Wer den EU CRA richtig angehen will, sollte aus den Fallstricken der Datenschutz-Grundverordnung (DSGVO) lernen.If you want to get the EU CRA right, you need to learn from the pitfalls of the General Data Protection Regulation.
Die Europäische Union möchte die Cybersicherheit stärken. Der kommende Cyber Resilience Act (EU CRA) ist ein wichtiger Schritt in der europäischen Cybersicherheitspolitik. Er zielt darauf ab, die digitale Abwehr in der Europäischen Union durch einen proaktiven Cybersicherheitsansatz zu verbessern. Im Gegensatz zu früheren Verordnungen wie der Datenschutz-Grundverordnung (DSGVO) stellt der EU CRA die tatsächliche Widerstandsfähigkeit über die Einhaltung von Vorschriften und konzentriert sich auf eine wirksame Risikominderung.

„Der CRA ist ein wichtiger Schritt, um das Bewusstsein für Cyberrisiken auf Unternehmensebene zu schärfen. Es besteht jedoch die Gefahr, dass er zu einer reinen Compliance-Checkbox verkommt, wie es bei der DSGVO der Fall ist“, äußert Andy Grolnick, CEO des Sicherheitsanbieters Graylog, Bedenken.

Fallstrick Compliance-Checkbox

„Checkbox-Sicherheit ist wie ein Pflaster auf eine klaffende Wunde zu kleben, es ist kein ausreichender Ansatz. Wir haben die Unzulänglichkeiten früherer Verordnungen wie der Datenschutz-Grundverordnung gesehen, bei der die Einhaltung der Vorschriften oft die eigentlichen Sicherheitsmaßnahmen überschattete“, so Grolnick weiter.

Die DSGVO wurde verabschiedet, um den Datenschutz für die Nutzer zu verbessern. Die Idee war, Cookies zu minimieren, die alle Bewegungen der Nutzer verfolgen. In der Praxis hat sie dieses Ziel jedoch verfehlt. Anstatt eine Website zu besuchen und heimlich verfolgt zu werden, haben die Nutzer nun das Privileg, Cookies zu akzeptieren und wissentlich verfolgt zu werden. Fakt ist, dass die Verordnung das Tracking nicht eingedämmt hat, sondern im Gegenteil das Surferlebnis für viele beeinträchtigt und Unternehmen Millionen gekoste

Anstatt das Tracking abzuschaffen, haben die Unternehmen Geld investiert, um die Nutzer darauf aufmerksam zu machen, dass es stattfindet. Das Risiko besteht darin, dass Unternehmen die Verordnung teilweise einhalten, indem sie angemessene Sicherheitsmaßnahmen in Bezug auf Design, Entwicklung, Bereitstellung und Supportmechanismen ergreifen, aber nicht wirklich versuchen, das Problem des Hacking zu lösen.

„Was wir nicht brauchen, ist eine weitere Verordnung, die Hersteller dazu zwingt, Vorschriften einzuhalten, ohne sich wirklich auf die Verbesserung ihrer Cybersicherheit zu konzentrieren, da wir immer stärker vernetzt sind“, erklärt Grolnick. „Der EU CRA wird die Unternehmen zwar dazu bringen, darüber nachzudenken, wie sie das Internet der Dinge nutzen, aber es wird nur eine minimale Compliance-Anforderung geben, und genau darin liegt das Problem.“

Prioritäten richtig setzen

Bei jedem Produkt, das „intelligenter“ wird, müssen die daraus resultierenden Schwachstellen berücksichtigt werden. Wenn Verbraucher Gegenstände in ihr Zuhause bringen, die eine Verbindung mit ihrem Smartphone oder ihrem WLAN benötigen, können sie letztlich Kriminellen Zugang zu ihrem Zuhause verschaffen.

„Wenn Geschirrspüler, Lautsprecher oder intelligente Türschlösser über das Internet oder mehrere APIs (Application Programming Interfaces oder Programmierschnittstellen) mit dem Smartphone verbunden sind, dann ist diese Verbindung ein gefundenes Fressen für Hacker, ebenso wie alle Datenpakete, die über diesen Kanal übertragen werden – persönliche Daten, Geolokalisierungsdaten, Netzwerkzugang, Gerätesteuerung und vieles mehr. Innovation ist gut, aber nicht ohne Standards. Sicherheit und Schutz müssen Innovation untermauern, wenn sie effektiv sein soll – und zwar weit über den Standard hinaus“, so Grolnick.

Hacker bedrohen Lieferketten

Im Jahr 2023 gab es viele Hackerangriffe auf die Lieferkette. Dabei nutzen Cyberkriminelle Schwachstellen in Systemen Dritter aus, um an wertvolle Daten und Kundenwerte zu gelangen.

Der vernetzte Charakter von IoT-Implementierungen, an denen häufig mehrere Unternehmen und komplexe Liefernetzwerke beteiligt sind, erfordert APIs für die Kommunikation zwischen Geräten, Anwendungen und Systemen. APIs sind eine äußerst unzureichend geschützte Angriffsfläche, was sie zu einem bevorzugten Ziel für Angreifer und zu einem erheblichen Risiko bei IoT-Implementierungen macht. Böswillige Akteure können Zero-Day-Schwachstellen, Schwachstellen in Authentifizierungsmechanismen und Gateway-Schutzmaßnahmen ausnutzen, um Zugang zu den in APIs enthaltenen wertvollen Informationen zu erlangen. Dazu gehören auch personenbezogene Daten.

APIs schützen und Sicherheitslücken schließen

Eines der Ziele der EU CRA ist es, IoT-Hersteller dazu zu bewegen, sich ernsthafter mit dem Thema Cybersicherheit auseinanderzusetzen und wirksame Maßnahmen zum Schutz von Verbraucherdaten zu ergreifen. Das bedeutet, dass sie mehr als nur das Notwendige tun müssen, um die Anforderungen zu erfüllen.

Die Hersteller müssen der Integration von robusten Authentifizierungsmechanismen wie kryptografischen Schlüsseln, Zertifikaten oder biometrischer Authentifizierung Priorität einräumen, um den unbefugten Zugriff auf Geräte und Funktionen zu verhindern. Authentifizierungsprotokolle wie rollenbasierte Zugriffskontrollen sollten bereits in der Entwicklungsphase von IoT-Geräten festgelegt werden. Darüber hinaus liegt es in der Verantwortung der Hersteller, die Betriebssoftware auf dem neuesten Stand zu halten, um Schwachstellen zu beheben und Zero-Day-Exploits zu verhindern.

Sich nur auf den Schutz des äußeren Perimeters zu verlassen, ist angesichts der zunehmenden Raffinesse der Bedrohungsakteure unzureichend.

Da die Hersteller Zugriff auf die Benutzeraktivitäten haben, können sie diese aktiv protokollieren und überwachen, um böswillige Aktivitäten zu erkennen, bevor sie vom Netzwerk auf die Produktionsumgebung übertragen werden. Durch die Überwachung von API-Aufrufen können Hersteller beispielsweise Einblicke in die Datenbewegungen innerhalb ihrer Netzwerke gewinnen und so physische Schäden durch kompromittierte IoT-Geräte verhindern.

Kostenfalle Sicherheit

Sicherheit wird oft als kostspieliges Hindernis für die Produktion angesehen, das Prozesse verlangsamt und Lieferzeiten beeinträchtigt. Doch das muss nicht sein. Die Verbesserung von Prozessen durch Daten-Dashboards, die es Unternehmen ermöglichen, ihre Sicherheit zu überprüfen und nachzuweisen, aber auch einen geschäftlichen Nutzen zu erzielen, wird unterschätzt und ist offen gesagt eine Investition, die sich für Unternehmen lohnt.

24 Milliarden vernetzte Geräte im Jahr 2050

Da die Zahl der vernetzten Geräte bis 2050 weltweit auf 24 Milliarden ansteigen dürfte, wird die Verbreitung des Internet der Dinge die Angriffsfläche für Hacker rapide vergrößern. Regulierungsrahmen wie der CRA, die darauf abzielen, branchenweite Standards für die IoT-Produktion festzulegen, spielen eine entscheidende Rolle bei der Förderung des Bewusstseins für Cybersicherheit auf Unternehmensebene.

„Die Umsetzung erfordert eine enge Zusammenarbeit zwischen Herstellern, politischen Entscheidungsträgern und Cybersicherheitsexperten. Es ist dringend notwendig, aus den Fallstricken der Datenschutz-Grundverordnung zu lernen und sicherzustellen, dass der EU-Rahmen für Cybersicherheit Unternehmen tatsächlich dazu ermutigt, Cybersicherheit zur Priorität zu machen und ihre Widerstandsfähigkeit zu stärken“, schließt Grolnick.

The European Union wants to strengthen cybersecurity. The upcoming Cyber Resilience Act (EU CRA) is an important step in European cybersecurity policy. It aims to improve the European Union’s digital defenses through a proactive approach to cybersecurity. Unlike previous regulations, such as the General Data Protection Regulation (GDPR), the EU CRA prioritizes actual resilience over compliance and focuses on effective risk mitigation.

„The EU CRA is an important step in raising awareness of cyber risks at the corporate level. However, there is a risk that it will degenerate into a mere compliance checkbox, as is the case with GDPR,“ says Andy Grolnick, CEO of security vendor Graylog.

Pitfall compliance checkbox

„Checkbox security is like putting a Band-Aid on a gaping wound, it’s not a good enough approach. We’ve seen the shortcomings of previous regulations, such as GDPR, where compliance often overshadowed actual security measures,“ Grolnick added.

GDPR was passed to improve privacy for users. The idea was to minimize cookies that track users‘ every move. In practice, however, it has failed to achieve that goal. Instead of visiting a website and being surreptitiously tracked, users now have the privilege of accepting cookies and being knowingly tracked. In fact, instead of curbing tracking, the regulation has made the browsing experience worse for many and cost companies millions.

Instead of eliminating tracking, companies have invested money in making users aware that it is happening. The risk is that companies are partially complying with the regulation by taking appropriate security measures in terms of design, development, deployment and support mechanisms, but not really trying to solve the problem of hacking.

„What we don’t need is another regulation that forces manufacturers to comply without really focusing on improving their cybersecurity as we become more connected,“ Grolnick explains. „While the EU CRA will make companies think about how they’re using the Internet of Things, there will be minimal compliance requirements, and that’s where the problem lies.“

Getting the priorities right

With any product that becomes „smarter,“ the resulting vulnerabilities need to be considered. When consumers bring items into their homes that require a connection to their smartphone or Wi-Fi, they can ultimately give criminals access to their homes.

„If dishwashers, speakers, or smart door locks are connected to the smartphone via the Internet or multiple APIs (Application Programming Interfaces), then that connection is a sitting duck for hackers, as are any data packets transmitted over that channel – personal data, geolocation data, network access, device control, and more. Innovation is good, but not without standards. Security and protection must underpin innovation if it is to be effective – well beyond the standard,“ says Grolnick.

Hackers threaten supply chains

In 2023, there will be many hacker attacks on the supply chain. Cybercriminals exploited vulnerabilities in third-party systems to gain access to valuable data and customer assets.

The interconnected nature of IoT deployments, often involving multiple companies and complex supply networks, requires APIs to communicate between devices, applications, and systems. APIs are a very poorly protected attack surface, making them a prime target for attackers and a significant risk in IoT deployments. Malicious actors can exploit zero-day vulnerabilities, weaknesses in authentication mechanisms, and gateway protections to gain access to the valuable information contained within APIs. This includes personally identifiable information.

Securing APIs and closing security gaps

One of the goals of the EU CRA is to encourage IoT manufacturers to take cybersecurity more seriously and take effective measures to protect consumer data. This means doing more than just what is necessary to comply.

Manufacturers must prioritize the integration of robust authentication mechanisms such as cryptographic keys, certificates, or biometric authentication to prevent unauthorized access to devices and functions. Authentication protocols, such as role-based access controls, should be defined at the design stage of IoT devices. In addition, it is the responsibility of manufacturers to keep operating software up to date to address vulnerabilities and prevent zero-day exploits.

Relying on perimeter protection alone is insufficient given the increasing sophistication of threat actors.

Because vendors have access to user activity, they can actively log and monitor it to detect malicious activity before it moves from the network to the production environment. For example, by monitoring API calls, manufacturers can gain insight into data movement within their networks and prevent physical damage from compromised IoT devices.

Security as an expense trap

Security is often seen as a costly obstacle to production, slowing down processes and affecting delivery times. But it doesn’t have to be. Improving processes with data dashboards that allow companies to audit and prove their security and deliver business value is undervalued and, frankly, a worthwhile investment for companies.

24 Billion Connected Devices by 2050

With the number of connected devices expected to reach 24 billion worldwide by 2050, the proliferation of the Internet of Things will rapidly increase the attack surface for hackers. Regulatory frameworks such as the CRA, which aims to set industry-wide standards for IoT production, play a crucial role in driving cybersecurity awareness at the enterprise level.

„Implementation will require close collaboration between manufacturers, policymakers and cybersecurity experts. There is an urgent need to learn from the pitfalls of the GDPR and ensure that the EU Cybersecurity Framework actually encourages companies to prioritize cybersecurity and strengthen their resilience,“ Grolnick concluded.

Arne Lehfeldt, Systems Engineer und CTO Ambassador bei Dell Technologies, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen keine Angst vor KI haben sollten.Arne Lehfeldt, Systems Engineer and CTO Ambassador at Dell Technologies, explains why companies shouldn’t be afraid of AI in the Security, Storage and Channel Germany podcast with Carolina Heyder.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner