Thought Leadership
Das Cyberresilienzgesetz (Cyber Resilience Act – CRA) soll die Sicherheit in der Lieferkette von Software-Produkten verbessern – und somit die IT-Security von Digitalprodukten.
Was bedeutet das konkret für Hersteller, Kunden und Anwender? Wir sprachen mit Michael Barth, Abteilungsleiter Strategy bei genua.
Wie profitieren Kunden und Verbraucher vom CRA?
Michael Barth: Der CRA verpflichtet Hersteller, die Cybersicherheit von Produkten, die digitale Elemente enthalten, zu berücksichtigen. Und zwar von Tag 1 der Konzeption und Entwicklung über den gesamten Lebenszyklus eines Produkts. Es verpflichtet Hersteller, Sicherheits-Updates für mindestens fünf Jahre auszuliefern – beziehungsweise für die erwartete Lebenszeit eines Produkts, wenn diese kürzer ist. Das Gesetz fordert also, was wir bei genua – auf einem deutlich höheren Niveau – seit jeher unter Security by Design und Security by Default verstehen und leben.
Wenn Hersteller durch aufwendige Verfahren unter anderem für ihre sicheren Entwicklungsprozesse zertifiziert sind, hilft das Kunden beim Identifizieren und Auswählen sicherer Produkte. Weiterverarbeitende Betriebe müssen zudem nachweisen, ihr Möglichstes für die Cybersicherheit getan zu haben – auch in ihrer Lieferkette. Hier gehen CRA und NIS2 Hand in Hand. Dieses Vorgehen kann die Cybersicherheit verbessern. Davon profitieren letztlich Nutzer in allen Branchen.
Woran wird man sichere IT-Produkte in Zukunft erkennen?
Michael Barth: Der CRA definiert Mindestanforderungen in Bezug auf Security by Design für alle Produkte, die digital Daten austauschen und auf dem europäischen Markt verkauft werden sollen. Hersteller, die diese erfüllen, können ihre Hard- und Softwareprodukte mit dem CE-Zeichen versehen.
Damit nicht genug: Es werden auch höhere Security-Level definiert und in Zukunft europaweit angeglichen. Konkret wird es drei Klassen geben: Nicht kritische, kritische und hochkritische Produkte mit digitalen Elementen. Dabei orientiert sich die EU an den Kriterien der Agentur der Europäischen Union für Cybersicherheit ENISA und den EU Common Criteria, kurz EUCC.
Eine der Folgen wird die einfachere Anerkennung von Zertifizierungen über Landesgrenzen hinweg sein – sofern die Bewertungskriterien vergleichbar sind. Das BSI schließt bereits bilaterale Abkommen mit anderen Ländern für die gegenseitige Anerkennung im Rahmen von Common-Criteria-Zertifizierungen. Dieses Vorgehen wird in Zukunft vereinfacht.
Inwiefern wird der CRA genua betreffen?
Michael Barth: genua ist weitreichend zertifiziert, seine IT-Security-Produkte unterliegen regelmäßigen externen Überprüfungen, die auch Anforderungen an den Entwicklungs- und Produktdesign-Prozess haben. Damit können wir im Vergleich zu anderen Anbietern wahrscheinlich bereits zahlreiche Anforderungen erfüllen. Wir blicken daher entspannt auf den CRA. Für uns erwächst daraus eher ein Wettbewerbsvorteil.
Andererseits wird wohl der Konkurrenzdruck steigen, weil auch andere Anbieter ihre Standards erhöhen müssen. Auf der anderen Seite wird die Vergleichbarkeit auf einem gemeinsamen europäischen Binnenmarkt Absatzchancen erhöhen. Für die Nutzer bedeutet das voraussichtlich: Mehr Auswahl, niedrigere Preise und bessere Qualität, weil sich die Produkte und Zertifizierungen besser vergleichen lassen.
Der CRA definiert Mindestanforderungen in Bezug auf Security by Design für alle Produkte, die digital Daten austauschen und auf dem europäischen Markt verkauft werden sollen.
Michael Barth, genua
Gibt es Bereiche, in denen der CRA nicht greift?
Michael Barth: Ja, die gibt es. Was der CRA zum Beispiel nicht vereinheitlicht, sind die Vorgaben für den Geheimschutz. Das bleibt zurecht Sache der nationalen Regulierungen.
Birgt der CRA möglicherweise auch Risiken?
Michael Barth: Besonders bei den im CRA geforderten Software-Stücklisten, kurz SBOMs, muss man hinterfragen, ob sie Anwender nicht in falscher Sicherheit wiegen. Die wenigsten SBOMs werden detailliert alle Informationen enthalten, sondern eher einen Überblick geben. Selbst wenn sehr viele oder sogar alle Details aufgeführt sind, ist immer noch keine Aussage darüber möglich, ob eine Schwachstelle in einer Komponente tatsächlich Auswirkungen auf das eingesetzte Produkt hat. Auf der anderen Seite haben uns IT-Security-Zwischenfälle der letzten Zeit deutlich vor Augen geführt, wie wichtig es ist, auch die eigene Software-Lieferkette genau im Blick zu halten.
Daher sind Zertifizierungen so wichtig: Nutzer gehen damit sicher, dass Produkte genau auf diese Fragen hin abgeklopft wurden und bestmögliche IT-Security bieten.
Herr Barth, wir danken für dieses Gespräch.
