Software-Lieferkette im Visier

EU präsentiert Gesetz für cybersichere Produkte

Uhr

Die EU hat einen Entwurf für ein Gesetz zur Cyber-Resilienz vorgestellt. Die Verordnung verpflichtet Hersteller von Produkten mit digitalen Elementen unter anderem zu Transparenz über verwendete Komponenten und Schwachstellen. Ähnliche Bemühungen laufen in den USA.

(Source: mixmagic / AdobeStock)
(Source: mixmagic / AdobeStock)

In der Europäischen Union soll die Cybersicherheit von Produkten gesetzlich verankert werden. Dazu legte die EU-Kommission am 15. September 2022 den Entwurf des "European Cyber Resilience Act" vor. Die Verordnung enthält Regeln für die Sicherheit von Produkten, die mit digitalen Elementen auf den Markt gebracht werden, Anforderungen an das Design und die Entwicklung solcher Produkte sowie Anforderungen an das Lebenszyklusmanagement von Produkten und die Meldung von Schwachstellen.

Der Gesetzesentwurf gilt für Produkte mit digitalen Elementen, nicht aber für Dienstleistungen wie Software-as-a-Service (SaaS), es sei denn, ein Produkt benötigt für seinen Betrieb eine Datenfernverarbeitung, die vom Hersteller konzipiert wurde oder in seiner Verantwortung liegt, teilt die EU-Kommission mit.

"Wir müssen uns darauf verlassen können, dass die Produkte, die im Binnenmarkt angeboten werden, sicher sind", erklärte Margrethe Vestager, die für das Ressort "Ein Europa für das digitale Zeitalter" zuständige Exekutiv-Vizepräsidentin. "Ähnlich, wie das CE-Kennzeichen bei Spielzeug oder Kühlschränken die Sicherheit bescheinigt, stellt das Cyberresilienzgesetz sicher, dass die angebotenen vernetzten Hardware- und Softwareprodukte strenge Cybersicherheitsanforderungen erfüllen. Dazu nehmen wir diejenigen in die Pflicht, die die Produkte in Verkehr bringen."

Als nächstes werden sich das Europäische Parlament und der Rat über den Gesetzesentwurf beugen, teilt die EU-Kommission mit. Nach der Verabschiedung haben die Wirtschaftsakteure und die Mitgliedstaaten zwei Jahre Zeit, sich an die neuen Anforderungen anzupassen. Davon ausgenommen ist die Meldepflicht der Hersteller für aktiv ausgenutzte Schwachstellen und Vorfälle, die bereits ein Jahr nach Inkrafttreten gelten würde.

Sicherung der Softwarelieferkette wird wichtiger

Auch die USA reagieren mit Gesetzesänderungen auf die Zunahme an Cybervorfällen. So veröffentlichte das Weisse Haus bereits im Juli 2022 einen Erlass zur "Verbesserung der Cybersicherheit des Landes". Dieser soll unter anderem den Austausch von Informationen über Vorfälle und Schwachstellen fördern. Zudem verpflichtet er die Software-Lieferanten der Regierung zu mehr Transparenz bezüglich verwendeter Komponenten.

Ein Aspekt der europäischen und US-amerikanischen Gesetzesentwürfe ist besonders auffällig: die Sicherung der Softwarelieferkette. Seit der Log4j-Sicherheitslücke und der Solarwinds-Affäre, die sich auf Millionen von Anwendungen ausgewirkt haben, ist die Frage der Transparenz von Softwarekomponenten - insbesondere von Open-Source-Bausteinen - Gegenstand vieler Diskussionen und Entwicklungen. Dabei wird die Idee der Software Bill of Materials (SBOM) – von standardisierten, maschinenlesbaren Dokumenten, die alle Komponenten einer Anwendung beschreiben - immer populärer.

Sie war etwa eines der Hauptthemen des OpenSSF Day Europe, der diese Woche in Dublin stattfand. Die Organisatoren der OpenSSF (Open Source Security Foundation ) erklären dazu, dass Anbieter zur Erleichterung der Schwachstellenanalyse eine Software Bill of Materials erstellen sollten, die es ihnen und den Benutzern ermöglicht, bekannte und neu auftretende Schwachstellen und Risiken zu verfolgen.

Das Thema ist auch auf der Agenda des Weissen Hauses, dessen CISO Chris DeRusha diese Woche eine "Guidance" für die Bereitstellung von Software für die Regierung veröffentlicht hat. Die Guidance fordert die US-Behörden auf, nur Software zu verwenden, die den Standards für die Entwicklung sicherer Software entspricht, und ermutigt sie, von ihren Lieferanten Software Bill of Materials für kritische Zwecke zu verlangen.

Laut einer von Venafi veröffentlichten Studie sind sich CIOs der Bedrohung durch Schwachstellen in Ihrer Softwarelieferkette durchaus bewusst. Allerdings wissen sie oft nicht, welche organisatorischen Veränderungen und neuen Kontrollen nötig sind, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_268301