:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/66/66663fb55130791b4fb9775e2c6bc20e/0115056185.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/5e/405e9a7158844a3b1c403d4e106f5c64/0115101339.jpeg "Dass IT-Sicherheit auf die Management- und Geschäftsleitungsebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die EU-Direktive NIS-2 dieses Credo in entsprechende gesetzliche Regelungen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c3/79/c37904becb849d8b2f9535b2b979da3f/0113634011.jpeg "Ein Cyber-physisches System besteht aus Mechanik, Software und vernetzter Informationstechnik zum Zweck der Steuerung und des Betrieb komplexer Anlagen und Infrastrukturen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Herausforderungen beim EU Cyber Resilience Act EU-Sicherheitsanforderungen für digitale Produkte
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Mit dem EU Cyber Resilience Act (CRA) will die EU-Kommission zukünftig die Anforderungen an die Sicherheit von Produkten mit digitalen Komponenten verbindlich regeln. Die dazu notwendigen Gesetze und Vorgaben wurden in Zusammenarbeit mit der Wirtschaft entwickelt.
Das ambitionierte Ziel des EU Cyber Resilience Act ist es, Bürger, aber auch Unternehmen, Behörden und Organisationen besser vor Cyberangriffen zu schützen. Dazu soll zum einen ein einheitlicher, kohärenter Rahmen für die Einhaltung der Cybersicherheitsvorschriften in der EU geschaffen werden. Zum anderen erhöht der CRA die Anforderungen hinsichtlich der Transparenz von Cybersicherheitspraktiken und -eigenschaften bei Produkten und seitens der Hersteller. Dazu sollen diese in Zukunft sicherstellen, dass Produkte mit digitalen Bestandteilen weniger Schwachstellen aufweisen. Außerdem bleiben die Anbieter während des gesamten Lebenszyklus eines Produktes für dessen Sicherheit verantwortlich, und sie müssen gleichzeitig dafür sorgen, dass Endverbraucher die Produkte so sicher wie möglich betreiben können.
Während in der Vergangenheit viele Regeln und Gesetze vor allem den Schutz von Unternehmen, Behörden und Organisationen im Blick hatten, soll der EU Cyber Resilience Act gezielt auch im privaten Umfeld greifen, um EU-Bürger besser vor Cyberattacken zu schützen. Es gibt mehr und mehr vernetzte und digitalisierte Produkte, die vor allem in privaten Haushalten zum Einsatz kommen. Allerdings sind sie kaum jemals so konzipiert, dass sie ausreichend Schutz vor Cyberattacken bieten. Beispiele dafür sind vor allem Überwachungskameras im Home-Bereich, Babyphons, digitale Türschlösser oder unsichere Smart-Home-Steuerungen, die Cyberkriminellen Zugang zu praktisch allen Bereichen des alltäglichen Lebens verschaffen.
Das Internet of Things – wo Licht ist, da ist auch Schatten
Geräte im Internet of Things schaffen nicht nur im privaten Umfeld ein riesiges Potenzial, sondern haben auch etliche Risiken im Gepäck. Mittlerweile nutzen auch über ein Drittel aller Unternehmen Geräte, die über das Internet of Things ferngesteuert werden. Sie übernehmen vielfältige Aufgaben und kommen als Technologien zum Energiemanagement, zur Wartung von Maschinen, zum Nachverfolgen des Kundenverhaltens und in Produktionsprozessen zum Einsatz.
Gleichzeitig nutzt über ein Drittel aller Privathaushalte vernetzte Geräte zur Steuerung der Beleuchtung für Alarmanlagen, digitale Schließanlagen und zur Videoüberwachung. Heizungsanlagen sind ebenfalls oft mit dem Internet verbunden. Die CRA-Kategorien „Standard“ und „Klasse 1“ umfassen mit über 90 Prozent in diesem Bereich besonders viele Geräte. Alle Produkte dieser Kategorie müssen zwingend eine Selbstüberprüfung durchführen. Für die Klassen 1 bis 3 kommt ein Konformitätshinweis durch Anwendung eines Standards oder eine Bewertung durch Dritte hinzu.
Statistiken deuten darauf hin, dass bereits bis 2025 mehr als 75 Milliarden IoT-Geräte im Einsatz sein werden. Diese Zahlen zeigen deutlich, dass das Internet of Things im Speziellen, aber auch die Digitalisierung im Allgemeinem gesamtgesellschaftlich einen hohen Durchdringungsgrad erreicht haben – und damit verbunden ein entsprechendes Risikopotenzial.
Die Anforderungen an Produkte steigen
Der CRA enthält Anforderungen, die Unternehmen bei der Produktion von Geräten beachten müssen, um die Sicherheit von digitalen Lösungen in sämtlichen Bereichen zu gewährleisten. Dabei soll bereits beim Design und der Gestaltung der Produkte die Sicherheit im Vordergrund stehen. Bei der Herstellung muss zudem darauf geachtet werden, dass Hard- und Software maximal sicher eingesetzt werden können (Security by Design).
Der CRA geht aber noch einen Schritt weiter. Die Cybersicherheit der Produkte muss über den gesamten Lebenszyklus hinweg aufrechterhalten werden. Für Firmen ist das mit einigem Aufwand verbunden. Denn hierzu zählen das Schließen von Sicherheitslücken innerhalb einer Software sowie das komplette Schwachstellen-Management inklusive dem Bereitstellen und einfachen Installieren von Updates auf den Endgeräten. Das Schwachstellen-Management soll gewährleisten, dass Sicherheitslücken schnell erkannt und genauso schnell geschlossen werden. Vorgaben zur Überwachung der Geräte auf Angriffe aus dem Cyberspace spielen ebenfalls eine Rolle. Man wagt zu prognostizieren, dass mit diesem Anforderungsprofil nicht nur die Nutzer, sondern auch die Hersteller überlastet sein werden.
Das Gefahrenpotenzial wächst, die Gesellschaft muss als Ganzes reagieren
Die neuen Anforderungen seitens des EU Cyber Resilience Act, setzen eine Infrastruktur voraus, mit der sich Geräte auch aus dem Internet und im Internet schützen lassen. Eine verbesserte Firmware für Babyphons und smarte Thermostate allein kann das nicht regeln. Ein Beispiel ist Stalkingware. Bei Stalkingware handelt es sich um Schadprogramme, die sich auf Geräten des Opfers installiert und danach den Zugriff auf alle Funktionen und Daten freigibt. Nicht nur in Deutschland steigt die Nutzung rapide an. Allein für diese Art von Schadprogramm verzeichneten Experten zuletzt einen Nutzungsanstieg von über 77 Prozent. Daneben lauern unzählige weitere Gefahren, vor denen die EU ihre Bürger, Unternehmen, Behörden und Organisationen schützen will. Die Frage ist allerdings, ob die Vorgaben des CRA dafür ausreichen.
Herausforderungen beim EU Cyber Resilience Act
Alle Beteiligten stehen vor nicht ganz geringen Herausforderungen. Schließlich geht es nicht nur um die Sicherheit der Produkte. Es geht auch um den sicheren Datenverkehr im Internet und den Zugriff auf die einzelnen Geräte aus Internet und Cloud. Die Devices und die Kommunikation digitaler Produkte lässt sich kaum über bessere Firmware oder eine sichere Produktgestaltung allein garantieren, auch wenn dies unabdingbare Komponenten sind. Es sind zusätzliche Ansätze gefragt, die mit den aktuellen Herausforderungen zurechtkommen.
Dazu dienen Lösungen, welche die Kommunikation und Zugriffe zwischen Anwendern und Geräten in Echtzeit schützen und die da positioniert sind, wo die Kommunikation stattfindet. Also im globalen Internet, der Cloud und innerhalb der Netzwerke, die bei der jeweiligen Kommunikation eine Rolle spielen. Dieser Sachverhalt ist im EU Cyber Resilience Act nicht deutlich genug herausgearbeitet. Er ist aber eine wichtige Basis für das ambitionierte Ziel: Mehr Sicherheit für alle EU-Bürger und Geräte im Cyberspace.
Die Geräte kommunizieren in der Cloud und im globalen Internet. Dort tauschen sie Daten aus, und von dort aus greifen die Anwender auf die Geräte zu. Leider ist es auch genau der Ort, an dem die entsprechenden Angriffe stattfinden. Aus diesem Grund ist es sinnvoll, den Schutz vor Cyberkriminellen, Hackern, Malware und anderen Gefahren ebenfalls dort zu positionieren und aus der Cloud heraus den Schutz der Strukturen aufzubauen. Deshalb stuft die CRA diese Lösungen in die oben erwähnten Kategorien der Klassen 1 und 2 ein.
Ein Ansatz ist SASE, kurz für Secure Access Service Edge, ein modernes Sicherheitskonzept für Netzwerkinfrastrukturen. Ein Dienstleister kümmert sich um sämtliche Sicherheitsleistungen und Funktionen eines Cloud-Netzwerkes. Bei SASE handelt es sich weniger um eine neue Technologie als vielmehr um einen ganzheitlichen Ansatz. Nach der Definition von Gartner aus dem Jahr 2019 verbindet und sichert SASE alle Unternehmenseinheiten - Zweigstellen, Rechenzentren, Remote-Benutzer, IaaS- und SaaS-Ressourcen. Sicherheit und Netzwerkverarbeitung laufen primär in der SASE-Cloud, wobei jeder "Edge" auf die entsprechende Technologie angewiesen ist, um sich mit der SASE-Cloud zu verbinden.
Das modular aufgebaute Netzwerk bietet einen Einstiegspunkt für die Anwender, die nach erfolgreichem Zugriff die verschiedenen Clouddienste nutzen, die durch den SASE-Dienst geschützt werden. Das gilt für Produktionsanlagen wie für digitale Türschlösser und smarte Thermostate. Unternehmen, die digitale Produkte herstellen, müssen in Zukunft dafür sorgen, dass die Geräte so gut wie möglich in der Cloud geschützt sind. Außerdem muss die Agentur der Europäischen Union für Cybersicherheit (ENISA) innerhalb von 24 Stunden nach Bekanntwerden „einer aktiv ausgenutzten Schwachstelle in einem Produkt mit digitalen Elementen“ oder „eines Vorfalls, der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt“, durch den Hersteller des Produktes informiert werden. Unternehmen sollten sich darüber im Klaren sein, dass sie bei Verstößen eine Geldstrafe von bis zu 15 Millionen Euro riskieren.
SASE ist genau der richtige Ansatz, und er passt perfekt zum Konzept des EU Cyber Resilience Act. Nur der Rundumschutz durch sichere Entwicklung, sichere Hard- und Software und sichere Kommunikation hält, was der EU Cyber Resilience Act verspricht. Mittels SASE werden Sicherheit und Netzwerk in die Cloud verlagert, zusammen mit den Benutzern, Anwendungen und Daten. Der Schutz wird dort aufgebaut, wo die Angriffe entstehen, im Cyberspace.
Über den Autor: Andreas Bandel ist Area Director DACH und EE bei Cato Networks.
(ID:49197951)
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/13/441308ff843586c1023b6d993a9ba077/0112599838.jpeg "Ob CRA, NIS-2 oder die CER-Richtlinie: Halten sich Unternehmen nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen. Umso wichtiger ist eine strukturierte und ganzheitliche Cybersecurity-Strategie. (Bild: Alexander Limbach - stock.adobe.com)")