14.11.2024 • News

Fraunhofer SIT: Athene-Whitepaper zum Cyber Resilience Act

Das Nationale Forschungszentrum für angewandte Cybersicherheit Athene hat ein Whitepaper veröffentlicht, das Unternehmen bei der technischen Umsetzung des EU Cyber Resilience Acts (CRA) unterstützt. Das Whitepaper richtet sich an Hersteller und Händler von vernetzten Produkten und gibt konkrete Handlungsempfehlungen zur CRA-konformen Gestaltung von Unternehmensabläufen. Diskutiert wird zum Beispiel der Umgang mit Schwachstellen, die automatisierte Erstellung von Software-Stücklisten (SBOMs) und die Integration von Sicherheitstests in den Entwicklungsprozess.

Der EU Cyber Resilience Act stellt erstmals EU-weit einheitliche Anforderungen an die Cybersicherheit vernetzter Hard- und Softwareprodukte und ist seit Oktober in Kraft. Für Hersteller und Händler dieser Produkte läuft seitdem eine Umsetzungsfrist von 36 Monaten, um ihre Prozesse CRA-konform zu gestalten – wenig Zeit für die betroffenen Unternehmen, um für ihre Produkte weiterhin Zugang zum EU-Markt zu erhalten.

Um Firmen frühzeitig zu unterstützen, haben Athene-Forschende konkrete Handlungsempfehlungen zur technischen Umsetzung der CRA-Anforderungen zusammengestellt. Sie gehen dabei auf zentrale Aspekte des CRA ein, wie die Bewertung von Cybersicherheitsrisiken, den Umgang mit Schwachstellen, die Erstellung von Software-Stücklisten (SBOM) sowie die Durchführung von Sicherheitstests. Auch Prozessanforderungen wie die Implementierung einer koordinierten Schwachstellenstrategie und Meldepflichten werden praxisnah erläutert.

Konkrete Hilfestellungen

Die Athene-Forschenden empfehlen, bereits bei der Auswahl von Software-Komponenten auf die IT-Sicherheit zu achten, und haben hierfür eine Checkliste bereitgestellt. Darüber hinaus sollten Hersteller Sicherheitstests bereits in den Entwicklungsprozess integrieren und regelmäßig wiederholen – dazu sollten externe Tester immer mal gewechselt werden. Auch Empfehlungen für den Einsatz automatisierter Werkzeuge werden gegeben. Für den vom CRA geforderten Prozess zur Schwachstellenmeldung sind im Whitepaper konkrete Ansätze aufgelistet, etwa zur Ausgestaltung der Meldewege und zu Meldepflichten an die Behörden.

„Eine rechtzeitige Auseinandersetzung mit den CRA-Anforderungen ist für Unternehmen essenziell“, so Dr. Steven Arzt, Athene-Experte für sichere Softwareentwicklung. „Unser Whitepaper bietet dafür eine strukturierte Orientierung und ermöglicht es Verantwortlichen, sich rechtzeitig auf die neuen Vorgaben einzustellen.“ Die vorgestellten Empfehlungen basieren auf praxiserprobten Maßnahmen. Da die Umsetzung jedoch stark von der Art des Produkts und den damit verbundenen Risiken abhängt, betonen die Athene-Forschenden, dass es nicht die eine Lösung gibt, die für alle passt. Das Whitepaper versteht sich als Einstieg und Orientierungshilfe und kann hier kostenlos heruntergeladen werden.

Business Partner

Fraunhofer SIT Institut für Sichere Informationstechnologie

Rheinstraße 75
64295 Darmstadt
Deutschland

Kontakt zum Business Partner







Meist gelesen