz konkrete Vorgaben für die "Software Bill of Materials (SBOM)", die in Teil 1 gefordert wird.

Die Software Bill of Materials (kurz SBOM) ist ein maschinenverarbeitbares Inventar einer Software. Sie enthält Informationen zu der Software selbst als auch zu den verwendeten Komponenten in der Software.

Mit Hilfe dieses Inventars können Schwachstelleninformationen und Security Advisories zu Softwareteilen geprüft werden.

Softwarehersteller werden dazu verpflichtet, eines der zwei offenen SBOM-Formate "CycloneDX" oder "Software Package Data eXchange" zu verwenden.

Dies wird in Zukunft Softwareherstellern ermöglichen, schneller auf Probleme in verwendeten Komponenten zu reagieren. Und sofern SBOMs mitgeliefert werden, eröffnet dies Nutzern wie Unternehmen die Möglichkeit, schneller auf Probleme in der eigenen Soft- und Hardwareinfrastruktur zu reagieren.

Wir können Sie dabei unterstützen, Ihre Systeme resilienter zu konzipieren und Ihre Risiken zu verringern, sodass Sie bestens vorbereitet sind, bevor das CRA Gesetz verabschiedet wird und die SBOM verpflichtend ist.

Durch eine gute gesicherte Netzwerkinfrastruktur, eine redundante Auslegung von Anbindungen und Servern, eine intelligente Backupsteuerung und durch ein gut geplantes Monitoring minimieren Sie Ausfallwahrscheinlichkeiten, Störungskosten sowie Wiederherstellungsaufwand.

Unsere Experten beraten Sie gerne zu Ihrer passenden Lösung!