Cyber Resilience Act macht Schwachstellenmanagement zur Pflicht
Wir leben und arbeiten in der digitalen Welt. Das Thema Cybersicherheit betrifft daher uns alle – sowohl Unternehmen und staatliche Verwaltungen, als auch jeden einzelnen von uns. Dies gilt nicht für unsere eigene direkte Nutzung von digitalen Systemen, sondern – manchmal sogar im Besonderen – auch wo Andere für uns digitalisiert, teilweise wünschenswerte, aber auch unersetzliche Dienste erbringen. Existentiell wird es spätestens dort wo wir von kritischen Infrastrukturen (KRITIS) abhängig sind: Wasser, Strom, Gesundheit, Sicherheit und einige mehr.
Durch die fortschreitendende Vernetzung wird nahezu jedes digitale Gerät ein mögliches Einfalltor für Cyberangriffe. Cybersicherheit ist daher ein technisches, ein gesellschaftliches und ein Verbraucherthema.
Die Bundesregierung setzt sinnvollerweise auf (Zitat aus dem Koalitionsvertrag der SPD, Bündnis 90 / Die Grünen und der FDP) „ein wirksames Schwachstellenmanagement, mit dem Ziel Sicherheitslücken zu schließen“. Um eine allgemeine Widerstandfähigkeit gegen Cyberangriffe in Europa zu begründen, hat die EU den Cyber Resilience Act (CRA) ins Leben gerufen.
Cyber Resilience Act macht Schwachstellenmanagement zur Pflicht
Im Cyber Resilience Act (CRA) haben sich die EU-Mitgliedsstaaten auf eine gemeinsame Position geeinigt – das gab der Rat der EU Ende Juli in einer Pressemitteilung bekannt und berichtet optimistisch:
„Diese Einigung ist ein Erfolg des Engagements der EU für einen sicheren und geschützten digitalen Binnenmarkt. (…) Mit dem Verordnungsentwurf werden verbindliche Cybersicherheitsanforderungen für die Konzeption, Entwicklung, Herstellung und das Inverkehrbringen von Hardware- und Softwareprodukten eingeführt, um sich überschneidende Anforderungen aufgrund unterschiedlicher Rechtsvorschriften in den EU-Mitgliedstaaten zu vermeiden.“
(https://www.consilium.europa.eu/de/press/press-releases/2023/07/19/cyber-resilience-act-member-states-agree-common-position-on-security-requirements-for-digital-products/)
Der CRA soll die digitale Sicherheit durch gemeinsame Cybersicherheitsstandards für vernetzte Geräte und Dienste nachhaltig in Europa verankern. Damit hat der CRA nicht nur hohe Auswirkungen auf die Hersteller von digitalen Geräten, die EU schafft auch einen neuen, normsetzenden Standard. Wir unterstützen als IT-Sicherheitsunternehmen seit 15 Jahren unsere Kunden dabei, den bestmöglichen Sicherheitsstandard zu erreichen. Die neue Normierung durch den CRA sehen wir als Chance, und helfen unseren Kunden gerne dabei, diese für noch mehr Sicherheit zu nutzen.
Sicherheit kontinuierlich nachweisen
Die neuen CRA-Regelungen zur Behandlung und Erkennung von Schwachstellen, die „die Cybersicherheit digitaler Produkte … gewährleisten, und Pflichten der Wirtschaftsakteure wie Einführer oder Händler in Bezug auf diese Verfahren“ regeln sollen, stellen viele Unternehmen vor Herausforderungen. Der Einsatz von Werkzeugen wie Greenbone’s Schwachstellenmanagement macht es dabei deutlich einfacher, den neuen Anforderungen nachzukommen. Dies geht auch soweit, zu überprüfen, ob zum Beispiel Zulieferer die geforderten und zugesicherten Sicherheitsstandards erfüllen.
Mehr Verantwortung
Unternehmen sind durch den CRA aufgerufen, regelmäßig, dauerhaft und nachhaltig, Schwachstellenanalysen vorzunehmen und bei als „kritisch“ klassifizierten Produkten externe Audits vornehmen zu lassen. Besonders bei älteren Produkten kann das schwierig werden. Auch hilft Greenbone, weil wir solche, häufig unvollkommen dokumentierte Produkte, auch im laufenden Betrieb untersuchen können.
Dort wo unsere Kunden das heute schon regelmäßig tun, sind sie schnell handlungsfähig, und gewinnen wertvolle Zeit, mögliche Risiken zu mitigieren.
Jetzt aktiv werden
Der CRA führt Regeln zum Schutz digitaler Produkte ein, die bislang rechtlich nicht erfasst wurden, damit stehen Unternehmen neue und große Herausforderungen bevor, die die gesamte Supply Chain betreffen.
Wir können Ihnen helfen, den Anforderungen nachzukommen. Die Greenbone Enterprise Appliances, ermöglichen eine schnelle Compliance mit dem CRA. Unsere Experten beraten sie gerne.
Elmar Geese hat viele Jahre Erfahrung im Bereich IT und IT Sicherheit. Er ist seit 2018 in der Geschäftsleitung der Greenbone tätig, seit 2023 im Vorstand der Greenbone AG.
Besonders beschäftigen ihn die Themen Management, Sicherheit und das Management von Sicherheit, die sogenannte künstliche und menschliche Intelligenz, vor allem im Zusammenhang von Cybersecurity.
Als studierter Musiker ist er heute noch gerne an verschiedenen Instrumenten aktiv und ein großer Freund klassischer Musik.
