Helbling-Fachleute unterstützen Hersteller dabei, bei ihren Produkten neue Standards der Europäischen Union (EU) zur Cyberresilienz zu integrieren. Diese basieren auf dem sogenannten Cyber Resilience Act (CRA) und werden Ende 2027 Voraussetzung für eine CE-Kennzeichnung. Mithilfe einer auf das CRA angepassten Methodik begleiteten interdisziplinäre Teams von Helbling Unternehmen bei einer möglichst effizienten und effektiven Umsetzung. Das ist einem Fachbeitrag der Engineering und Consulting-Firma zu entnehmen, in dem auch Details des CRA aufbereitet werden. Betroffen von den Regelungen sind alle Hersteller von Produkten für den europäischen Markt, die eine Verbindung zu anderen Geräten oder Netzwerken ermöglichen. Die Cybersicherheit erhalte generell durch die neuen Standards ein angemessenes Gewicht, schreiben die Autoren und betonen ständig wachsende Bedrohungen. Dabei raten sie Unternehmen, schon jetzt Massnahmen zu ergreifen, um Ende 2027 bereit zu sein.
„Die Herausforderungen einer CRA-Konformität für Unternehmen mögen beträchtlich erscheinen, für manche vielleicht sogar wie eine Herkulesaufgabe“, ist zu lesen. Dieser Umstand mache es umso wichtiger, rasch mit der Umsetzung zu starten. Bei der Umsetzung handele es sich um einen iterativen Prozess und jetzt sei der ideale Zeitpunkt für eine erste Iteration, so die Autoren. Dabei biete Helbling Unterstützung auf Basis einer Methodik, die sich auf langjährige Erfahrung in der Produktentwicklung beziehe – unter anderem in regulierten Branchen wie der Medizintechnik – und mit Blick auf den CRA erweitert worden sei. In diesem Rahmen würden mit Kunden Fragen der CRA-Konformität über den gesamten Produktlebenszyklus bearbeitet, angefangen bei der Konzeption und Entwicklung bis zum Betrieb des Produkts.
Den Anfang der Umsetzung mache die Einführung einer Bedrohungsanalyse und die Einbeziehung der Software- und Hardware-Entwicklungsteams. Sicherheit muss laut dem Fachbeitrag als gemeinsame Verantwortung wahrgenommen werden. Dann gehe es darum, die drei Grundpfeiler des CRA zu berücksichtigen. Erstens müsse sichergestellt werden, dass jedes Produkt auf dem Markt von vorneherein und standardmässig sicher sei. Hilfreich sei hier die Anwendung des Prinzips „Security by design“, wobei etwa Schwachstellen minimiert werden, und des Prinzips „Security by default“, wonach die sicherste Konfiguration und Einstellung bei der ersten Aktivierung zum Standard wird. Zweitens müsse die Sicherheit auch im Betrieb gewährleistet werden. Im Fokus stehen hier Sicherheitsupdates und das Management von Schwachstellen. Erläutert wird auch, wie beim Monitoring auch Systeme zum Einsatz kommen können, die auf Künstliche Intelligenz-Agenten basieren.
Der dritte Pfeiler bezieht sich auf die Nutzenden. Dazu müssten über den gesamten Produktlebenszyklus hinweg Informationen bereitgestellt werden – nicht nur in Bezug auf die Installation oder Nutzung, sondern auch in Bezug auf Schwachstellen oder Sicherheitsupdates. Damit werde das Konzept des Sicherheitsbewusstseins ausgedehnt und Ende-zu-Ende umgesetzt. ce/yvh
