ONEKEY erweitert Compliance-Tests für vernetzte Geräte – ONEKEY Expands Connected Device Compliance Testing

„Unser Ziel ist es, unsere Plattform im Laufe der Zeit so zu erweitern, dass sie automatische Prüfungen nach allen gängigen regulatorischen Anforderungen durchführen kann und dann den Hersteller oder Anwender mit konkreten Informationen dabei unterstützt, Compliance-Probleme schneller und mit weniger Aufwand zu lösen“, erläutert Jan Wendenburg, CEO von ONEKEY, die Unternehmensstrategie.

Der Cyber Resilience Act der EU-Kommission verlangt von Herstellern, dass sie ihre Produkte über den gesamten Lebenszyklus hinweg auf Sicherheitslücken überprüfen und diese gegebenenfalls umgehend beheben. Bei der Radio Equipment Directive (RED) handelt es sich um eine EU-Verordnung zur elektromagnetischen Verträglichkeit und der effizienten Nutzung des Funkfrequenz­spektrums. Eine der zentralen Ergänzungen in der Neufassung RED II ist die Berücksichtigung der Cybersecurity, um die entsprechenden Geräte vor Cyberangriffen zu schützen.

Die Product Cybersecurity & Compliance Platform (OCP) arbeitet als ganzheitliche Lösung, von dem Management einer Software Bill of Materials (SBOM) über das durch RED II zwingend vorgeschriebene Vulnerability-Management bis hin zum Compliance Wizard von ONEKEY. Der zum Patent angemeldete Compliance Wizard kombiniert eine automatische Cyber-Sicherheitsprüfung mit einem virtuellen Assistenten, der Unternehmen durch ein vereinfachtes Assessment der technischen Cyber-Compliance führt. So ist eine dialoggeführte Ist-Aufnahme mit anschließender Analyse und Dokumentation möglich, die auch für die zunehmenden Nachweis­pflichten in Cybersicherheitsfragen genutzt werden kann.

„Für die Hersteller bringt die automatisierte Prüfung durch unsere Plattform und den Compliance Wizard eine wesentliche Vereinfachung, die Software ihrer Produkte auf neueste gesetzliche Anforderungen in Sachen Cybersicherheit zu prüfen und konkrete Anleitungen im Fehlerfall zu erhalten“, sagt Jan Wendenburg. Er führt aus: „Eventuelle Schwachstellen werden durch die Plattform aufgedeckt, so dass sie gezielt behoben werden können. Das schafft kostengünstig Sicherheit.“

ONEKEY sorgt seit Jahren für Sicherheit in vernetzten Geräten

ONEKEY erforscht bereits seit Jahren Cybersecurity-Schwachstellen in vernetzten Geräten und Anlagen und betreibt eine als SaaS-Anwendung nutzbare Product Cybersecurity and Compliance Platform, die eine automatisierte Prüfung und Risikoauswertung von Gerätesoftware vornimmt. Mit Überwachung der Software Bill of Materials (SBOM) in Bezug auf Vollständigkeit und Aktualität sowie Vulnerability Monitoring wird die Einhaltung von Standards wie RED II unterstützt.

Vorstufe zur Zertifizierung

Die generierten Reports lassen sich auch als Grundlage für Konformitäts-Selbsterklärungen verwenden. Bei neuen Softwareversionen kann die automatische Analyse binnen Minuten erfolgen, so dass sich die Dokumentation und Erklärungen umgehend aktualisieren lassen.

Der Report, der alle relevanten Informationen in strukturierter Form darstellt, ist dann oft auch der erste Schritt zu einer Zertifizierung. Durch den einfachen Export der Analyse, strukturierte Daten sowie unterstützende Dokumente können externe Zertifizierungsstellen eine gegebenenfalls anschließende Zertifizierung effizienter und schneller durchführen.

„Our goal is to expand our platform over time so that it can perform automatic checks according to all common regulatory requirements and then support the manufacturer or user with specific information to solve compliance problems faster and with less effort,“ says Jan Wendenburg, CEO of ONEKEY, explaining the company’s strategy.

The EU Commission’s Cyber Resilience Act requires manufacturers to test their products for security vulnerabilities throughout their lifecycle and to fix them immediately if necessary. The Radio Equipment Directive (RED) is an EU regulation on electromagnetic compatibility and the efficient use of the radio frequency spectrum. One of the key additions in the new version of RED II is the consideration of cybersecurity to protect equipment from cyber-attacks.

The Product Cybersecurity & Compliance Platform (OCP) works as a holistic solution, from managing a software bill of materials (SBOM) to vulnerability management, which is mandatory under RED II, to ONEKEY’s Compliance Wizard. The patent-pending Compliance Wizard combines an automated cybersecurity check with a virtual assistant that guides companies through a simplified assessment of technical cyber compliance.

This enables a dialog-driven as-is assessment with subsequent analysis and documentation, which can also be used for the increasing burden of proof in cybersecurity matters.

„The automated check by our platform and the Compliance Wizard makes it much easier for manufacturers to check the software of their products for the latest legal requirements in terms of cyber security and to receive specific instructions in case of errors,“ says Jan Wendenburg. He continues: „Any vulnerabilities are detected by the platform so that they can be eliminated in a targeted manner. This creates cost-effective security.

ONEKEY has been researching cybersecurity vulnerabilities in networked devices and systems for years and operates a Product Cybersecurity and Compliance Platform that can be used as a SaaS application and performs automated testing and risk assessment of device software. Compliance with standards such as RED II is supported by monitoring the Software Bill of Materials (SBOM) for completeness and currency, as well as vulnerability monitoring.

The reports generated can also be used as a basis for self-declarations of conformity. When new software versions are released, the automated analysis can be completed in minutes, allowing documentation and declarations to be updated immediately.

The report, which presents all relevant information in a structured way, is often the first step towards certification. By easily exporting the analysis, structured data and supporting documents, external certification bodies can perform any subsequent certification more efficiently and quickly.