Mobile-Menu

Empfehlungen von ATHENE So integrieren Sie die CRA-An­for­de­rung­en in Ihre SecDevOps-Prozesse

Von Melanie Staudacher 2 min Lesedauer

Anbieter zum Thema

Fraunhofer-Institut für Sichere Informations- technologie SIT
Fsas Technologies GmbH
FAST LTA GmbH
FTAPI Software GmbH

ATHENE zeigt, wie Unternehmen die Anforderungen des Cyber Resilience Acts wirksam in ihre SecDevOps-Prozesse integrieren. Nicht nur, um die Deadline einzuhalten, sondern auch, um ihre Produktsicherheit zu erhöhen, schneller auf Schwachstellen zu reagieren und sich einen Wett­be­werbs­vor­teil durch Compliance zu schaffen.

Das Forschungszentrum ATHENE empfiehlt, die Anforderungen des Cyber Resilience Acts direkt in die SecDevOps-Pipeline zu integrieren – für automatisierte Sicherheit entlang des gesamten Produktlebenszyklus.(Bild: gemeinfrei)
Das Forschungszentrum ATHENE empfiehlt, die Anforderungen des Cyber Resilience Acts direkt in die SecDevOps-Pipeline zu integrieren – für automatisierte Sicherheit entlang des gesamten Produktlebenszyklus.
(Bild: gemeinfrei)

Das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE hat ein White­paper veröffentlicht, welches Unternehmen bei der Umsetzung des Cyber Resilience Acts (CRA) helfen soll. Dieser ist eine neue EU-Verordnung, die verbindliche Cybersicherheits­anfor­der­ungen für digitale Produkt vorschreibt. Bis zum 11. Dezember 2027 müssen diese Vorgaben umgesetzt sein.

Warum Cybersicherheit in die SecDevOps-Pipeline gehört

Laut ATHENE führt der CRA keine grundlegend neuen Prinzipien der Cybersicherheit ein. Stattdessen sollen bewährte Verfahren harmonisiert werden und eine einheitliche Umsetzung der Cybersicherheitsrichtlinien in den EU-Märkten erreicht werden. Doch viele Unternehmen wüssten gar nicht, wie sie mit der konkreten Umsetzung anfangen sollten.

Um Cybersicherheit über den gesamten Lebenszyklus hinweg – von der Planung über die Entwicklung bis hin zu Betrieb und Wartung – systematisch zu gewährleisten, empfiehlt das Forschungszentrum, die Anforderungen des Cyber Resilience Acts in die SecDevOps-Pipeline (Security Development and Operations) zu integrieren. Dabei handelt es sich um einen auto­ma­tisierten Entwicklungs- und Betriebsprozess, in dem Sicherheitsmaßnahmen von Anfang an und durchgängig in Softwareentwicklung, Testing, Auslieferung und Betrieb eingebunden sind. Im Unterschied zu DevSecOps, bei dem Sicherheit in bestehende Entwicklungsprozesse eingebettet wird, stellt SecDevOps die Sicherheitsanforderungen bereits zu Beginn in den Mittelpunkt und lässt darauf aufbauend Entwicklung und Betrieb folgen.

Dies kann unter anderem folgende Vorteile mit sich bringen:

  • Die Integration von CRA-Anforderungen in SecDevOps stellt sicher, dass gesetzliche Vorgaben wie Risikobewertung, Lieferkettensicherheit, Sicherheitsupdates und Dokumentation über den gesamten Produktlebenszyklus hinweg systematisch erfüllt werden.
  • Durch die Automatisierung sicherheitsrelevanter Aufgaben in Entwicklungsprozesse lassen sich diese effizienter gestalten, manuelle Aufwände reduzieren und Fehlerquellen minimieren.
  • Ein integrierter SecDevOps-Ansatz ermöglicht eine frühzeitige Erkennung von Risiken und Schwachstellen sowie eine schnellere Reaktion durch automatisierte Patches und koordinierte Meldungen.
  • Organisationen, die CRA-Vorgaben sichtbar und kontinuierlich umsetzen, stärken das Vertrauen von Kunden und Behörden, minimieren Haftungsrisiken und sichern sich somit einen Wettbewerbsvorteil.

CRA-Vorgaben entlang der SecDevOps-Phasen umsetzen

Damit die Integration in die verschiedenen Phasen der SecDevOps-Pipeline gelingt, hat ATHENE diese den Anforderungen des CRA zugeordnet:

CRA-Anforderung SecDevOps-Phase Unterstützende Mechanismen
Bedrohungs- und Risikoidentifikation Planung / Design Threat Modelling, Risikobewertungstools (z. B. OWASP Threat Dragon, STRIDE, MITRE ATT&CK, Space Shield)
Security-by-Design & Default Design / Implementierung Sicherheitsanforderungen, sichere Bibliotheken (z. B. abgeleitet aus Risikomodellen)
Schwachstellenmanagement Build / Test / Deployment / Betrieb SAST, DAST, SCA, Container-Scanning, Patch-Management, Abhängigkeitsmanagement (z. B. CodeQL, VUSC, OWASP Dependency-Check)
Sicherheitsvalidierung & Tests Test Automatisierte Sicherheitstests, manuelle Penetrationstests (z. B. Nikto, SQLmap)
Dokumentation & Rückverfolgbarkeit Alle Phasen Management von Entwicklungsartefakten, Erstellung von SBOMs, Logging (z. B. CycloneDX, SPDX)
Konformitäts- & Compliance-Prüfungen Release / Betrieb Compliance-as-Code, Policy-as-Code, Infrastructure-as-Code

Zusammenfassend lässt sich sagen, dass Unternehmen die Anforderungen des Cyber Resilience Act systematisch in ihre SecDevOps-Pipeline integrieren können, indem sie Sicherheitsmaßnahmen wie Risikobewertung, Schwachstellenmanagement und Compliance-Prüfungen automatisiert in alle Entwicklungs- und Betriebsphasen einbetten. Dadurch profitieren sie von effizienteren Prozessen, höherer Produktsicherheit, geringeren Reaktionszeiten bei Vorfällen und einem Wettbewerbsvorteil durch nachweisbare Cybersicherheits-Compliance.

(ID:50480229)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte