Unter dem Cyber Resilience Act stehen nun auch Importeur:innen und Distributor:innen in der Haftung – und werden von der EU teilweise als Hersteller angesehen. Mit dem Cyber Resilience Act sollen Lücken in der Cybersicherheit über die gesamte Lieferkette von Produkten geschlossen werden und Verbraucher:innen sowie Unternehmen vor gefährlichen Attacken durch Hacker:innen geschützt werden.
(Bild: Pixabay)
Anzeige
„Wir haben damit die Situation, dass Importeure von OEM-Ware, die nur gelabelt wird – bis hin zum Internetanbieter, der seinen Kunden Devices unter seinem Namen zur Verfügung stellt – als Hersteller gelten und damit auch die Regelungen für Produzenten vollumfänglich erfüllen müssen“, sagt Jan Wendenburg, Geschäftsführer von OneKey. Die Folge: Jedes Produkt mit digitalen Elementen – also einem Mikroprozessor – muss während des gesamten Lebenszyklus vor durch von Hacker:innen ausnutzbaren Schwachstellen geschützt werden. Damit verbunden sind Melde- und Sorgfaltspflichten sowie die Erstellung eines Stammbaums aller digitalen Komponenten in Form einer Software Bill of Materials (SBOM). Bisher sind Importeure und große Distributoren von OEM-Ware aus Asien allerdings kaum auf diesen Fall eingerichtet und notwendige Ressourcen und Kompetenzen müssen rasch aufgebaut werden, um diese Prüfungen vorzunehmen.
EU greift in Handelsketten ein
„Die EU-Kommission greift damit in die gewachsenen Strukturen des IT-Distributionsmodells ein. Viele Unternehmen bestellen Whitelabel-Ware bei asiatischen Großherstellern, die allerdings selten den neuen Sicherheitsanforderungen des Cyber Resilience Acts entsprechen und an der Einhaltung auch kein primäres Interesse haben. Die neue und für Verbraucher und Anwender in der Wirtschaft richtige Verordnung erfordert damit ein strukturelles Umdenken des bisherigen Handelsmodells“, erklärt Wendenburg weiter. Sein Unternehmen bietet eine softwaregestützte automatisierte Analyse vernetzter, smarter Geräte inklusive der verwendeten Baugruppen und Komponenten zur Erkennung bislang unbekannter Schwachstellen an. Auf dieser Basis könne OneKey bereits eine SBOM mit der DNA eines vernetzten Gerätes erstellen.
Unternehmen, die rechtzeitig ihre Prozesse anpassen, können die Time-to-Market für neue Produkte auch auf Basis der neuen Regelungen optimieren und das Haftungsrisiko reduzieren. Automatisierte Analyse- und Prüfroutinen seien allerdings die Voraussetzung, denn auch im Fall eines Updates einer der Komponenten ist die Sicherheit und Integrität des Geräts weiter zu gewährleisten.
Sicherheit auch für Bestandsgeräte
„Wir müssen uns darauf verlassen können, dass die Produkte, die im Binnenmarkt angeboten werden, sicher sind“, erklärt dazu die für Digitales zuständige Kommissionsvizepräsidentin Margrethe Vestager in einer Presseerklärung der EU. „Dazu nehmen wir diejenigen in die Pflicht, die die Produkte in Verkehr bringen.“ Mit dem Konzept der „integrierten Cybersicherheit“ wolle die Kommission gegensteuern. „Dieser Schritt ist richtig und wichtig. In den letzten Monaten hat nicht nur die Häufigkeit, sondern auch die Gefährlichkeit der Attacken zugenommen. Zudem wird mehr und mehr klar, dass allein in vernetzten Produktions- und Unternehmensumgebungen unzählige Anlagen im Einsatz sind, die noch zahlreiche Schwachstellen enthalten und dringend ebenfalls untersucht werden müssten“, analysiert Wendenburg. So seien vermehrte Anfragen aus Industrie und Wirtschaft bei OneKey zu verzeichnen sowie „eine Vielzahl“ von Sicherheitslücken bis zu möglichen Zero-Day-Exploits gefunden und behoben worden.