Ersetzen von Legacy-Konnektivitätslösungen für die CRA-Compliance

Der Cyber Resilience Act (CRA) überträgt Herstellern, die die in Industriegeräten und -maschinen verwendete Konnektivität entwickeln und pflegen, langfristige Verantwortung für Sicherheit und Wartung¹. In unseren beiden vorangegangenen Artikeln (CRA definiert die industrielle Konnektivität neu und CRA ist schmerzhaft, aber notwendig) haben wir untersucht, wie diese Verantwortlichkeiten aussehen und warum die CRA notwendig ist, auch wenn sie neue Erwartungen, Prozesse und Lebenszyklusverpflichtungen mit sich bringt.

In diesem dritten Artikel geht es um das Warum zum Wie.
Es wird erläutert, warum es schwierig ist, Legacy-Konnektivitäten CRA-konform zu machen, und wie das Erreichen der CRA-Konformität für Hersteller von Industriegeräten und Maschinenbauern viel einfacher wird, wenn sie ältere Verbindungen durch eine moderne, CRA-fähige Konnektivitätslösung ersetzen.

1. Warum es so schwierig ist, Legacy-Konnektivität CRA-konform zu machen

Beginnen wir mit einer Schlüsselfrage: Warum ist es so schwierig, ältere Konnektivitätslösungen mit CRA in Einklang zu bringen?

Legacy-, Inhouse- oder kundenspezifische Konnektivitätslösungen wurden nie für CRA entwickelt. Die meisten wurden entwickelt, als der Schwerpunkt auf der Funktionalität lag, nicht auf Cybersicherheit, Dokumentation oder Lebenszyklusverpflichtungen. CRA deckt Lücken auf, die im Nachhinein nur schwer oder gar nicht zu beheben sind.

Abbildung 1. Legacy-Konnektivität wurde nicht für die langfristigen Sicherheits-, Dokumentations- und Lebenszyklusverpflichtungen entwickelt, die von CRA gefordert werden. 

Hier sind einige der häufigsten Probleme, auf die HMS im Laufe der Jahre gestoßen ist:

Fehlende oder unvollständige Dokumentation

Älteren Konnektivitäts-Stacks fehlen oft:

• Projektdokumentation
• Prüfberichte
• Versionsverläufe
• SBOMs
• Patch-Aufzeichnungen
• Nachweise für Sicherheitsentscheidungen
  

CRA verlangt all dies.

Unklare Verantwortlichkeit für Wartung und Instandhaltung

Verantwortlichkeiten driften oft im Laufe der Zeit ab. Ohne definierten Eigentümer:

• Niemand ist für langfristige Verpflichtungen von Ratingagenturen verantwortlich
• Updates und Schwachstellenbehandlung werden inkonsistent
• Lebenszyklusnachweise sind fragmentiert oder fehlen
  
  

Begrenzte Ressourcen oder Fachwissen

CRA erfordert ein strukturiertes Security Engineering und eine durchgängige Dokumentation. Vielen Teams fehlt:

• Spezialisiertes Sicherheitswissen
• Bandbreite für laufende Wartung
• Ressourcen für die Nachrüstung von Secure-by-Design-Prozessen in Legacy-Stacks
  
  

Abhängigkeiten mit unklarer Herkunft oder Wartung

Legacy-Konnektivität enthält häufig Folgendes:

• Open-Source-Komponenten unbekannter Herkunft
• Nicht mehr gepflegte Protokollbibliotheken
• Code, der von früheren Teams geerbt wurde
  

CRA erfordert eine vollständige Rückverfolgbarkeit, was bei älteren Abhängigkeiten schwierig ist.

Die schiere Menge an Legacy-Produkten, die aktualisiert werden müssen

Diese Herausforderungen werden noch verstärkt, wenn CRA auf das gesamte Produktportfolio angewendet werden muss.

In der industriellen Automatisierung sind die Produktlebenszyklen lang. Geräte und Maschinen bleiben oft 15 bis 20 Jahre oder länger in der Produktion. Infolgedessen ist die CRA-Konformität selten auf ein einziges neues Design beschränkt.

Gerätehersteller und Maschinenbauer stehen häufig vor folgenden Problemen:

• Aktualisieren mehrerer aktiver Produktgenerationen
• Beibehaltung älterer Designs, die von Kunden weiterhin benötigt werden
• Anpassung von Legacy-Produkten an moderne CRA-Anforderungen
  

Gleichzeitig ist die Aktualisierung der Host-Anwendung, die die Kernproduktsoftware und -funktionalität enthält, bereits eine wichtige Aufgabe. Darüber hinaus werden die internen Ressourcen schnell beansprucht, um die vollständige CRA-Konformität für Legacy-Konnektivität zu übernehmen.

Die Konnektivität ist oft der schwierigste Teil des gesamten CRA-Bereichs

CRA gilt für das gesamte Gerät oder die gesamte Maschine. In der Praxis ist die Konnektivität jedoch in der Regel der komplexeste und ressourcenintensivste Teil, der die Einhaltung der Vorschriften gewährleisten muss.

Die Konnektivität umfasst oft:

• Protokoll-Stacks
• Sichere Update-Mechanismen
• Prozesse zur Behandlung von Schwachstellen
• Dokumentation des Lebenszyklus
• Nachverfolgung von Abhängigkeiten
  

Da sich so viele CRA-Anforderungen auf diesen Bereich konzentrieren, kann das Outsourcing der CRA-Konformitätsarbeit für die Konnektivität den gesamten Compliance-Aufwand erheblich reduzieren.

Architekturen, die nicht für moderne Sicherheit ausgelegt sind

Älteren Stacks fehlen möglicherweise:

• Sicheres Booten
• Firmware-Signatur
• Update-Validierung
• Rollback-Schutz
• Rückverfolgbarkeit von Versionen
  

Diese spät im Lebenszyklus nachzurüsten, ist kostspielig und manchmal technisch nicht machbar.

Kurz gesagt: Die Legacy-Konnektivität wird zu einem Engpass, da sie nie dazu gedacht war, die Erwartungen zu erfüllen, die CRA jetzt definiert.

2. Was wird mit einer modernen, CRA-fähigen Konnektivitätslösung einfacher?

Legacy-Konnektivität macht die CRA-Compliance zu einer Herausforderung, aber eine moderne, CRA-fähige Konnektivitätslösung kann einen Großteil dieser Arbeit vereinfachen.

Abbildung 2. Durch das Ersetzen von Legacy-Konnektivität wird ein Großteil des CRA-bezogenen Sicherheits- und Wartungsaufwands vom Hersteller wegverlagert.

Bevor wir ins Detail gehen, lohnt es sich, folgende Fragen zu stellen:

Wie erleichtert der Austausch Ihrer alten Konnektivitätslösung die Einhaltung von CRA-Vorschriften?

Ersetzt man interne oder veraltete Konnektivität durch eine moderne, CRA-fähige Kommunikationsschnittstelle oder ein Gateway, verlagert sich der größte Teil des Betriebs- und Sicherheitsaufwands vom Gerätehersteller oder Maschinenbauer. 

Mit einer vorgefertigten Lösung werden die Kernaufgaben der CRA von einem Lieferanten übernommen, dessen Produkte und Prozesse speziell auf langfristige Sicherheit und Compliance ausgelegt sind. 

Plötzlich wird Folgendes für Gerätehersteller und Maschinenbauer viel einfacher:

Schnellere und sicherere Sicherheitsupdates

Moderne Konnektivitätslösungen umfassen genau definierte Update-Mechanismen, dokumentierte Prozesse und optimierte Release-Zyklen. Software-Patches können schneller, sicherer und in vorhersehbarer Qualität bereitgestellt werden.

Geringerer Aufwand für interne Sicherheitsprozesse

Anstatt sichere Entwicklungsprozesse im eigenen Haus aufzubauen und zu pflegen, können sich Hersteller auf einen Konnektivitätslieferanten verlassen, der bereits konforme Prozesse betreibt und die notwendigen Nachweise erbringt.

Klare Verantwortlichkeiten

Mit einer CRA-fähigen Konnektivitätslösung sind die Verantwortlichkeiten klar verteilt:

• Die Sicherheit des Kommunikationsstacks liegt beim Lieferanten
• Der Hersteller ist für die Produktintegration und die Entscheidungen auf Systemebene verantwortlich
  

Dadurch werden Unklarheiten beseitigt und der interne Abstimmungsaufwand reduziert.

Ein zukunftssicherer Ansatz

Moderne Verbindungslösungen sind so konzipiert, dass sie den sich wandelnden Standards entsprechen. Da sich die CRA-Leitlinien, harmonisierten Standards und Markterwartungen ständig weiterentwickeln, profitieren Hersteller von kontinuierlicher Lieferantenunterstützung, anstatt Änderungen allein zu bewältigen.

3. Konkrete Arbeiten, die Hersteller vermeiden, indem sie veraltete Konnektivität ersetzen

Durch den Umstieg auf eine CRA-fähige Konnektivitätslösung entfällt ein erheblicher technischer und organisatorischer Aufwand. Im Folgenden sind die ressourcenintensivsten Aufgaben aufgeführt, die Gerätehersteller und Maschinenbauer vermeiden.

Verwalten von Protokollsicherheitsupdates

Legacy-Stacks erfordern kontinuierliche Aktualisierungen, um:

• Industrieprotokolle
• Verschlüsselungsbibliotheken
• Sicherheits-Primitive
• Kommunikationsschnittstellen
  

Eine CRA-fähige Lösung verlagert diesen gesamten Wartungsaufwand auf den Lieferanten.

Überwachung von Schwachstellen

Hersteller müssen Folgendes nicht mehr nachverfolgen:

• Häufige Schwachstellen und Sicherheitsrisiken (CVEs)
• Open-Source-Empfehlungen
• Sicherheitshinweise für Lieferanten
• Schwachstellen auf Protokollebene
  

Der Anbieter von Verbindungen kümmert sich um die Überwachung und Kommunikation von Schwachstellen.

Aufbau und Erprobung sicherer Update-Mechanismen

Sicheres Booten, Firmware-Signierung, Update-Validierung, Rollback-Schutz und Audit-Trails liegen in der Verantwortung des Lieferanten.

Rezertifizierung nach jeder Änderung

Jede signifikante Aktualisierung eines internen Stacks kann zu erneuten Tests oder einer Neuzertifizierung führen. Eine CRA-fähige Lösung verwaltet diesen Overhead zentral und reduziert so die Nacharbeit.

Verwaltung von Lieferantennachweisen

Hersteller müssen keine CRA-Erklärungen mehr von Dutzenden von Chip-, Betriebssystem- oder Bibliothekslieferanten einholen. Die Konnektivitätskomponente selbst stellt die erforderliche CRA-Dokumentation bereit.

In der Praxis:

Durch die Ablösung veralteter Konnektivität pflegt Gerätehersteller und Maschinenbauer die Kommunikationssicherheit nicht mehr selbst. Stattdessen setzen sie auf eine Lösung, die Folgendes bietet:

• Sichere Updates
• Dokumentation des Lebenszyklus
• Überwachung von Schwachstellen
  

Sofort einsatzbereit.

Auf diese Weise können sich Teams auf die Produktintegration konzentrieren, anstatt auf die Wartung der Konnektivität.

4. Was die Hersteller noch besitzen (und immer besitzen werden)

Die Reduzierung des Aufwands für Ratingagenturen bedeutet nicht, dass die volle Verantwortung übertragen^{wird 2}.

Selbst die beste Konnektivitätslösung beseitigt nicht alle Verpflichtungen der Ratingagenturen. Gerätehersteller und Maschinenbauer bleiben für die CRA-Konformität des gesamten Produkts verantwortlich.

Abbildung 3. Eine effektive Einhaltung der CRA-Vorschriften hängt von klar definierten Verantwortlichkeiten ab. 

Was sich ändert, ist die Verteilung der Arbeitslast. Ein großer Teil der Arbeiten, die erforderlich sind, um die Konnektivität CRA ready zu machen, kann vom Verbindungsanbieter durchgeführt werden, während der Hersteller die Verantwortung für das Gesamtprodukt behält. 

Gerätehersteller und Maschinenbauer bleiben für Folgendes verantwortlich: 

Integration auf Produktebene

Die Konnektivität muss korrekt integriert sein:

• Konfiguration
• Elektrische Konstruktion
• Firmware-Interaktionen
• Systemverhalten
  

Das ist immer die Aufgabe des Herstellers.

Risikobewertung auf Systemebene

CRA verlangt von Herstellern, dass sie verstehen, wie sich ihr gesamtes Produkt in der vorgesehenen Umgebung verhält. Einschließlich:

• Verhalten im Netzwerk
• Benutzerszenarien
• Wechselwirkungen mit der Sicherheit
  
  

Kundenkommunikation

Die Hersteller müssen Folgendes bereitstellen:

• Sicherheitsdokumentation
  
• Update-Kommunikation
  
• Lebenszyklus-Richtlinien
  
• Verantwortlichkeiten des Benutzers
  

Transparenz über den gesamten Lebenszyklus ist nach CRA obligatorisch.

Zusammenfassend lässt sich sagen, dass eine vorgefertigte Konnektivitätslösung die technische Komplexität von CRA drastisch reduziert, aber nicht die Rolle des Herstellers bei der Bereitstellung eines sicheren Produkts ersetzt.

Fazit: Ein realistischer Weg zur CRA-Konformität

Dies wirft eine letzte Frage für Hersteller auf, die sich auf CRA vorbereiten:

Wie sieht ein realistischer, nachhaltiger Ansatz zur Einhaltung von Ratingagenturen aus?

Legacy-Konnektivität erschwert die Einhaltung von CRA-Vorschriften, da sie nie für langfristige Sicherheits-, Dokumentations- oder Lebenszyklusaufgaben konzipiert wurde. 

Durch den Ersatz durch eine moderne, CRA-fähige Konnektivitätslösung entfallen viele der anspruchsvollsten Verpflichtungen³, darunter:

• Wartung des Protokolls
• Überwachung von Schwachstellen
• Sichere Update-Mechanismen
• Wiederholte Rezertifizierung
• Dokumentation von Abhängigkeiten
  

Die Hersteller sind nach wie vor für die Sicherheit und Produktintegration auf Systemebene verantwortlich, aber die Verwendung einer CRA-fähigen Konnektivitätslösung bietet einen zuverlässigeren, effizienteren und nachhaltigeren Weg zur Compliance.

Im nächsten Artikel werden wir untersuchen , warum CRA-Verpflichtungen Unternehmen dazu zwingen, die Art und Weise, wie Konnektivität strukturiert, besessen und gewartet wird, zu überdenken, und warum dies zu einer strategischen Entscheidung wird.

CRA-Ressourcen und Konnektivitätslösungen

Unabhängig davon, ob Sie bestehende Geräte aktualisieren oder neue entwickeln, ist die richtige Konnektivitätsstrategie der Schlüssel zur Bereitschaft von CRA. Erfahren Sie mehr über den Cyber Resilience Act und entdecken Sie Anybus Gateway- und Embedded-Lösungen, mit denen Sie sichere, wartbare und zukunftsfähige Geräte bauen können.

Erfahren Sie mehr über CRA

Anybus Gateways

Anybus Embedded-Lösungen

Autorenprofil

Dr. Jens Jakobsen
Produktsicherheitsmanager, HMS Networks

Dr. Jens Jakobsen ist Product Security Manager bei HMS Networks und leitet dort die Arbeit des Unternehmens, die Cybersicherheit von industriellen Kommunikationsprodukten zu stärken und vernetzte Geräte vor neuen Bedrohungen zu schützen. Er verfügt über umfangreiche Erfahrung aus technischen und Führungspositionen bei HMS Networks, Schneider Electric und Motorola Solutions und arbeitet seit vielen Jahren in den Bereichen industrielle Kommunikation und Cybersicherheit. Dr. Jakobsen hält sieben erteilte Patente in den Bereichen Telekommunikation und industrielle Kommunikationstechnologien. 

Verweise

1. Umsetzung des Cyber Resilience Act – Häufig gestellte Fragen
https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act-implementation-frequently-asked-questions

2. Cyberresilienzgesetz – Konformitätsbewertungs-https://digital-strategy.ec.europa.eu/en/policies/cra-conformity-assessment

3. Europäische Kommission – Entwurf eines Leitfadens zur Anwendung des Gesetzes über  Cyberresilienz : https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/16959-Draft-Commission-guidance-on-the-Cyber-Resilience-Act_