Allein in den USA wurden im Jahr 2024 bisher 14.286 CVEs auf der Website des National Institute of Standards and Technology veröffentlicht. Diese „Common Vulnerabilities and Exposures (CVE)“ bezeichnen Sicherheitslücken und andere Schwachstellen in Computersystemen, die einem Hacker einen Angriff ermöglichen können. Nach der kommenden EU-Gesetzgebung, dem Cyber Resilience Act (CRA), dürfen Geräte demnächst nicht mehr mit bekannten ausnutzbaren Schwachstellen ausgeliefert werden. Treten dennoch bekannte und ausnutzbare Schwachstellen auf, haften Hersteller, Verkäufer oder Importeure als Unternehmen und die gesamte Unternehmensführung. Beim Thema Cyber-Resilienz ist für die Zukunft unter der Gesetzgebung des Cyber Resilience Act klar, dass Kunden – im privaten wie im industriellen Umfeld – einen effektiven Anspruch auf sichere Software haben. Der Wettlauf allerdings, wer Schwachstellen zuerst entdeckt, geht weiter: Unternehmen sind daher gut beraten, jetzt sowohl eine effiziente CVE-Erkennung als auch ein Impact Assessment einzuführen, um die eigenen Produkte besser zu durchleuchten und sich gegen schwerwiegende Folgen von Schwachstellenszenarien zu wappnen. „Der CRA fordert von allen Herstellern verpflichtende Prüfungen, Überwachung und Dokumentation der Produkt-Cybersicherheit, dazu gehört auch die Prüfung auf unbekannte Schwachstellen, den sogenannten ‚Zero-Days‘“, sagt Jan Wendenburg, CEO des auf Cybersecurity spezialisierten Unternehmens ONEKEY mit Sitz in Düsseldorf.
Der Begriff Zero-Day steht für neu entdeckte Sicherheitslücken, über die Hacker angreifen können, und bezieht sich auf „Null Tage“, die ein Hersteller oder Entwickler Zeit hat, den Fehler zu beheben. Viele Hersteller oder Inverkehrbringer kennen die potenziellen Schwachstellen ihrer eigenen Produkte nur unzureichend, die sich beispielsweise bei Industriesteuerungen auch in Komponenten mit eigener Firmware von Zulieferern verbergen können. Generell können Hardware und Firmware sowie alle Devices des Internet of Things (IoT) von solchen Schwachstellen betroffen sein. Mit dem ONEKEY Compliance Wizard bieten die Cybersicherheitsexperten von ONEKEY eine umfassende Cybersicherheitsbewertung von Produkten mit digitalen Elementen an. Durch die Kombination von automatischer Schwachstellenerkennung, CVE-Priorisierung und Filterung mit einem ganzheitlichen, interaktiven Compliance-Fragebogen werden Aufwand und Kosten von Cybersicherheits-Compliance-Prozessen deutlich reduziert und das Risiko drohender Bußgelder minimiert. „Wer nicht pünktlich zum Start des CRA ganz vorne in der Reihe der Bußgeld-Zahler stehen will, muss bereits jetzt Prozesse schaffen, um die eigenen Risiken analysieren und patchen zu können“, rät Jan Wendenburg von ONEKEY.
Entdecke mehr von LabNews
Melde dich für ein Abonnement an, um die neuesten Beiträge per E-Mail zu erhalten.
