Mit dem Cyber Resilience Act (CRA) verpflichtet die EU künftig Hersteller, die IT-Sicherheit von Produkten mit digitalen Elementen zu gewährleisten. Nach Inkrafttreten des CRA – voraussichtlich noch 2024 – haben sie maximal 36 Monate Zeit, die Konformität ihrer Produkte mit dem neuen Standard nachzuweisen. Aufgrund komplexer Architektur-Designs und der Nutzung von Komponenten von Drittanbietern ist es allerdings eine Herausforderung, den Handlungsbedarf konkret einzuschätzen.

Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC forscht mit »Confirmate« zur automatisierten Konformitätsprüfung von Software-Komponenten. In Zukunft soll das Tool dabei unterstützen, die Übereinstimmung mit dem CRA automatisiert zu überprüfen und den individuellen Handlungsbedarf zu ermitteln. »Confirmate« vergleicht die Sicherheitseinstellungen mit den CRA-Vorgaben und hilft, konkrete Schwachstellen im Produkt schnell zu identifizieren. Die Analyse spart so wertvolle Zeit für das Planen und Umsetzen von Sicherheitsmaßnahmen.

Das Fraunhofer AISEC präsentiert den aktuellen Funktionsumfang des Tools und seine Anwendung erstmals auf der diesjährigen it-sa (Nürnberg, 22.-24. Oktober 2024) am Fraunhofer-Gemeinschaftsstand in Halle 6, Stand 6-314.

Hersteller von Produkten mit digitalen Elementen sehen sich mit immer strengeren Cybersicherheitsanforderungen konfrontiert, allen voran durch den bevorstehenden Cyber Resilience Act (CRA). Die EU-Verordnung verpflichtet Hersteller grundlegende Cybersicherheitsanforderungen zu gewährleisten, wie zum Beispiel die Sicherstellung der Vertraulichkeit und Integrität von Daten. Zudem sieht sie vor, dass Hersteller die IT-Sicherheit ihrer Produkte während des gesamten Lebenszyklus aufrechterhalten. Das hat zur Folge, dass Hersteller nachweisen müssen, wie sie mit Schwachstellen in ihren Produkten umgehen und diese beheben. Nur mit einem Nachweis über die Konformität mit dem CRA können Produkte zukünftig mit einem CE-Kennzeichen auf den europäischen Markt gebracht werden.

Individueller Handlungsbedarf schwierig zu ermitteln  

Die EU-Verordnung stellt Hersteller vor neue, komplexe Herausforderungen: Nach der Einführung des CRA – voraussichtlich noch im Jahr 2024 – haben sie 36 Monate Zeit, um sich auf die zukünftigen Regelungen vorzubereiten. Sie gelten für Produkte, die voraussichtlich ab 2027 neu auf dem Markt gebracht werden. Doch die komplexen Architektur-Designs von Produkten mit digitalen Elementen, bestehend aus zahlreichen Komponenten auch von Drittanbietern, machen es schwierig, den individuellen Handlungsbedarf klar zu identifizieren. Der CRA fordert ein Sicherheitsniveau, das den Risiken angemessen ist und bezieht dabei explizit auch die gesamte Produktlieferkette in den Anforderungskatalog mit ein.

Startpunkt auf dem Weg zur Konformität finden   

Hier setzt »Confirmate« an – ein vom Fraunhofer AISEC gestartetes Forschungsprojekt, das Hersteller dabei unterstützt, die Konformität ihrer digitalen Produkte mit dem CRA zu überprüfen. Mit »Confirmate« sollen trotz komplexer Architekturen die Sicherheitsanforderungen an die Produkte besser verstanden und dokumentiert werden können. Das Tool soll aufzeigen, welche Anforderungen des CRA erfüllt werden und wo noch Handlungsbedarf besteht.

Der Schwerpunkt der Lösung liegt auf der Quellcode-Analyse der im Produkt enthaltenen Software-Komponenten und der bereitgestellten Schnittstellen (z.B. zu Cloud-Backends). Auch die im Unternehmen vorhandenen Dokumentationen  von Prozessen werden überprüft, beispielsweise zum Schwachstellenmanagement. Dabei gleicht »Confirmate« vorhandene Sicherheitseinstellungen mit den Vorgaben aus dem CRA und technischen Spezifikationen ab, wie beispielsweise den Spezifikationen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das Programm identifiziert zudem verwendete Software-Komponenten von Drittanbietern und überprüft deren Konformität mit der EU-Verordnung anhand von Informationen aus Datenbanken über bekannte Schwachstellen.

»Confirmate vereint die statische Analyse zur Prüfung von Sicherheitseigenschaften des Programm-Codes mit einer automatisierten Compliance-Auswertung. Die Möglichkeit zur manuellen Ergänzung von Dokumenten und Erklärungen machen das Programm zu einem umfassenden Monitoring-Tool, das eine verlässliche Aussage über den Konformitätsstatus eines digitalen Produkts liefert«, sagt Christian Banse, Abteilungsleiter Service and Application Security am Fraunhofer AISEC. In einer detaillierten und einfach zu interpretierenden Übersicht stellt »Confirmate« dar, welche Anforderungen bereits erfüllt sind. Dadurch können Hersteller den Status-Quo des Produkts in puncto Cybersicherheit und den noch bestehenden Handlungsbedarf hinsichtlich des CRA schnell identifizieren.

Die teil-automatisierte Analyse mit »Confirmate« ermöglicht eine kontinuierliche Bewertung der Programmkomponenten, sodass die Aussage zur Produktkonformität stets aktuell ist und schnell zur Verfügung steht. Die gewonnene Zeit kann zur Konzeption und Durchführung von Sicherheitsmaßnahmen genutzt werden.

Aufbauend auf den Analyseergebnissen durch »Confirmate« unterstützen erfahrene Cybersicherheitsexperten des Fraunhofer AISEC Hersteller von Produkten mit digitalen Elementen bei der Umsetzung von erforderlichen Sicherheitsmaßnahmen im Sinne des CRA.

it-sa: Demonstration der Funktionsweise an Stand 6-314  

Auf der diesjährigen it-sa haben Hersteller und Betreiber von Produkten mit digitalen Elementen vom 22. bis 24. Oktober die Gelegenheit, sich am Fraunhofer-Gemeinschaftsstand in Halle 6, Stand 6-314 über das Tool »Confirmate« näher zu informieren. Die Wissenschaftler des Fraunhofer AISEC geben anhand einer sicherheitskritischen Beispielsoftware, die dem CRA unterliegt, erste Einblicke in die Funktionsweise der AISEC-Lösung zur CRA-Compliance-Prüfung.