Für die Hersteller vernetzter Geräte, Maschinen und Anlagen besteht beim Einsatz von Open-Source-Software in ihren Produkten aufgrund einer neuen EU-Regulierung besondere Vorsicht.
Open-Source Programme selbst unterliegen nicht den strengen Regeln des bald in Kraft tretenden Cyber Resilience Act (CRA), die Hersteller von Produkten die Open-Source verwenden hingegen schon. Vor dieser „Open-Source-Falle“ warnt Jan Wendenburg, CEO des Düsseldorfer Cybersicherheitsunternehmens ONEKEY und sein Cybersicherheits-Expertenteam. Die von der EU auf den Weg gebrachte CRA-Regulierung verlangt von den Herstellern oder Inverkehrbringern (Importeure, Distributoren) von Connected Devices, dass sie diese auch nach der Auslieferung mit stets neuen Software Updates versorgen, um sie dauerhaft gegen Hackerangriffe zu schützen. Bei schwerwiegenden Verstößen gegen den Cyber Resilience Act können Unternehmen mit Bußgeldern von bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des weltweiten Jahresumsatzes bestraft werden, je nachdem, welcher Betrag höher ist. „Wenn Open-Source-Software mit ausnutzbaren Schwachstellen in neuen vernetzten Geräten verkauft wird, haftet nicht automatisch der Softwareanbieter, sondern immer derjenige, der das Produkt mit der integrierten Software auf den Markt bringt“, verdeutlicht Jan Wendenburg.
Open Source als Synonym für potenziell unsichere Software?
Der Hintergrund: Die EU trägt beim Cyber Resilience Act den Besonderheiten der Open-Source-Community Rechnung. Dadurch sollen nicht-kommerzielle Projekte, Hochschulen, Organisationen der Zivilgesellschaft und öffentliche Verwaltungen von den strengen Regularien in Bezug auf Cybersicherheit befreit werden. „Das ist zwar einerseits lobenswert, weil damit Forschung, Entwicklung und ehrenamtliches Engagement gefördert wird, aber andererseits könnten die geringeren Anforderungen zu potenziell unsicherer Software führen“, analysiert Cybersicherheitsexperte Jan Wendenburg.
Die Sonderrolle der sogenannten „Stewards“ von Open-Source-Projekten im Cyber Resilience Act bewertet Jan Wendenburg ebenfalls ambivalent. Für diese Organisationen, die in einem geschäftlichen Umfeld Open-Source-Software entwickeln, sieht die CRA-Regulierung abgeschwächte Sicherheitsregeln vor. So sind sie beispielweise von Geldstrafen vollständig ausgenommen. Immerhin müssen sie eine Cybersicherheitsstrategie für ihre Programme vorweisen, dürfen erkannte Schwachstellen in der Software nicht ignorieren und müssen mit den CRA-Behörden zusammenarbeiten.
Cyber Resilience Act von Anfang an löchrig
„Bei allem Verständnis für die Open-Source-Community, ist durch die zahlreichen Ausnahmen und Abschwächungen für die Akteure auf diesem Sektor, der Schutzwall gegen Cyberkriminelle, den die EU mit dem Cyber Resilience Act gerade aufbaut, von Anfang an löchrig geworden“, analysiert Jan Wendenburg. Er verweist auf die Diskrepanz zwischen den niedrigeren Anforderungen bei der Entwicklung von Open-Source-Programmen einerseits und der vollständigen Pflichterfüllung andererseits, sobald die Software als Bestandteil eines „Produkts mit digitalen Elementen“ kommerziell genutzt wird. „Die Hersteller von OT- und IoT-Geräten sind daher gut beraten, ihre Open-Source-Aktivitäten neu zu überdenken“, empfiehlt der ONEKEY-CEO. Gemeint sind damit maschinelle Steuerungen (Operation Technology, OT), wie sie in der Industrie 4.0 breitflächig zum Einsatz kommen, und Geräte für das Internet of Things (IoT), also beispielsweise im Smart Home.
Immer mehr Open Source bei OT und IoT
Nach aktuellem Stand wird Open-Source-Technologie zunehmend in der Entwicklung und im Einsatz von OT- und IoT-Plattformen verwendet. Über 100 Open-Source-Projekte für OT/IoT seien alleine in EU-Initiativen dokumentiert, die eine große Bandbreite von Softwarekomponenten abdeckten, wie etwa Gateways, Middleware für Edge-Computing und Cloud-Plattformen. Die EU fördere aktiv Open-Source-Projekte für den OT/IoT-Sektor.
Jan Wendenburg analysiert: „Der Einsatz von Open Source bringt viele Vorteile, aber auch erhebliche Herausforderungen bei der OT- und IoT-Integration mit sich. Mit der CRA-Regulierung kommen zusätzliche Auflagen in Sachen Sicherheit hinzu, die es zu erfüllen gilt. Die neue Dimension liegt dabei in der Haftung: Jeder Fehler kann einen Produkthersteller im wahrsten Sinne des Wortes teuer zu stehen kommen.“
Software Bill of Materials und Schwachstellenprüfung unerlässlich
Der ONEKEY-CEO rät den Herstellern vernetzter Geräte, Maschinen und Anlagen zu einer automatischen SBOM- und Schwachstellenanalyse, bevor die Produkte auf den Markt gebracht werden. Das Kürzel steht für „Software Bill of Materials“, einer Stückliste aller Softwarekomponenten, in der die Komponenten festgestellt werden. Anschließend wird die Cyberresilienz auf Schwachstellen geprüft und dokumentiert. Dabei erfolgt zuerst ein Abgleich mit der CVE-Datenbank aller bekannten Softwareschwachstellen (Common Vulnerabilities and Exposures), die vom Massachusetts Institute of Technology Research and Engineering (MITRE) im Auftrag der US-Regierung verwaltet wird. Jeden Monat kommen zwischen 500 und 2.000 neue Einträge über bekannt werdende Sicherheitslücken hinzu. Etwa 25 bis 30 Prozent davon entfallen auf Open-Source-Software, schätzen Experten. Danach wird auf unbekannte, sogenannte Zero-Day Schwachstellen geprüft. „Allerdings genügt es laut CRA nicht, diesen Check nur bei der Auslieferung eines neuen OT/IoT-Produktes auf den Markt durchzuführen, sondern es muss über die gesamte Produklebensdauer hinweg immer wieder neu geprüft werden“, stellt Jan Wendenburg klar. Er ergänzt: „Bei IoT-Geräten etwa für das Smart Home wird üblicherweise von fünf Jahren Einsatzdauer ausgegangen, aber bei maschinellen Steuerungen für die Industrie 4.0 kann der Lebenszyklus bei zehn, 20 oder mehr Jahren liegen.“
(pd/ONEKEY)