ONEKEY: Vulnerability Management und SBOM-Generierung sind Key beim CRA

ONEKEY: Vulnerability Management und SBOM-Generierung sind Key beim CRA

– Cyber Resilience Act: Effektives Vulnerability Management und automatisierte Erstellung einer Software Bill of Materials werden zentrale Erfolgsfaktoren für die Hersteller vernetzter Produkte
– Gewinner des renommierten „Best in Show Award“ auf der Fachmesse „Embedded World“

Mit dem Cyber Resilience Act (CRA) hat die Europäische Union erstmals einen verbindlichen Rechtsrahmen für die Cybersicherheit digitaler Produkte geschaffen. Für die Hersteller vernetzter Geräte, Maschinen und Anlagen rückt damit ein Thema besonders in den Mittelpunkt: das systematische Management von Sicherheitslücken über den gesamten Produktlebenszyklus hinweg. Das Düsseldorfer Cybersicherheitsunternehmen ONEKEY (https://www.onekey.com/de) bietet eine Lösung für ein effektives Vulnerability Management einschließlich der automatisierten Generierung einer Software-Stückliste (Software Bill of Materials) an.

Während viele Unternehmen bislang vor allem auf klassische IT-Sicherheitsmaßnahmen gesetzt haben, verlangt der CRA eine deutlich umfassendere Herangehensweise. Hersteller müssen künftig in der Lage sein, Schwachstellen frühzeitig zu erkennen, ihre Risiken zu bewerten, Sicherheitsupdates bereitzustellen und diese Prozesse transparent zu dokumentieren.

Vulnerability Management wird regulatorische Pflicht

Im Zentrum der neuen Anforderungen steht ein strukturiertes Vulnerability Management. Unternehmen müssen kontinuierlich überprüfen, ob ihre Produkte bekannte oder neu entdeckte Sicherheitslücken enthalten. Dazu gehört auch die Analyse aller Software-Komponenten, aus denen moderne Geräte und Anwendungen bestehen.

Besonders relevant ist dabei die zunehmende Komplexität heutiger Software-Lieferketten. Viele Produkte enthalten hunderte oder sogar tausende Open-Source- und Drittanbieter-Komponenten. Jede einzelne dieser Komponenten kann potenziell Sicherheitslücken enthalten, die sich auf das gesamte Produkt auswirken.

Automatisierte Analyse von Firmware und Software-Komponenten

Moderne Sicherheitsplattformen setzen daher verstärkt auf automatisierte Analysen, um Risiken frühzeitig zu erkennen. So ermöglicht es die ONEKEY Product Cybersecurity & Compliance Platform Herstellern, Geräte-Firmware automatisiert zu untersuchen und bekannte Schwachstellen innerhalb weniger Minuten zu identifizieren.

Ein besonderer Vorteil liegt darin, dass die Analyse auch ohne Zugriff auf den Quellcode möglich ist. Stattdessen werden Binärdateien direkt untersucht, wodurch Sicherheitsprobleme selbst in komplexen Embedded-Systemen erkannt werden können.

Parallel dazu unterstützt ein automatisiertes Vulnerability Management Unternehmen dabei, Software-Komponenten transparent zu dokumentieren und Risiken systematisch zu priorisieren. Sicherheitsverantwortliche erhalten dadurch einen klaren Überblick darüber, welche Schwachstellen tatsächlich kritisch sind und welche Maßnahmen zur Behebung daher priorisiert umgesetzt werden sollten.

Dazu gehört eine Funktion, um sogenannte angereicherte SBOMS zu erzeugen. Die stark erweiterten Software-Stücklisten enthalten alle relevanten Informationen zu Schwachstellen und die damit erzeugten SBOMS erfüllen alle Anforderungen der Branche und der Aufsichtsbehörden vollumfänglich. Sie enthalten nicht nur die Schwachstellen mit Risikoeinordnung, sondern stellen auch die Nachweise und Begründungen in einer einzigen leicht handhabbaren Datei bereit. Damit wird die SBOM von der bloßen Stückliste zu einem Sicherheitspass mit integrierter Risikobewertung und allen regulatorisch konformen Nachweisen.

Kontinuierliche Überwachung über den gesamten Produktlebenszyklus

Die neuen Funktionen sind Teil des Programms „CRA Fast Start (https://www.onekey.com/de/press-release/onekey-launches-cra-fast-start-to-help-manufacturers-prepare-for-eu-cyber-resilience-act?_gl=1*1xb3x87*_up*MQ..*_ga*MjEyOTA2NDYyMS4xNzczOTEwMjk2*_ga_NR4JJT8F06*czE3NzM5MTAyOTUkbzEkZzAkdDE3NzM5MTAyOTUkajYwJGwwJGgw)“ von ONEKEY, mit dem die Hersteller vernetzter Geräte, Maschinen und Anlagen ihre Produkte strukturiert und ohne Vorlaufzeiten auf Compliance in Bezug auf den neuen EU-Sicherheitsstandard Cyber Resilience Act überprüfen können. Das Programm basiert auf mehreren Säulen: CRA Readiness Assessment (https://www.onekey.com/de/cra-readiness-assessment), Erstellung von Software-Stücklisten (SBOMs) (https://www.onekey.com/de/feature/sbom-management) als solide Grundlage für eine permanente CRA Compliance, systematisches Vulnerability-Management (https://www.onekey.com/de/feature/vulnerability-management) und kontinuierliches Monitoring (https://www.onekey.com/de/feature/monitoring).

Beim strukturierten CRA-Readiness-Assessment wird der Reifegrad eines Unternehmens in Bezug auf die CRA-Anforderungen analysiert. Auf dieser Basis lassen sich Compliance-Lücken identifizieren und priorisierte Handlungsschritte definieren. Im nächsten Schritt dienen ein kontinuierliches Vulnerability Management und ein kontinuierliches Monitoring dazu, Schwachstellen aufzudecken und für Softwarelieferketten Transparenz (durch SBOMs) zu schaffen. Neue Schwachstellen, betroffene Bibliotheken und sicherheitsrelevante Änderungen werden fortlaufend erfasst. Dies unterstützt die Einhaltung der CRA-Pflichten sowie der dazu erforderlichen Governance- und Risikomanagementprozesse.

Strategische Bedeutung für Unternehmen

Für Hersteller vernetzter Produkte hat der CRA damit weitreichende Folgen. Unternehmen müssen ihre Entwicklungsprozesse stärker auf Sicherheit ausrichten und neue organisatorische Strukturen schaffen, um die regulatorischen Anforderungen zu erfüllen.

Ein professionelles Vulnerability Management wird damit zu einem zentralen Baustein für die CRA-Compliance. Wer frühzeitig in automatisierte Sicherheitsanalysen und strukturierte Prozesse investiert, kann nicht nur regulatorische Risiken reduzieren, sondern auch das Vertrauen von Kunden und Partnern stärken.

„Der Cyber Resilience Act wird die Produktentwicklung in Europa nachhaltig verändern“, sagt Jan Wendenburg, CEO von ONEKEY, „Cybersicherheit wird künftig nicht mehr als Zusatzfunktion betrachtet, sondern als grundlegende Voraussetzung für digitale Produkte im europäischen Markt.“

ONEKEY ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination der automatisierten ONEKEY Product Cybersecurity & Compliance Platform (OCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.

Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert – ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von „Software Bills of Materials (SBOMs)“ können Software-Lieferketten proaktiv überprüft werden. „Digital Cyber Twins“ ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.

Der zum Patent angemeldete, integrierte ONEKEY Compliance Wizard deckt bereits heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.

Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.

International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Platform (OCP) und den ONEKEY Cybersecurity Experten.

Pressekontakt:

Weitere Informationen: ONEKEY GmbH,
Sara Fortmann, E-Mail: sara.fortmann@onekey.com,
Toulouser Allee 19A, 40211 Düsseldorf, Deutschland,
Web: https://onekey.com

PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
E-Mail: team@euromarcom.de, Web: www.euromarcom.de

Original-Content von: ONEKEY GmbH, übermittelt durch news aktuell