- THA_innos
- Institut
- Schwerpunkte
- Embedded Security
- Cyber Resilience Act
- Wie CRA-konform mit Schwachstellen umgehen?
Wie CRA-konform mit Schwachstellen umgehen?
Was sind die Anforderungen des Cyber Resilience Acts an die Cybersicherheit von Produkten?
Was tun, wenn Schwachstellen in Produkten gefunden werden? Der Cyber Resilience Act stellt Anforderungen an den Umgang mit Schwachstellen.
Eines ist klar: Produkte werden immer Schwachstellen haben. Gründe dafür sind Fehler im sicheren Entwicklungsprozess, unbekannte Sicherheitsprobleme in Komponenten Dritter und auch dass Cyberkriminelle kreativ sind und regelmäßig neue Angriffswerkzeuge und -methoden entwickeln.
Deshalb gibt es nicht nur CRA Requirements für die Cybersicherheit. Sondern der CRA legt auch fest, wie Hersteller mit Schwachstellen umgehen sollen. Von der Dokumentation, über die Behebung, bis zu den einzelnen Elementen einer Veröffentlichung von Schwachstellen.
Klicken Sie sich hier durch den originalen LinkedIn-Post. Nutzen Sie die Pfeile links und rechts zur Navigation. Mit einem Klick auf jedes Bild können Sie es vergrößern.
Für die aktuellen Posts folgen Sie Dominik Merli, Leiter des Instituts für innovative Sicherheit an der Technischen Hochschule Augsburg, auf LinkedIn. Oder folgen Sie dem Hashtag #CRAmitINNOS suchen.
Sprechen Sie mit uns über den CRA
Prof. Merli freut sich auf Ihre Fragen, Kommentare und Meinungen zum Cyber Resilience Act. Oder, falls Sie LinkedIn nicht nutzen, alternativ über [Bitte aktivieren Sie Javascript]. Hier können Sie im Betreff ebenfalls den Hashtag #CRAmitINNOS nutzen.
Wie soll man laut CRA mit Schwachstellen umgehen?
Im Annex I formuliert der Cyber Resilience Act, wie Hersteller mit Schwachstellen umgehen sollen, sobald sie entdeckt wurden. Hier finden Sie die Anforderungen in Kurzform.
- Hersteller müssen die Komponenten ihrer Produkte in Form einer Software Bill of Materials (SBOM) dokumentieren und Nutzer über entdeckte Schwachstellen informieren.
Schwachstellen müssen zeitnah durch Sicherheits-Updates behoben werden.
Security Updates sollten unverzüglich und kostenlos verbreitet und angewendet werden.
Hersteller sollten die Security ihrer Produkte regelmäßig testen und Informationen über behobene Schwachstellen offenlegen.
Hersteller können die Offenlegungaufschieben, wenn die Sicherheitsrisiken den Nutzen überwiegen, bis die Nutzer die Patches anwenden können.
Beim Umgang mit Schwachstellen ist auch definiert, welche Elemente in einer Offenlegung enthalten sein müssen.
Eine Veröffentlichung braucht folgende Beschreibungen:
- Schwachstellen
- betroffene Produkte
- Auswirkungen
- Schweregrad
- Anleitung zur Behebung
Fragen zum Cyber Resilience Act
Was ist der Cyber Resilience Act?
Hier erfahren Sie mehr zu den Hintergründen des Cyber Resilience Acts, seiner Ziele und über die Herausforderungen, die er innerhalb der Europäischen Union adressieren soll.
Was sind die Ziele des Cyber Resilience Acts?
Was möchte die Europäische Union überhaupt verändern und wo möchte sie in Sachen Cybersicherheit hin? Erfahren Sie mehr über die übergeordneten Ziele des CRA.
Was sind die Vorteile des Cyber Resilience Acts?
Erfahren Sie mehr zu den prognostizierten Vorteilen des CRA für Hersteller und Nutzer in der Europäischen Union. Und warum KMUs vom CRA profitieren könnten.
Timeline des CRA - wann kommt der Cyber Resilience Act?
Das Europäischen Parlament hat den CRA zwar bereits verabschiedet. Allerdings muss der Europäische Rat ihn noch verabschieden. Ab diesem Tag läuft die Übergangsfrist. Aber wie lang geht diese und was passiert währenddessen?
Was sind Produkte mit digitalen Elementen?
Der CRA verweist immer wieder auf diesen Begriff. Hier erfahren Sie, was er bedeutet. Und welche Produkte der CRA betrifft oder nicht betrifft.
Was sind die CRA Requirements?
Welche Anforderungen stellt der Cyber Resilience Act an die Cybersicherheit von Produkten in der Europäischen Union?
Wie CRA-konform mit Schwachstellen umgehen?
Schwachstellen sind unvermeidlich. Deshalb gibt der CRA auch vor, wie Hersteller bei der Entdeckung von Schwachstellen handeln sollten.
Welche Produktkategorien kennt der CRA?
Wie Hersteller die Konformität ihrer Produkte mit den Anforderungen des CRA sicherstellen, hängt auch davon ab, in welche Kategorie sie fallen.
Was ist ein Conformity Assessment und wie führt man es durch?
Es gibt verschiedene Verfahren, wie Hersteller die Konformität ihrer Produkte bestätigen können. Das hängt auch von der Produktkategorie ab.
Wie reguliert der CRA Free und Open Source Software?
FOSS fällt unter den CRA, wenn sie in einem wichtigen Produkt integriert ist und kommerziell genutzt wird.
Wie reguliert der CRA Fremdkomponenten?
Kein Hersteller baut alles selbst. So geht der Cyber Resilience Act mit Komponenten von Drittanbietern um.