Unternehmen haben maximal bis 2027 Zeit, ihre gesamte IT-Sicherheitsarchitektur auf den neuesten und nachweislich besten Stand zu bringen. Die Regelung gilt für alle Geräte und Produkte, die ab 2027 auf den Markt kommen, denn ab dann verpflichtet die EU mit dem Cyber Resilience Act (CRA) alle Hersteller digitaler Produkte und Dienstleistungen, deren IT-Sicherheit zu gewährleisten. Nach Inkrafttreten des Gesetzes, das noch in diesem Jahr erwartet wird, muss die Umsetzung der neuen IT-Sicherheitsstandards definitiv ganz oben auf der Prioritätenliste stehen. Wie umfangreich und aufwendig diese Umsetzung sein wird, ist jedoch aufgrund der oftmals komplexen Architekturen und der Verwendung von Komponenten von Drittanbietern für viele schwer abzuschätzen. Der Cyber Resilience Act fordert jedoch nicht nur für neue Geräte ein den aktuellen Risiken angepasstes Sicherheitsniveau, sondern bezieht explizit die gesamte Produktlieferkette mit ein. Viele Unternehmen sind mit den Anforderungen des Gesetzes überfordert und können mögliche Risikofaktoren nicht klar definieren.

Der Schwerpunkt der Anwendung von Confirmate liegt auf der Quellcodeanalyse der im Produkt enthaltenen Softwarekomponenten und der bereitgestellten Schnittstellen, wie z. B. Cloud-Backends.

Hier setzt das Forschungsprojekt „Confirmate“ des Fraunhofer AISEC an. Confirmate ist ein Werkzeug, das Unternehmen dabei unterstützt die CRA-Konformität ihrer digitalen Produkte zu überprüfen. Mit Confirmate sollen Hersteller die Sicherheitsanforderungen an ihre Produkte besser verstehen und dokumentieren können, außerdem soll das Tool aufzeigen, welche Anforderungen des CRA erfüllt werden und wo noch Nachbesserungsbedarf besteht.

Der Schwerpunkt der Anwendung von Confirmate liegt auf der Quellcodeanalyse der im Produkt enthaltenen Softwarekomponenten und der bereitgestellten Schnittstellen, wie z. B. Cloud-Backends, sowie der vorhandenen Dokumentation von Prozessen wie dem Schwachstellenmanagement. Das Tool gleicht die vorhandenen Sicherheitseinstellungen mit den gesetzlichen Vorgaben aus dem CRA ab und berücksichtigt dabei auch die gesetzlichen Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Auch Softwarekomponenten von Drittanbietern sowie bereits bekannte Schwachstellen können mit dem Tool überprüft werden.

Der CRA bringt Unternehmen, die das Thema bisher eher als lästig empfunden haben, nun zum Handeln – zum eigenen Schutz und zum Schutz von Millionen von Nutzern.

„Confirmate kombiniert die statische Analyse zur Überprüfung der Sicherheitseigenschaften des Programmcodes mit einer automatisierten Konformitätsbewertung. Die Möglichkeit, Dokumente und Erklärungen manuell hinzuzufügen, macht das Programm zu einem umfassenden Monitoring-Tool, das eine verlässliche Aussage über den Konformitätsstatus eines digitalen Produkts liefert“, sagt Christian Banse, Abteilungsleiter Service and Application Security am Fraunhofer AISEC. In einer detaillierten Übersicht erfasst Confirmate den Stand der Umsetzung. So können Hersteller schnell erkennen, wie es um die Cybersicherheit ihres Produkts bestellt ist und wo noch Handlungsbedarf in Sachen CRA besteht. Cyber-Angriffe haben exponenziell zugenommen. Der CRA bringt Unternehmen, die das Thema bisher eher als lästig empfunden haben, nun zum Handeln – zum eigenen Schutz und zum Schutz von Millionen von Nutzern.