CRA 2024: Was Unternehmen über die neuen Cybersicherheitsanforderungen wissen müssen

GIT SICHERHEIT: Herr Bamberg, der Cyber Resilience Act (CRA) ist nur eine gesetzliche Vorgabe in einer ganzen Reihe von EU-Verordnungen und Richtlinien, die sich mit dem Thema ­digitale Sicherheit befassen. Daher stellt sich die Frage, was es mit dem CRA konkret auf sich hat und vor allem, wer davon betroffen ist?

Stefan Bamberg: In verschiedenen Bereichen gibt es für die EU-Mitgliedsländer verschiedene Regularien wie NIS2 für Sicherheit in Netzwerken und Informationssystemen. Der Cyber Resilience Act (CRA) widmet sich der Cybersicherheit, das heißt EU-weit gibt es jetzt dafür einen rechtlichen Rahmen. Anwender und Unternehmen, die Produkte mit digitalen Komponenten kaufen und nutzen, sollen mit dem CRA vor Manipulationen und Angriffen beschützt werden.

Betroffen vom CRA sind mehr Unternehmen, als es auf den ersten Blick aussieht, denn im Mittelpunkt stehen Produkte mit digitalen Komponenten, die in der EU hergestellt, importiert oder vertrieben werden. Oder wenn die Produkte eine direkte oder indirekte Kommunikation mit anderen Geräten oder Netzwerken haben, beispielsweise eine elektrische Zahnbürste mit einer Bluetooth-Verbindung, die Daten an das Handy liefern kann. Zu den CRA-Ausnahmen zählen Produkte aus den Bereichen Medizintechnik, Automobil oder Luftfahrt, die sehr viel strengeren Regulierungen unterliegen.

Was müssen Produkthersteller tun, um die Konformität ihrer Produkte hinsichtlich der Vorgaben des CRA nachzuweisen?

Stefan Bamberg: Die Hersteller müssen sowohl bei der Konzeptionierung des Produkts, die eine Bedrohungsanalyse, dessen Bewertung und die Ableitung von Schutzmaßnahmen beinhaltet, aber auch bei der Entwicklung und der Produktion die Risiken für den vorgesehenen und zu erwartenden Gebrauch berücksichtigen – und alles muss detailliert dokumentiert werden. Der Kunden muss eine gute und verständliche Dokumentation erhalten, er muss das Gerät in einen sicheren Zustand, den Auslieferungszustand, zurückversetzen können und Kontaktdaten zur Kommunikation mit dem Hersteller erhalten.

Für jedes Produkt muss der Hersteller eine Konformitätserklärung erstellen, mit Angaben zum Produkt, zum Hersteller, der Verantwortlichkeit und Einhaltung der Normen. Es ist geregelt, wer diese Erklärung unterzeichnen darf: Im Standardfall ist dies der Hersteller selbst. Fällt das Produkt in die Klasse 1, dann kann der Hersteller unter Einhaltung relevanter Standards auch die Erklärung selbst unterzeichnen, während bei der Klasse 2 eine Zertifizierungsstelle eingeschaltet werden muss, ebenfalls bei hochkritischen Produkten, die auch Common Criteria oder ähnliches berücksichtigen.

Welche Konsequenzen könnten ­Herstellern drohen, die den CRA-Vorgaben nicht gerecht werden?

Stefan Bamberg: Hält sich ein Unternehmen nicht an die CRA-Vorgaben, dann drohen erhebliche Strafen. Beispielsweise ist es bei falschen, unvollständigen oder irreführenden Angaben gegenüber den Aufsichtsbehörden eine Geldbuße von bis zu 5 Millionen Euro oder bis zu 1 % des gesamten weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Werden grundlegende Anforderungen und Verpflichtungen des CRAs nicht erfüllt, dann geht es sogar um 10–15 Millionen Euro oder bis zu 2–2,5 % des gesamten weltweiten Jahresumsatzes – auch hier geht es dann um den höheren Betrag.

Mit welchen Lösungen unterstützt Wibu-Systems seine Kunden bei der Erfüllung der CRA-Anforderungen und für wen sind sie geeignet?

Stefan Bamberg: Die CodeMeter-Technologie bietet verschiedene Tools, beispielsweise CodeMeter API, CodeMeter Protection Suite, CodeMeter License Central oder CodeMeter License Portal. Nun zu den folgenden Anforderungen:

• Maßnahmen zur Wiederherstellung der Compliance: Die Hersteller müssen Korrekturmaßnahmen an ihren Produkten durchführen können, um die Compliance wieder herzustellen oder gegebenenfalls das Produkt vom Markt zu nehmen. Dies geht nur, wenn die Hersteller wissen, welcher Kunde welche Produkte in welcher Version im Einsatz hat. Liegen diese Informationen vor, dann kann er die betroffenen Kunden informieren und ein Update bereitstellen. Die Nutzungsrechte werden als Lizenzen sicher im CmContainer gespeichert: und zwar sicher in der Hardware CmDongle, in der softwarebasierten CmActLicense-Datei oder im CmCloudContainer in der Cloud. Der Hersteller kann Lizenzen entziehen und außer Betrieb nehmen, sodass der Anwender solch eine Lizenz nicht mehr nutzen kann, oder er wird sie durch eine aktuelle Version und die dazu erforderliche Lizenz ersetzen. Beispielsweise wird eine Lizenz für die Nutzung in einer bestimmten Region oder eine nicht mehr kompatible Lizenz aus dem CmContainer gelöscht. CodeMeter License Central und CodeMeter License Portal ermöglicht die bequeme und transparente Verwaltung von Lizenzen im Feld über verschiedene Ebenen hinweg, was auch für Rollen und Rechte gilt. Somit können Hersteller genau nachvollziehen, welcher Anwender welche Lizenzen im Feld nutzt.
  
  
• Zugriffskontrolle: Die Hersteller sind verpflichtet, einen Zugangsschutz gegen unautorisierte Nutzung aufzubauen, beispielsweise mittels Authentifizierung oder durch ein auf Berechtigungen basiertes Managementsystem. Hat der Anwender bisher die Softwareversion 1.0 im Einsatz, dann kann seine Lizenz so aktualisiert werden, dass er zukünftig nur noch die neue Softwareversion 1.1 nutzen kann. Auf vergleichbare Weise werden auch länderspezifische Lizenzen oder sogenannte „Name User Licenses“ umgesetzt. Letzteres gibt beispielsweise Servicetechniker erweiterte Rechte im Gegensatz zum Standardanwender.
  
  
• Vertraulichkeit und Integrität von Daten: Der Hersteller muss sicherstellen, dass Daten nicht verfälscht und auch nicht von unberechtigten Dritten eingesehen werden können. Mit CodeMeter API und CodeMeter Protection Suite ist es Herstellern möglich ihre Software, Daten und Parameter zu verschlüsseln und Signaturen zu erzeugen, um die Datenintegrität zu prüfen. Ebenfalls können Hersteller ihre Updates CRA-compliant verteilen: mittels CodeMeter API auf Basis eigener Schlüssel oder mit den bereits ausgelieferten Lizenz-Schlüsseln.
  
  
• Sicherstellung der Compliance: Der Hersteller hat über die CodeMeter License Central und CodeMeter License Portal die volle Transparenz über seine ausgegebenen Lizenz im Feld. Es ist klar ersichtlich, welcher Endkunde welche Lizenzen für bestimmte Softwareversionen auf welchen Systemen tatsächlich aktiviert hat.

Zeit, noch etwas mehr über die dahinter stehende ­Technologie zu erfahren: Wie genau schützt CodeMeter meine Software-Anwendungen?

Stefan Bamberg: CodeMeter basiert auf Verschlüsselung, d.h. die komplette Software wird verschlüsselt oder nur Teile davon. Die Nutzungsrechte werden als Lizenzen im CmDongle, als CmActLicense oder im CmCloudContainer sicher gespeichert. Der Hersteller hat die technischen Tools, um Lizenzen auszurollen oder Lizenzen zu ändern. Darüber hinaus dient CodeMeter dazu, verschiedene Softwarefunktionen freizuschalten und somit flexible Geschäftsmodelle aufzubauen und seine Software so zielgruppenorientiert bzw. auf bestimmte Märkte angepasst zu monetarisieren.

CRA-Compliance kostet Geld – da beißt die Maus keinen ­Faden ab! Gibt es dennoch auch wirtschaftliche Vorteile für die Anwender von CodeMeter?

Stefan Bamberg: Die Hersteller können mit CodeMeter nicht nur ihre Produkte schützen, sondern auch lizenzieren. Wenn die Hersteller die CodeMeter-Tools zur Einhaltung der CRA-Compliance einsetzen, können sie gleichzeitig ihre Softwarefunktionen lizenzieren und somit monetarisieren, wodurch ein Return on Investment erzielt werden kann.

Zum Abschluss noch ein kleiner Blick in die potenzielle Zukunft: Welche Entwicklung erwarten Sie mit Rücksicht auf den CRA und welche Einfluss wird dieser insbesondere auf den europäischen Markt haben?

Stefan Bamberg: Trotz des großen Aufwands, der auf Seiten der Hersteller entsteht, wird durch die CRA-Compliance der Nutzung von digitalen Produkten in Europa besonders unter den globalen Herausforderungen deutlich sicherer. Es bleibt abzuwarten, wie solche Anforderungen in anderen Teilen der Welt umgesetzt werden. Die Notwendigkeit für Cybersicherheit ist auf jeden Fall größer als je zuvor.