02.06, 12:30–13:30 (Europe/Berlin), ZKM Medientheater
Sprache: Deutsch
Der Cyber Resilience Act (CRA) legt Herstellern von Software und auch Open Source Communities strenge Regeln in Bezug auf IT-Sicherheit ihrer Produkte auf. Dieser Vortrag gibt zunächst einen Überblick über die Ziele und Inhalte dieses Gesetzes. Der Schwerpunkt liegt auf den geforderten technischen und administrativen Regelungen und Verpflichtungen. Es wird erläutert, worauf sich Hersteller, Open Source Communities und Verbraucher einstellen müssen und eingeordnet, wie praktikabel und effektiv die Vorgaben möglicherweise sind.
Mit dem CRA hat die EU-Kommission eine Verordnung auf den Weg gebracht, die die IT-Sicherheit von Produkten reguliert, mit der Motivation, die Interessen der Verbraucher zu stärken und die EU insgesamt widerstandsfähiger gegen Cyberangriffe zu machen. Dieses Gesetz legt Anforderungen für "Produkte mit digitalen Elementen" fest. Von Herstellern wird die Erstellung einer Cybersicherheitsrisikobewertung und die Bereitstellung von Sicherheitsupdates verlangt. Bestimmte alltägliche Softwareprodukte, wie Betriebssysteme, Browser und Password-Manager, werden als "wichtige Produkte" eingestuft. Diese werden auf die Einhaltung von grundlegenden IT-Sicherheitsanforderungen überprüft. Auch Open-Source-Software und ihre Communities werden von diesem Gesetz betroffen sein. Es wird gefordert, dass diese eine Cybersicherheitsstrategie vorlegen, welche unter anderem den Umgang mit Schwachstellen regelt. Ein Verstoß gegen die Bestimmungen kann mit bis zu 15 Millionen Euro oder 2,5 % des Weltweiten Jahresumsatzes geahndet werden. Des Weiteren wird die ENISA eine Meldeplattform anbieten, über welche Hersteller Schwachstellen melden.
In Hinblick auf die Praktikabilität und Effektivität stellen sich eine Reihe von Fragen, auch sind noch nicht alle Details bekannt, z.B. die Spezifikation von SBOMs.
TL; DR: Neues EU-Gesetz, welches Hersteller verpflichtet (IT-)sicherere Produkte zu entwickeln.
n/a
Markus Toran ist Security Consultant bei Secorvo in Karlsruhe. Seine Interessengebiete sind unter anderem technische Sicherheitsanalysen und Kryptografie. Davor studierte er Informatik in Karlsruhe und spezialisierte sich auf IT-Sicherheit; dabei befasste er sich auch mit den interdisziplinären Aspekten.
