Wie Pilz Industrieelektronik sich für den Cyber Resilience Act rüstet
Mit dem Cyber Resilience Act der EU kommen neue Pflichten für Hersteller von Produkten mit digitalen Elementen. Was diese nun tun müssen und wieso das im Interesse der Unternehmen selbst ist, erklärt Frank van Oudheusden, Consultant bei Pilz Industrieelektronik, im Interview.
Wie haben Sie vom Cyber Resilience Act (CRA) erfahren und was war Ihre erste Reaktion darauf?
Frank van Oudheusden: Als Automatisierungsunternehmen mit der Kernkompetenz Sicherheit engagiert sich Pilz weltweit aktiv in verschiedenen Normen-Gremien und setzt sich für die Schaffung von Rahmenbedingungen in den Bereichen Safety und Security ein. So sind wir frühzeitig im Bilde, wenn sich etwas an der Normen- und Gesetzeslage ändert – so auch beim CRA. Ich bin also über die entsprechenden Kanäle im Unternehmen informiert. Die Maschinen in der Produktion (auch Operational Technology genannt) sind immer stärker vernetzt, damit Teil der IT-Infrastruktur und dadurch auch angreifbar. Als erster Impuls war es spannend zu sehen, dass der europäische Gesetzgeber hier diesen Schritt für die horizontalen Cybersicherheitsanforderungen geht. Es geht darum, dass hier ein entsprechender Schutzbedarf besteht und das Sicherheitsniveau angehoben wird. Im Unternehmen haben wir bereits vor einigen Jahren Massnahmen zur "securen" Entwicklung sowie ein Schwachstellenmanagement etabliert. Der CRA hat uns darin bestärkt, diese Bestrebungen zu vertiefen und Security von der Entwicklung bis zum Ende des Produktlebenszyklus mitzudenken.
Welche konkreten Auswirkungen hat der CRA konkret auf Ihr Unternehmen, Ihre Prozesse und Ihre Produktentwicklung?
Die neue Verordnung verpflichtet uns als Hersteller von CE-gekennzeichneten Produkten mit digitalen Elementen ein angemessenes Cybersicherheitsniveau zu gewährleisten. Konkret bedeutet dies, dass es nun Vorgaben zur Risikobewertung und -gewährleistung, zum Schwachstellenmanagement, zur Dokumentation sowie zu den Meldepflichten gibt. Unsere Abläufe und Prozesse waren bereits auf Security ausgerichtet.
Wie weit sind Sie bereits mit der Umsetzung der notwendigen Massnahmen aufgrund der CRA?
Der CRA fordert, dass die Produkte mit digitalen Elementen nach grundlegenden Cybersicherheitsanforderungen konzipiert, entwickelt und hergestellt werden. Um dies umzusetzen, haben wir bereits vor einigen Jahren einen zertifizierten "securen" Entwicklungsprozess nach IEC 62443-4-1 in unseren Produktentwicklungsbereichen eingeführt und im Jahre 2022 zertifizieren lassen. Dadurch können wir gewährleisten, dass unsere Entwicklung dem CRA entsprechen werden. Das Produktportfolio von Pilz ist sehr umfangreich und jedes Produkt musste bewertet werden, inwieweit es durch den CRA betroffen ist und ob es ggf. angepasst werden muss. Diese Bewertung hat stattgefunden und die entsprechenden Massnahmen wurden frühzeitig eingeleitet.
Was für einen Kostenaufwand sollten Unternehmen erwarten aufgrund zusätzlicher Anforderungen durch den CRA?
Generell muss man mit Aufwänden rechnen, die durch das Etablieren von neuen Prozessen entstehen. Allgemein kann man aber davon ausgehen, dass die Aufwände in der Umstellungsphase der Prozesse etwas höher sind. Grundsätzlich führt eine Diskussion um Aufwand und Kosten für den CRA allerdings in die falsche Richtung. Denn aus eigener Erfahrung mit einem schweren Cyberangriff im Jahr 2019 kann Pilz berichten, dass der Schaden und damit Aufwand und Kosten, den ein "erfolgreicher" Cyberangriff anrichtet, deutlich grösser sind. Vorbeugende Massnahmen, wie vom CRA gefordert, rechnen sich daher definitiv.
Der CRA kommt mit einer Meldepflicht für Hersteller für aktiv ausgenutzte Schwachstellen und Vorfälle. Sind die Erwartungen der EU an Schweizer Hersteller diesbezüglich realistisch? Haben Sie bereits Prozesse implementiert, um falls nötig eine solche Meldung zu machen?
Neben den internen Prozessen haben wir ausserdem ein Product Security Incident Response Team (kurz PSIRT) etabliert. Unsere Kunden haben auf der Pilz-Website die Möglichkeit, Sicherheitslücken oder Schwachstellen zu melden. Zudem informieren wir in Form von Security Advisories Handlungsempfehlungen zur Behebung von möglichen Schwachstellen. In Zukunft soll es auch eine offizielle Meldeplattform für Schwachstellen von der Agentur der Europäischen Union für Cybersicherheit (ENISA) geben, sobald diese online ist, werden wir auch dort unseren Meldepflichten nachkommen. Der CRA fordert, dass alle in der EU in Verkehr gebrachten Produkte die Anforderungen erfüllen. Werden von Schweizer Herstellern Produkte in der EU in Verkehr gebracht, benötigen sie einen sogenannten Einführer. Dieser muss sicherstellen, dass der Schweizer Hersteller den CRA erfüllt. Sollte dies nicht der Fall sein, darf das in der Schweiz gefertigte Produkt nicht in der EU in Verkehr gebracht werden. Bei Nichteinhaltung des CRA sind wirksame Sanktionen gegen Unternehmen vorgesehen. Insofern kann man davon ausgehen, dass alle Schweizer Hersteller, die ihre Produkte in die EU exportieren wollen, ein grosses Interesse haben sich an den CRA zu halten.
Inwiefern trägt der CRA dazu bei, das allgemeine Sicherheitsgefühl oder die tatsächliche Sicherheitslage zu stärken?
Der CRA ist ein sogenannter horizontaler Rechtsakt, der sich über alle Produktgruppen erstreckt. Das heisst, sowohl Verbraucherprodukte wie Smartphones, Fernseher, Router oder auch relativ neue Lösungen wie vernetzte Steckdosen, Heimspeicher usw. sind ebenso davon betroffen wie Industrieprodukte. Wenn Hersteller in allen Bereichen verpflichtet sind, das Thema Cybersicherheit zu berücksichtigen und angemessene Massnahmen zu ergreifen, um die Produkte zu schützen, wird auch das Sicherheitsniveau angehoben. Der Verbraucher bekommt dank der damit verbundenen Transparenz (z.B. wie lange wird das Gerät mit Sicherheitsupdates versorgt) ebenfalls ein besseres Sicherheitsverständnis und kann somit bewusster entscheiden, wie er damit umgeht. Für die Industrie gelten in der EU neben dem CRA noch weitere neue Regelungen, die das Thema Cybersicherheit behandeln. Die neue Maschinenverordnung fordert beispielsweise geeignete Massnahmen, um die Sicherheitsfunktionen von Maschinen gegen Korrumpierung zu schützen. Ebenfalls gibt es noch die NIS-2-Richtlinie, die Unternehmen dazu verpflichtet den Schutz ihrer IT-Infrastruktur sicherzustellen und z.B. Backup-Pläne zu entwickeln. Zusammenfassend kann man also sagen: Ob und in welcher Tiefe sich ein Unternehmen mit Security auseinandersetzen will, ist nicht länger Ermessenssache des Unternehmens. Es ist inzwischen eine gesetzliche Vorgabe, deren Umsetzung im eigenen Interesse der Unternehmen liegt.
Mehr zum Cyber Resilience Act lesen Sie hier im Hintergrundbericht zur neuen Verordnung der EU.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Dieser Beitrag entstand für einen gemeinsamen Newsletter mit der SATW. Für die verschiedenen Newsletter der SATW können Sie sich hier anmelden. "SATW News" informiert allgemein über die Aktivitäten der SATW und "MINT" fokussiert sich auf das Themengebiet Nachwuchsförderung. Beide werden auf Deutsch und Französisch angeboten.
Alle weiteren gemeinsamen Beiträge von SwissCybersecurity.net und der SATW finden Sie hier.
Arctic Wolf tourt mit neuen Features durch die Schweiz
Wie das BACS die Cybersicherheit in der Schweiz weiter ausbauen will
Update: Oracle bestreitet einen mutmasslichen Datendiebstahl – und warnt vor einem anderen
Microsoft führt Quick Machine Recovery für Windows 11 ein
Kann man einen USB-Pfeil abschiessen und genau ins Ziel einstecken?
Update: Jetzt müssen kritische Infrastrukturen Cyberangriffe melden
Update: Polizei warnt vor neuer Vishing-Welle mit fingiertem Paypal-Support
WatchGuard und BOLL: Jahrzehntelange Zusammenarbeit mit Zukunft
Wie man Upselling am POS nicht machen sollte
