Cyber Resilience Act – Sicherheitsanforderungen für Produkte mit digitalen Elementen oder vernetzte Hardware- und Software-Produkte in der EU

Der European Cyber Resilience Act (CRA) ist eine EU-Verordnung über grundlegende Cybersicherheitsanforderungen an Produkte mit digitalen Elementen oder vernetzte Hardware- und Software-Produkte auf dem europäischen Markt, wie beispielsweise industrielle Steuergeräte, IoT-Produkte und Software, die auf elektronischen Geräten installiert wird. Hersteller und Betreiber werden verpflichtet die Sicherheit ihrer Produkte während des gesamten Lebenszyklus aufrechtzuerhalten. Dadurch soll die Cybersicherheit im europäischen Binnenmarkt erhöht und Transparenz über das Sicherheitsniveau von Produkten mit digitalen Elementen hergestellt werden.

Der CRA wurde am 10.10.2024 vom Rat der EU-Innenministerinnen und Innenminister verabschiedet und wird aufgrund seines Verordnungsrangs unmittelbar bindendes Recht. Herstellern und Betreibern bleibt bis November 2027 Zeit, um die Konformität ihrer neu eingeführten Produkte mit den CRA-Anforderungen sicherzustellen. Nationale Behörden werden die Umsetzung des CRA überprüfen – bei Nicht-Konformität können Korrekturmaßnahmen, Produktrücknahmen und Sanktionen veranlasst werden. Auch die Vergabe des CE-Gütesiegels wird in Zukunft an die Konformität mit dem CRA geknüpft sein, so dass das CE-Kennzeichen in Zukunft auch eine Aussage über den Sicherheitslevel des jeweiligen Produkts umfasst.

Wer ist vom CRA betroffen?

Die Bestimmungen des CRA gelten für Hersteller, Einführer und Händler von Produkten mit digitalen Elementen oder vernetzten Hardware- und Software-Produkten entlang der gesamten Lieferkette. Es gibt keine Ausnahmen aufgrund von Unternehmensgröße oder Umsatzhöhe.

Produkte, die unter EU-Sicherheitsregulierungen fallen, sind von den CRA-Bestimmungen ausgenommen. Nicht betroffen vom CRA ist Open-Source-Software, die ohne kommerzielle Absicht entwickelt wurde, sowie militärische Produkte. Gleiches gilt für Software-as-a-Service, die nicht essenzieller Bestandteil eines Produkts ist. Allerdings ist der CRA verbindlich für Cloud-Dienste mit Datenfernverarbeitung. Insbesondere über die Einbeziehung der gesamten Lieferkette sind viele Unternehmen betroffen, die Software-Artefakte oder Hardware-Komponenten zu sicherheitskritischen Produkten beisteuern.

Welche Sanktionen sind bei Verstößen gegen die Bestimmungen des CRA vorgesehen?

Die Höhe der Bußgelder orientiert sich an der Schwere des Verstoßes. Bei unvollständigen Informationen können Bußgelder von bis zu 5 Millionen Euro oder 1 % des Jahresumsatzes und bei Verstößen gegen die Händlerpflichten Bußgelder von bis zu 20 Millionen Euro oder 2,5 % des Jahresumsatzes verhängt werden. Da auch die Vergabe von CE-Kennzeichen von der Einhaltung der CRA-Vorgaben abhängen wird, kann beim Fehlen des CE-Labels der Zugang zum Europäischen Binnenmarkt für nicht CRA-konforme Produkte verwehrt werden. 

Der CRA fordert von Produkten mit digitalen Elementen ein hohes Sicherheitsniveau über den gesamten Produkt-Lebenszyklus hinweg, unabhängig davon, ob eigene oder fremde Komponenten genutzt werden. Ein Produkt-Launch ist künftig nur noch ohne bekannte ausnutzbare Schwachstellen möglich. Konkret gelten folgende Sicherheitsanforderungen: 

•    Vermeidung von Angriffsflächen bereits bei der Produkt-Konzeptionierung
•    Einplanung von Schutzmechanismen in der Konzeptions- und Design-Phase
•    Bereitstellung einer sicheren Standardkonfiguration und eines sicheren Resets  
•    Einrichtung von Schutzmechanismen vor unbefugtem Zugriff (z. B. mittels Authentifizierungs-, Identitäts- und Zugangsverwaltungssystemen)
•    Sicherstellung der Vertraulichkeit von Daten (z. B. mittels Verschlüsselungsmechanismen)
•    Sicherstellung der Integrität von Daten und Diensten
•    Beschränkung der Verarbeitung von Daten auf solche, die für das Betreiben des Produkts notwendig sind
•    Monitoring und Speicherung von internen Vorgängen (z. B. Datenzugriffe und -änderungen, verwendete Dienste)
•    Sicherstellung der Verfügbarkeit von wesentlichen Funktionen trotz erfolgreichem Angriff
•    Minimierung von negativen Auswirkungen auf andere Marktteilnehmer bei erfolgreichem Angriff
•    Bereitstellung kostenloser Security-Updates

Zudem ordnet der CRA explizit Risk-Assessments für alle Produkte mit digitalen Elementen an. Risk-Assessments zu Beginn der Produktentwicklung helfen, Sicherheitslücken frühzeitig und systematisch zu erkennen. Darauf aufbauende Sicherheitskonzepte verankern Schutzmechanismen bereits im Design.

Angebote des Fraunhofer AISEC für das Risk-Assessment und die Erstellung von Sicherheitskonzepten

Risk-Assessment mithilfe von »QuBA«

Eine schnelle und einfach durchführbare Bewertung des Risikolevels kann mit der fragebogenbasierten Methode »QuBA« erfolgen, die vom Fraunhofer AISEC in Zusammenarbeit mit der SICK AG entwickelt und umgesetzt wurde. 
Dieser Assessment-Prozess umfasst folgende Kernaktivitäten:

•    Beantworten eines Fragebogens mit Fragen zum Impact Rating und zum erforderlichen Angriffspotenzial
•    Automatisierte Bewertung des Risikos anhand der Antworten unter Verwendung vorhandener Risiko-Kataloge des AISECs
•    Automatisierte Generierung von geeigneten Gegenmaßnahmen, um erkannte Risiken zu mitigieren
•    Zuweisung vorgeschlagener Gegenmaßnahmen zu ausgewerteten Risiken
•    Risikobewertung für verbleibende Risiken durch IT-Sicherheitsfachkräfte
•    Automatisierte Generierung der Dokumentation mit der Zusammenfassung der Ergebnisse und Zuordnung zu den Anforderungen aus dem CRA

Der Risikostatus von einfachen Produkten mit einheitlichem Schutzbedarf lässt sich so in nur wenigen Stunden ermitteln. Das Fraunhofer AISEC hilft Unternehmen dabei, die Analysemethode auf ihre Bedürfnisse anzupassen und geeignete Schutzmaßnahmen zu bewerten und umzusetzen.

Für komplexere Risikoanalysen hat das Fraunhofer AISEC das Werkzeug MoRA entwickelt, das seit vielen Jahren erfolgreich im Einsatz bei industriellen Partnern ist. 

Maßgeschneiderte Sicherheitskonzepte

Das Fraunhofer AISEC unterstützt Kunden mit dem Design und der Umsetzung von individuellen Sicherheitskonzepten für IT-basierte Systeme und Produkte. Dabei berücksichtigen wir risikobasiert Sicherheitsaspekte von der Hardware bis zur Cloud und über den gesamten Lebenszyklus hinweg.

Beispiele für unterstützende Angebote des Fraunhofer AISEC für das Design und die Umsetzung von Sicherheitskonzepten:

•    Aufsetzen von Prozessen für eine sichere Produktentwicklung
•    Werkzeugunterstützte sichere Programmierung
•    Technische Sicherheitsmaßnahmen nach dem Stand der Technik, wie beispielsweise
  • Zero-Trust-Paradigma
  • Multi-Faktor-Authentisierung
  • Sichere Cloud-Anbindung
  • Sicherer Einsatz von künstlicher Intelligenz und Einsatz von KI zur Automatisierung von Sicherheitsdiensten, wie Netzwerkasset management und Netzwerk-Monitoring
  • Automatisierte Lösungen zur Umsetzung von DSGVO-Richtlinien
  • Einsatz von Verschlüsselung (Kryptografische Verfahren, Post-Quantum-Kryptografie) nach dem Stand der Technik

Wir entwickeln maßgeschneiderte Sicherheitskonzepte für

•    Mikrocontroller, System-on-Chips sowie dedizierte Sicherheitschips
•    Eingebettete Systeme und IoT-Produkte
•    Steuergeräte, Bordnetzarchitekturen und Car-to-X-Systeme (Car2X)
•    Systemarchitekturen einzelner und verteilter Systeme
•    Betriebssysteme, hardwarenahe Software und Container-Infrastrukturen
•    Verteilte Anwendungen sowie Cloud-Infrastrukturen
•    Netzarchitekturen und Netzprotokolle    
  

Der CRA setzt eine Software-Stückliste (Software Bill of Materials/SBOM) zur Ermittlung, Behandlung, Offenlegung und Meldung von Schwachstellen voraus. Die SBOM umfasst Informationen über den eigenen Programm-Code und die Komponenten anderer Hersteller und bietet so einen Überblick über die Architektur und Abhängigkeiten des Produkts.

Anforderungen an das Schwachstellenmanagement sind:

•    Aufstellung einer Software Bill of Materials im maschinenlesbaren Format
•    Dokumentation aller sicherheitsrelevanten Aspekte, einschließlich bekannter Schwachstellen
•    Unmittelbares Beheben von Schwachstellen gemäß ihrer Risikoqualität
•    Unverzügliche Bereitstellung kostenloser Sicherheits-Updates und sicherer Distributionsmethode, Installation und Verwendung
•    Veröffentlichung von Informationen zu behobenen Schwachstellen und umgehendes Informieren von Nutzern über notwendige Sicherheitsmaßnahmen
•    Koordinierte Offenlegung von Schwachstellen mit Angabe einer Kontaktadresse
•    Durchführung regelmäßiger Sicherheitstests
•    Kontinuierliches Security Monitoring

Angebote des Fraunhofer AISEC für das Schwachstellenmanagement 

Hardware-basierte Sicherheit und Vertrauenswürdigkeit für IoT

Eine sichere Hardware ist die Basis für alle darauf aufbauenden digitalen Funktionen und Anwendungen. Geräte, die als Teil des Internet of Things (IoT) agieren, werden künftig immer weiter Wirtschafts- und Alltagsbereiche durchdringen und für die (industrielle) Kommunikation, intelligente Fertigung, vernetzte Logistik oder für smarte Fahrzeuge unabdingbar sein. Da sie oft sensible Daten verarbeiten, ist ihre Sicherheit und Vertrauenswürdigkeit essenziell.

Das Fraunhofer AISEC forscht in verschiedenen Projekten an der Absicherung von IoT-Geräten auf der Hardware-Ebene. Dazu werden Analysemethoden und passende Gegenmaßnahmen entwickelt, um die Hardware und auch die auf dem System ausgeführte Software zu schützen. Ein wichtiger Aspekt ist die Analyse von physischen Fehlerinjektionsangriffen, wie beispielsweise dem Schutz gegen Laser- und Fehlerangriffe oder die Manipulation von Versorgungsspannung und Takt. 

Transparenz und Nachprüfbarkeit von Software Supply Chains

Der CRA fordert, dass die Sicherheit und Integrität von Software im gesamten Produktlebenszyklus gewährleistet wird. Die Ausführung von Software in der Cloud auf bereitgestellter Fremd-Infrastruktur ist jedoch risikobehaftet. Maßnahmen zur Identitätsprüfung und Integritätssicherung der Software-Stacks sind integraler Bestandteil der Sicherheitsanforderungen im CRA, um ein vertrauenswürdiges Produkt zu gewährleisten.

Der am Fraunhofer AISEC entwickelte »Connector Measurement Component (CMC)« erfasst automatisiert die Vertrauenswürdigkeit von Software-Komponenten mithilfe von Hardware-basierten, kryptografischen Vertrauensankern. Das Open Source Tool schafft Transparenz und Nachprüfbarkeit gegenüber den verwendeten Software-Paketen. Damit ist es möglich, sicher und nachvollziehbar das Vertrauen in die Software zu evaluieren. Hierdurch können nicht vertrauenswürdige Änderungen an der Software erkannt werden.

Das Tool bildet eine vertrauenswürdige Basis für die sichere und verifizierbare Ausführung von Software in der Cloud und die Produktion von qualitativ hochwertigen sowie sicheren Anwendungen.

Sichere Ausführungsumgebungen mit der Plattform »GyroidOS«

Das Nutzen und Verarbeiten von Daten sowie das Betreiben von digitalen Anwendungen sind wesentliche Bestandteile der digitalen Wertschöpfungskette. Der CRA stellt Anforderungen an die Integrität, Vertraulichkeit und Verfügbarkeit von Daten und Software. Hier setzt die vom Fraunhofer AISEC entwickelte Plattformlösung »GyroidOS« an.

Ein zentraler Aspekt von »GyroidOS« ist der Fokus auf die IT-Sicherheit und die Unterstützung von Zertifizierungsprozessen nach den Industriestandards DIN SPEC 27070 und IEC 62443-4-2 sowie gemäß Common Criteria. »GyroidOS« isoliert besonders schützenswerte Anwendungen sowie Daten und verhindert unkontrollierten Informationsaustausch zwischen Ausführungscontainern. Es besitzt zahlreiche weitere Sicherheitsfunktionen wie eine vollständige Festplattenverschlüsselung, sicheres Booten mit Remote-Attestierung oder eine Secure-Element-Unterstützung für die Zwei-Faktor-Authentifizierung. So sichert es die Integrität und Authentizität des Systems, die Vertraulichkeit von Daten sowie die Vertrauenswürdigkeit der gesamten Umgebung und trägt entscheidend zur Erfüllung der Sicherheitsanforderungen des CRA bei. 

Tests und Analysen zur Erkennung von Schwachstellen

Das Fraunhofer AISEC verfügt über ein breites Spektrum an Lösungen und Verfahren für Sicherheitstests und -analysen:

•    Seitenkanalanalysen, Fehlerangriffe und optische Analyseverfahren im Hardware Pentesting
•    Analyse kompletter Fahrzeuge, Fahrzeugteile oder größerer Anlagenteile
•    Analyse von Steuergeräten, Bordnetzarchitekturen und Kommunikationsverbindungen
•    Penetrationstests
•    Statische und dynamische Analysen von Source-Code sowie Binärcode und Code Reviews mit eigenen Tools und Lösungen wie »Codyze«, »Code Property Graph« oder »IntelliSecTest« sowie unter Einsatz von KI-basierten Verfahren, um automatisiert nach  Mustern zu suchen, die eine mögliche Schwachstelle darstellen könnten.
•    Fuzzing von Software
•    Individuelle Entwicklung von Test- und Analysewerkzeugen

Monitoring

Zur Überwachung der Sicherheit von vernetzten Hard- und Softwareprodukten können KI-basierte Lösungen für ein automatisiertes Monitoring eingesetzt werden. Das AISEC entwickelt KI-basierte Lösungen, um Unternehmen darin zu unterstützen, automatisiert prüfen zu können, ob ihre Software von neuen, gemeldeten Sicherheitsschwachstellen (CVEs) betroffen sind. Das Fraunhofer AISEC entwickelt neue, verbesserte Verfahren zur datenbasierten Anomalie-Erkennung und zur Datenvalidierung. Dies dient zur Ermittlung von abweichendem Verhalten in komplexen Systemen sowie zum Auffinden von punktuellen Auffälligkeiten bei Datenströmen und -zugriffen. Dies erhöht die Datenqualität und ermöglicht Prozessoptimierungen durch Predictive Quality und Predictive Maintenance.

Die Konformitätserklärung bestätigt die Erfüllung der Sicherheitsanforderungen aus dem CRA und wird vom Hersteller oder einer autorisierten Instanz ausgestellt. Der Konformitätsnachweis variiert je nach Produktklassifizierung, basierend auf dem Cybersicherheitsrisiko des jeweiligen Produkts.

Die Erklärung wird kontinuierlich aktualisiert – insbesondere nach dem Aufdecken und Beheben von Schwachstellen oder nach Sicherheitsvorfällen. Sie enthält Angaben zum Produkt, Hersteller, zu den harmonisierten Normen, eine Verantwortlichkeitserklärung, Informationen zur notifizierten Stelle und zum Bewertungsverfahren.

Der Hersteller unterzeichnet sowie datiert die Erklärung und übernimmt die Verantwortung für die Produktkonformität gegenüber Behörden mit Marktaufsichtsfunktion wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI). 

Angebot des Fraunhofer AISEC für die Erstellung der Konformitätserklärung 

Das Fraunhofer AISEC forscht mit »Confirmate« zur automatisierten Konformitätsprüfung von Software-Komponenten. »Confirmate« vergleicht Sicherheitseinstellungen mit CRA-Vorgaben, identifiziert Schwachstellen und ermittelt den individuellen Handlungsbedarf. Das spart Zeit für die Planung und Umsetzung von Sicherheitsmaßnahmen.

Der Schwerpunkt der Lösung liegt auf der Quellcode-Analyse der im Produkt enthaltenen Software-Komponenten und der bereitgestellten Schnittstellen (z.B. zu Cloud-Backends). »Confirmate« vereint die statische Analyse zur Prüfung von Sicherheitseigenschaften des Programm-Codes mit einer automatisierten Compliance-Auswertung. Auch die im Unternehmen vorhandenen Dokumentationen von Prozessen werden überprüft, beispielsweise zum Schwachstellenmanagement. Das Programm identifiziert zudem verwendete Software-Komponenten von Drittanbietern und überprüft deren Konformität mit der EU-Verordnung anhand von Informationen aus Datenbanken über bekannte Schwachstellen.

Bei einer aktiv ausnutzbaren Schwachstelle im Produkt muss der Hersteller den Vorfall innerhalb von 24 Stunden nach Kenntnis an die ENISA melden. Diese Pflicht gilt auch für sicherheitsrelevante Vorfälle oder solche, die die Produktsicherheit beeinflussen könnten. Bei Schwachstellen in integrierten Komponenten muss der Hersteller den Komponentenhersteller informieren. Zudem ist der Produktnutzer über den Vorfall, seine Auswirkungen und notwendige Sicherheitsmaßnahmen zu informieren.

Diese Meldepflicht gilt ab November 2025, da der CRA am 10.10. 2024 vom Rat der EU-Innenministerinnen und Innenminister verabschiedet wurde. 

Angebot des Fraunhofer AISEC zur Umsetzung von Meldepflichten

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die ausführende Sicherheitsbehörde des CRA in Deutschland und besitzt Marktaufsichtsfunktion. Zur Meldung von Schwachstellen dient das vom BSI mitentwickelte Framework »Common Security Advisory Framework (CSAF)«. Produkthersteller und -betreiber nutzen das Framework über einen lokal betriebenen Trusted Provider, um Schwachstellen zu melden und Informationen zu nutzen.

Die vom Fraunhofer AISEC entwickelte Open Source Library »kotlin-csaf« ermöglicht die Integration des Frameworks CSAF in die Produkt-Software und somit das Parsen, Importieren und Validieren von CSAF-Dokumenten. Mithilfe der Bibliothek kann zudem die Implementierung des Providers automatisiert auf ihre Korrektheit geprüft werden. 

Die technische Dokumentation für Produkte mit digitalen Elementen enthält alle Daten, die aufzeigen, dass das Produkt den grundlegenden Sicherheitsanforderungen entspricht. Diese Dokumentation wird vor dem Produkt-Launch erstellt und innerhalb der vom Hersteller definierten Support Period aktualisiert.

Das BSI hat die technischen Richtlinien zur Dokumentation für den CRA veröffentlicht.
Demnach muss die technische Dokumentation folgende Elemente enthalten:

•    Allgemeine Beschreibung des Produkts mit Nennung des Verwendungszwecks (intended purpose) und Version der Software
•    Beschreibung des Designs, der Entwicklung und Herstellung des Produkts (besonders im Hinblick auf die Sicherheitseigenschaften, die vom Produkt eingehalten werden)
•    Beschreibung des Verfahrens zur Behandlung von Schwachstellen
•    Dokumentation der für das Produkt relevanten Sicherheitsrisiken sowie der eingesetzten Sicherheitsmaßnahmen
•    Angaben zu durchgeführten Sicherheitstests
•    Beschreibung der Komponenten mittels der Software Bill of Materials (SBOM)
•    Angaben zur Support Period 

Dokumentationspflichten gegenüber Nutzern
 

Hersteller sind zudem verpflichtet, eine öffentlich zugängliche Dokumentation für die Benutzer des Produkts zu erstellen.
Diese muss folgende Angaben enthalten: 

•    Name und die Kontaktangaben des Herstellers
•    Kontaktstelle bei Cybersicherheitslücken
•    Chargen-, Versions- oder Seriennummer
•    Beschreibung des Produkts (und seiner Funktionen)
•    Informationen zur bestimmungsgemäßen Verwendung (intended purpose)
•    Anleitung zur sicheren Inbetriebnahme, Verwendung und Außerbetriebnahme des Produkts
•    Anleitung zur sicheren Installation von Software-Updates
•    Auflistung bekannter Risiken und den Sicherheitseigenschaften des Produkts
•    Software-Stückliste (Software Bill of Materials/SBOM)