Digitale Produktsicherheit im Fokus

Die Schäden durch Cyberkriminalität haben ein hohes Ausmaß angenommen. Um Produkte und Dienstleistungen entlang ihres gesamten Lebenszyklus gegen unberechtigten Zugriff oder Manipulation zu schützen, werden durch den Cyber Resiliance Act (CRA) neue verbindliche Maßnahmen zur Cybersicherheit etabliert: die Integration von Sicherheitsmerkmalen bereits in der Planungs-, Entwurfs- und Entwicklungsphase; eine kontinuierliche Informationstransparenz durch regelmäßige Produktüberwachung und Risikobewertung; ein angemessener Umgang mit Schwachstellen, inklusive der Bereitstellung kostenfreier Updates sowie die detaillierte Dokumentation und Meldepflicht von Cybervorfällen an die EU-Behörde. Betroffen sind alle Unternehmen, die Produkte mit digitalen Komponenten innerhalb der EU entwickeln, herstellen oder vertreiben. Unzureichende Absicherungen können hohe Bußgelder und weitreichende rechtliche Folgen nach sich ziehen, sowohl für Hersteller als auch für Inverkehrbringer.

Die neuen Notwendigkeiten, die durch die Rahmenbedingungen des CRA in ein Produkt implementiert werden müssen, beeinflussen ebenso die Hardware. Der Technologiedistributor für Halbleiter, EBV Elektronik, unterstützt als B2B-Partner Kunden und Hersteller bei der Entwicklung ihrer Produkte – im Geschäftsbereich Security & Identification auch im Bereich der Cybersecurity. Im Gespräch mit Christian Krieber, Vertical Segment Director Security & Identification und Daniel Bartz, Field Application Engineer Sicherheit & Identifizierung bei EBV Elektronik.

Was bedeuten die CRA-Anforderungen für die Hardware?
Bartz: Ein zentraler Punkt im CRA ist beispielsweise, dass man für den Produktsupportzeitraum von typischerweise mindestens 5 Jahren, ein Produkt aktiv überwachen und updaten muss. Das bedeutet, dass Produkte mit einer Schnittstelle nach CRA-Einführung auch eine Schnittstelle zur Fernwartung benötigen. Oder man braucht mehr Speicher als früher. Aber: Für die Hersteller, die heute schon vertrauensvoll arbeiten wird sich wahrscheinlich gar nicht so viel ändern. Die große Aufgabe ist es für diejenigen, die auf Kosten der Sicherheit günstige Produkte herstellen. Und auch der Zulieferer muss seiner Verantwortung nachkommen.

Wie kann EBV helfen, konform zu bleiben?
Krieber: Als Hardwareanbieter sind wir mit der CRA-Thematik vertraut. Wir kennen die Produkte und beraten über unsere Abteilung Security & Identification unabhängig und herstellerübergreifend, wie wahrscheinlich Angriffsfaktoren sind oder ob bei einer alten Industrieschnittstelle die CRA-Anforderungen überhaupt umsetzbar sind. Wir prüfen, was von EU-Seite gefordert ist und welchen Kunden wir mit welchem Hersteller zusammenbringen, um die perfekte Lösung für eine CRA-Entsprechung zu finden. Je nachdem, ob man mit einem neuen Design anfängt oder sich in ein bestehendes System einbringen muss. Empfehlenswert ist es aber immer, ein Design von Beginn an zu denken und z. B. auf eine ganz neue Mikrocontrollergeneration zu setzen. Es ist ungleich schwerer, später nachzurüsten.

Das Thema Security ist also für EBV nicht neu.
Krieber: Absolut nicht. Bereiche wie die sichere Datenverarbeitung und -aufbereitung, Konnektivität und Sicherheit kommen im Internet der Dinge (IoT) zusammen – und EBV Elektronik ist seit über einem Jahrzehnt in all diesen Bereichen kontinuierlich aktiv. Von der 2-Faktor-Authentifizierung bis zur Datenverschlüsselung auf der Festplatte. Auch Brand Protection wie die Sicherstellung, dass nur Originalteile und -Equipment verbaut werden, gehören dazu. Wir können als Teil der Avnet Gruppe zudem auf Schwestergesellschaften wie das Softwareberaterhaus Witekio zurückgreifen, um beispielsweise Risikobewertungen durchführen zu lassen.

Bartz: Der Unterschied ist heute nur: Jetzt werden diese Themen auch als Mehrwert gesehen. Eben weil mittlerweile allen klar ist, dass ein wirtschaftlicher und gesellschaftlicher Gesamtschaden entstehen kann. Vielen ist, denke ich, auch nicht klar, dass Cybersicherheit, gleichwertig wie alle anderen verbindlichen Sicherheitsparameter, Teil der CE-Deklarierung wird.

Krieber: Natürlich geht es dabei auch um Produktklassifizierungen und es ist ein Unterschied, ob es sich um eine kritische Infrastruktur oder um einen smarten Kopfhörer handelt. Aber für alle gilt nicht die Frage: Was kostet es mich, wenn ich Security einsetze – sondern: Was kostet es mich, wenn ich sie nicht einsetze.