Sarah Berger

Sarah Berger

Sarah Berger ist Expertin für Informationssicherheit und Open Source Software Compliance.

Risikoanalyse im Cyber Resilience Act

Warum überhaupt eine Risikoanalyse? Wenn in Projekten das Thema Risikoanalyse aufkommt, entsteht schnell der Eindruck, es ginge nur darum, ein weiteres Kästchen in einer Checkliste abzuhaken. Doch das ist ein totales Missverständnis und wird dem Thema Risikoanalyse und Risikomanagement nicht gerecht. Eine Risikoanalyse ist kein reines Dokumentationsartefakt, sondern ein zentrales Werkzeug, um die Sicherheit und Resilienz eines Produkts wirklich zu verstehen und gezielt zu verbessern.

Begriffe in der Cybersicherheit: Was ist eigentlich eine Schwachstelle?

Was genau ist eigentlich eine Schwachstelle? Und was unterscheidet sie von einer technischen Schwäche, einer Bedrohung oder einem Risiko? Diese Begriffe tauchen in Normen, Tools, Gesetzen und Audits immer wieder auf, werden aber oft unterschiedlich verwendet. In diesem Artikel erklären wir die wichtigsten Begriffe der IT-Sicherheit klar, praxisnah und mit Bezug zur Cyber-Resilience-Verordnung (CRA).

Security-Updates als Pflicht im Cyber Resilience Act

Mit dem Cyber Resilience Act (CRA) werden Security-Updates für Produkte mit digitalen Elementen zur verbindlichen Pflicht. Hersteller müssen Sicherheitslücken unverzüglich und kostenlos beheben, eine Supportperiode definieren und Updates über eine sichere Infrastruktur verteilen.

Technische Dokumentation und Nutzerinformationen nach dem Cyber Resilience Act

Der Cyber Resilience Act (CRA) verpflichtet Hersteller, eine umfassende technische Dokumentation zu erstellen und zugleich klare Informationen für die Nutzer bereitzustellen. Während die technische Dokumentation in erster Linie für die Marktaufsicht und die Konformitätsbewertung gedacht ist, müssen Anleitungen und Hinweise für die Endnutzer verständlich und praxisnah sein.

Was sind die Pflichten für Importeure und Distributoren nach dem Cyber Resilience Act?

Bisher standen beim Thema Cyber Resilience Act vor allem die Hersteller im Rampenlicht. Doch der CRA geht deutlich weiter, er verpflichtet auch Importeure und Distributoren, aktiv Verantwortung für die Sicherheit von Produkten mit digitalen Elementen zu übernehmen.

Wie stelle ich die Konformität meines Produktes nach dem Cyber Resilience Act sicher?

Der Cyber Resilience Act (CRA) verlangt, dass Hersteller nachweisen, dass ihre Produkte mit digitalen Elementen sicher sind, nicht nur beim Verkaufsstart, sondern über den gesamten Lebenszyklus hinweg. Dieser Nachweis erfolgt über ein Konformitätsbewertungsverfahren, das je nach Kritikalität des Produkts unterschiedlich streng ausfällt.

Was sind die Pflichten der Hersteller nach dem Cyber Resilience Act?

Der Cyber Resilience Act (CRA) verpflichtet Hersteller von Produkten mit digitalen Elementen zu umfassenden Maßnahmen. Diese Pflichten reichen von der sicheren Konzeption über die Prüfung von Drittkomponenten bis hin zur transparenten Kommunikation mit Kunden und Behörden.

Welche Produkte fallen unter den Cyber Resilience Act?

Der Cyber Resilience Act (CRA) gilt für alle Produkte mit digitalen Elementen, die in der EU vertrieben werden, unabhängig davon, wo sie entwickelt wurden oder wo der Hersteller sitzt. Erfasst werden sowohl physische als auch virtuelle Produkte, deren Funktion auf Vernetzung und Datenverarbeitung basiert.

Was sind die Ziele vom CRA?

Der Cyber Resilience Act (CRA) ist die Reaktion der EU auf das niedrige Sicherheitsniveau vieler digitaler Produkte in Kombination mit den stetig wachsenden Schwachstellen und den daraus resultierenden Risiken. Der CRA soll sicherstellen, dass Geräte und Software künftig über den gesamten Lebenszyklus hinweg geschützt bleiben.

Inhalt einer Open-Source Policy

Warum Open-Source Governance immer wichtiger wird Open-Source Software ist längst Standard, nicht nur in Start-ups, sondern in nahezu jedem Unternehmen, das digitale Produkte entwickelt oder anbietet. Das gilt für reine Softwareprodukte, aber auch für IoT Produkte. Gerade für den Embedded Bereich ist ein richtiger Umgang mit Open-Source elementar.

Copyleft verständlich erklärt

Copyleft ist eines der faszinierendsten und gleichzeitig meist missverstandenen Konzepte im Open-Source-Recht. Bei SecuraPoint treffen wir häufig auf Unternehmen, die Copyleft-Lizenzen pauschal ablehnen oder umgekehrt unkritisch einsetzen, ohne die Konsequenzen für ihre proprietäre Software oder SaaS-Angebote zu bedenken. Deshalb möchten wir in diesem Blogartikel einen detaillierten Blick auf die Grundlagen, Hintergründe und die praktische Bedeutung von Copyleft werfen. Außerdem geben wir konkrete Tipps und Beispiele, wie man in Projekten damit umgehen sollte.

Open Source Lizenzen im Überblick

Die Welt der Open Source Lizenzen ist vielfältig und komplex. In diesem Beitrag erkläre ich die wichtigsten Lizenztypen, zeige viele konkrete Beispiele aus gängigen Programmiersprachen, gehe auf das oft vergessene Thema Multilicensing ein und beleuchte die oft übersehenen Acknowledgement Requirements. Damit liefert dieser Artikel eine umfassende Orientierung, warum Open Source Compliance so wichtig ist und welche Fallstricke es gibt.

Open-Source im Unternehmen: Ein Blick auf den Value Stream

Open-Source ist keine Randerscheinung. Ob Webframework, Datenbank, DevOps-Tooling oder Embedded-Komponente, Open-Source-Software Komponenten sind heute in fast allen Teilen moderner IT-Landschaften zu finden. Doch der Einsatz von Open Source ist weit mehr als nur eine technische Entscheidung. Er berührt Geschäftsmodelle, Rechtsfragen, Sicherheitsanforderungen und zunehmend auch regulatorische Rahmenbedingungen.

ISO/IEC 27001 Audit und Risikomanagement

In Zeiten zunehmender Cyber-Bedrohungen, regulatorischer Anforderungen und wachsender Abhängigkeit von IT-Systemen ist Informationssicherheit kein optionaler Luxus mehr, sondern ein unternehmerisches Muss. Die Norm ISO/IEC 27001 hat sich weltweit als Standard für den Aufbau, Betrieb und die kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS) etabliert. Zwei ihrer tragenden Säulen sind das Auditprogramm und ein systematisches Risikomanagement.

Was ist ein PSIRT?

Am 7. Juni 2024 veröffentlichte der CERT-Bund eine Warnung vor der Schwachstelle WID-SEC-2024-131 in Microsoft Azure. Die Ursache war ein fehlerhaft konfigurierter SAS-Token (Shared Access Signatures), mit dem Angreifer Zugriff auf eigentlich geschützte Ressourcen erhalten konnten, und das ohne Authentifizierung. Diese Schwachstelle wurde mit einem CVSS-Score von 10.0 bewertet, der höchstmöglichen Risikostufe. Betroffen waren nicht nur Azure-Dienste selbst, sondern auch Produkte und Plattformen, die darauf aufbauen.

Was ist ein Incident Management System?

Cyberangriffe, Ransomware, kompromittierte Identitäten, systemischer Datenabfluss oder unbeabsichtigte Handlungen, sicherheitsrelevante Vorfälle sind längst zu einer Realität des IT-Betriebs geworden. In einem digitalisierten, hochvernetzten Geschäftsumfeld, in dem Verfügbarkeit, Vertraulichkeit und Integrität von Informationen kritische Erfolgsfaktoren darstellen, ist es nicht mehr die Frage, ob ein Sicherheitsvorfall eintreten wird, sondern wann.

Die Lage der IT-Sicherheit in Deutschland 2024

Der neue BSI-Lagebericht zur IT-Sicherheit 2024 dokumentiert ein weiteres Jahr mit weiteren Cyberbedrohungen. Der Lagebericht zeigt eindeutig, das Thema IT-Sicherheit wird jeden Tag wichtiger und ist damit längst Chefsache. Die tägliche Gefahr durch Cyberbedrohungen ist vielfältig und wird zunehmend durch Angriffe auf kritische Infrastrukturen systemrelevant.

Was ist die NIS-2?

Die EU-Richtlinie NIS-2 (Network and Information Security Directive 2) markiert einen bedeutenden Schritt zur Stärkung der Cybersicherheit innerhalb der Europäischen Union. Sie erweitert den Anwendungsbereich der vorherigen NIS-Richtlinie und verpflichtet eine Vielzahl von Unternehmen und öffentlichen Einrichtungen zu umfassenden Sicherheitsmaßnahmen.

Wie ISO 27001 und Open Source Standards gemeinsam Sicherheit und Compliance stärken

Open Source Software ist längst kein Nischenthema mehr, sondern fundamentaler Bestandteil moderner IT-Architekturen. Kaum ein Softwareprojekt wird heute ohne den Einsatz von Open Source Software durchgeführt. Gleichzeitig steigt der regulatorische Druck auf Unternehmen, ihre Informationssicherheit systematisch und nachvollziehbar zu managen. Wie beispielsweise durch ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) nach der ISO/IEC 27001.

Von der Lizenz zur Sicherheit mit ISO/IEC 18974

Was haben die Sicherheitsvorfälle Spring4Shell, OpenSSL Heartbleed oder XZ Utils Backdoor gemeinsam? Alles waren Open-Source-Software Komponenten und mit ihnen entstanden zahlreiche Sicherheitsvorfälle durch manipulierte Software innerhalb der Komponenten. Das sind nur wenige Beispiele, die zeigen, wie anfällig Software-Lieferketten sind. Der Einsatz von Open-Source-Software Komponenten ist heute ein integraler Bestandteil in der Softwareentwicklung.

ISO/IEC 5230 als Grundlage für sicheres Open Source Management

Jeden Tag werden mehr als 20 000 neue Open-Source-Software Komponenten released. Ein Softwareprojekt ohne den Einsatz von Open-Source-Software Komponenten ist in der Realität nicht mehr vorstellbar. Doch mit den vielen Vorteilen kommen natürlich auch Pflichten. Welche Lizenz gilt für welchen Code? Was muss ich mitliefern? Welche Risiken gehe ich ein? Wenn Unternehmen Open Source professionell einsetzen, brauchen sie klare, wiederholbare Prozesse. Genau hier setzt die ISO/IEC 5230 an.

VEX erklärt: Welche Schwachstellen sind wirklich relevant?

Durch den vermehrten Einsatz von Dritt-Software-Komponenten und die steigende Anzahl an täglichen neuen Schwachstellen führt kein Weg mehr an der systematischen Analyse von Schwachstellen vorbei. Wer sich bereits mit den bekannten CVE-Datenbanken beschäftigt hat, weiß, dass die Flut an gefundenen CVEs oft nur bedingt hilfreich ist. Nicht jede gemeldete Schwachstelle stellt tatsächlich ein Risiko dar, oftmals sind diese nicht relevant für das eingesetzte Produkt, die Konfiguration oder den Nutzungskontext. Hier kommt der VEX-Standard (Vulnerability Exploitability eXchange) ins Spiel.

Cyber Resilience Act: Wie können sich Unternehmen auf die neuen Sicherheitsanforderungen vorbereiten

Die Anzahl an digitalen Produkten ist in den letzten Jahren stark gestiegen. Seien es klassische SaaS Produkte oder vernetzte Geräte im Haushalt oder Industriebereich. Diese digitalen Produkte hatten jedoch häufig ein geringes Cybersicherheitsniveau, was zu teils massiven Angriffen geführt hat. Der Cyber Resilience Act ist die erste europäische Verordnung, welche ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind.

SBOM und der Cyber Resilience Act

Der Cyber Resilience Act ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind. Damit sind nicht nur IoT-Produkte gemeint, sondern auch SaaS-Produkte oder Smartphone Apps. Das bedeutet, dass sich so gut wie alle Softwarehersteller mit dem Thema Cyber Resilience Act beschäftigen müssen. Der Cyber Resilience Act hat verschiedene Anforderungen, unter anderem die Erstellung und Archivierung einer SBOM für das jeweilige Softwareprodukt.

Was bedeutet Software Composition Analysis (SCA)?

Durch die vermehrte Nutzung von Open-Source und Third-Party-Komponenten konnten Vorteile wie schnellere Entwicklungszeiten und damit auch die entsprechenden Kosteneinsparungen realisiert werden. Allerdings entstanden natürlich auch entsprechende Risiken im Bereich Informationssicherheit und Compliance. Eine Software Composition Analysis (SCA) hilft, diese Risiken zu identifizieren und zielführend zu reduzieren.

SBOM: Die Grundlage für sichere Software-Lieferketten

Beim Lebensmitteleinkauf geht der Blick so gut wie immer auf die entsprechende Produktrückseite, um die Produktzutatenliste zu studieren. Schließlich wollen wir als Verbraucher genau wissen, welche Zutaten sich in unseren Lebensmitteln befinden. In den letzten Jahren und Jahrzehnten haben sich diesbezüglich die Deklarierungspflichten stark verschärft.