Alle Produkte mit digitalen Elementen – vom Router über smarte Kühlschränke bis zum Fernseher und vor allem jede moderne Industrieanlage – sollen für die Nutzer zukünftig keine Cyber-Risiken mehr darstellen. Das fordert die EU-Kommission und legt mit dem Cyber Resilience Act – einem Gesetz zur „Cyber-Widerstandsfähigkeit“ – fest, dass Produkte „mit digitalen Elementen“ wie Hard- und Software zukünftig während des vollen Lebenszyklus vor durch Hacker ausnutzbaren Schwachstellen geschützt werden müssen.
„Dieses Gesetz wird zu einem Kraftakt für die Industrie. Die Regelung ist überfällig und sehr sinnvoll, da vor allem in den letzten Monaten mehr und mehr solcher Schwachstellen von smarten Geräten gnadenlos ausgenutzt oder als Einfallstor in Netzwerke verwendet wurden. Die Time-to-Market für neue Produkte und Anlagen wird allerdings enorm unter dem Regelwerk leiden, und ohne automatisierte Analyse- und Prüfroutinen ist der Prozess kaum abbildbar“, sagt Jan Wendenburg, Geschäftsführer von Onekey. Der europäische IoT-Security-Spezialist ermöglicht erstmals die softwaregestützte automatisierte Analyse von Binärsoftware zur Erkennung bislang unbekannter Schwachstellen – bis hin zu Zero-Day-Lücken.
Software-Stücklisten (SBOM) lösen viele Probleme
Bis vor kurzem waren sich weder Nutzer noch Hersteller oder Inverkehrbringer darüber bewusst, aus welchen „Zutaten“ Produkte mit digitalen Elementen und Netzwerkverbindungen bestehen. Das ist allerdings ein Problem, denn die Nutzung von Drittanbieter-Codes läuft ausser Kontrolle. Generell wird Software schon lange nicht mehr in einer Hand entwickelt, sondern aus Bausteinen, d. h. Komponenten zusammengesetzt – egal ob Open-Source- oder Binär-Lizenz-Software. Diese Komponentenbauweise wird genutzt, um die Kosten in der Entwicklung zu senken und Zeit zu sparen. Die Herausforderung besteht darin, dass die Komponenten wieder Komponenten enthalten – und so tief verschachtelt die eigene Firmware, Malware, Bugs oder andere Schwachstellen enthalten kann, von denen der Entwickler nichts weiss. „Ohne ein robustes und zuverlässiges Prüfverfahren für den Code können sich Unternehmen der Bedrohungen nicht sicher sein und stehen gemäss Cyber Resilience Act mit einem Bein im zukünftig strafbaren Raum“, so Wendenburg weiter. Onekey ist weltweit einer der wenigen Anbieter, die mit der automatisierten Firmware-Analyse bereits heute ohne Source Code die SBOM (Software Bill of Materials, d.h. Software-Stückliste) erstellen und bei Updates diese auch stetig und voll automatisiert weiter pflegen können.
Industrielle Steuersysteme besonders gefährdet
Die EU-Gesetzgebung sieht zudem vor, dass Hersteller für einen Zeitraum von fünf Jahren oder die vorgesehene Lebenszeit eines Produktes – der kürzere Zeitraum ist relevant – die Sicherheit und Integrität der Bauteile oder Produkte und Anlagen gewährleisten müssen. Hier sieht der Security-Experte von Onekey insbesondere bei industriellen Steuerungen Nachholbedarf: „IoT-Anlagen sind in der Industrie – in Fabriken, im Service und der Fertigung – wesentlich länger im Einsatz, selbst wenn der Hersteller nach fünf Jahren das Produkt einstellt. Hier müssen sich vor allem die nutzenden Unternehmen im Klaren sein, dass der Schutz des EU-Gesetzes irgendwann endet und die Eigenverantwortung beginnt“, warnt Jan Wendenburg von Onekey. In Zukunft verboten ist zudem das Inverkehrbringen von Produkten mit bekannten Schwachstellen. Damit endet das heute oft übliche Copy-Paste-Engineering, welches häufig unerkannte oder auch bekannte Fehler erneut in neue Produkte einbaut. Zukünftig müssen verwendete Komponenten oder Endergebnisse geprüft werden um zu verhindern, dass alte Schwachstellen in neue Produkte kopiert werden.