Inhalt
Der Cyber Resilience Act (CRA) ist eine von der Europäischen Union eingeführte regulatorische Maßnahme zur Verbesserung der Cybersicherheitsstandards für alle Produkte mit digitalen Elementen. Das Gesetz trat im Januar 2024 in Kraft, wobei Anbieter die Einhaltung bis Januar 2027 sicherstellen müssen. Während Open-Source-Software (OSS) vom CRA ausgenommen ist, übernehmen Unternehmen, die OSS in ihre kommerziellen Angebote integrieren, die Verantwortung für die Sicherheit dieser Komponenten. Diese Unterscheidung legt die Pflicht auf die Anbieter, Schwachstellen zu überwachen und zeitnahe Korrekturen bereitzustellen, wenn OSS Teil ihrer Produkte ist.\n\nUm die Herausforderungen bei der Integration von OSS in kritischen Umgebungen zu veranschaulichen, betrachten wir ein eingebettetes Gerät eines intelligenten Heizsystems. Dieses Gerät steuert die zentrale Heizung eines Hauses, ein System, dessen Fehlfunktion kostspielige Schäden verursachen kann. Es überwacht und passt auch die Temperaturen verschiedener Heizkörper an. Der Webserver des Geräts bietet Benutzern Zugriff auf Statusinformationen und Steuerungsoptionen über eine Benutzeroberfläche, die auf populärer OSS wie dem express.js-Webframework basiert, das auf der node.js-JavaScript-Laufzeit läuft. Dieses Framework ist von etwa 65 weiteren OSS-Paketen abhängig, was die umfangreiche Nutzung von Open-Source-Komponenten in solchen Produkten verdeutlicht.\n\nDer direkte Betrieb des Webservers auf dem eingebetteten Gerät birgt erhebliche Sicherheitsrisiken. Wenn der Server die Validierung von Benutzereingaben übernimmt und Heizkonfigurationen regelt, könnte eine Kompromittierung einem Angreifer erlauben, das System gefährlich zu manipulieren. Gemäß CRA muss der Anbieter ein hohes Cybersicherheitsniveau gewährleisten, unabhängig davon, ob die Software intern entwickelt oder Drittanbieterlösungen integriert werden. Obwohl OSS-Komponenten selbst ausgenommen sind, überträgt die kommerzielle Nutzung die Sicherheitsverantwortung effektiv auf den Anbieter, der dann den CRA-Anforderungen entsprechen muss.\n\nEin Ansatz zur Minderung besteht darin, die Heizungssteuerungsfunktionen zu trennen. Der Webserver und seine Abhängigkeiten können die Schnittstelle und allgemeine Steuerung verwalten, während eine sichere, minimale Komponente Befehle validiert, um unsichere Konfigurationen zu verhindern. Dieser mehrschichtige Ansatz begrenzt die Auswirkungen eines kompromittierten Webservers, lässt jedoch weiterhin eine breite Angriffsfläche für Privilegieneskalation, was weitere Schutzmaßnahmen erfordert.\n\nVirtualisierungstechnologien, insbesondere Hypervisoren, bieten eine leistungsstarke Lösung durch das Sandboxing von Softwarekomponenten. Ein Hypervisor führt Software innerhalb isolierter virtueller Maschinen (VMs) aus und beschränkt die Interaktion auf definierte Schnittstellen wie die Emulation virtueller Geräte. Der Hypervisor selbst wird vom CRA als kritisches Produkt eingestuft, wodurch die Verantwortung für seine Sicherheit beim Anbieter liegt. Beim Anschluss von VMs an externe Netzwerke können Anbieter Firewall-Konfigurationen auf dem Host verwenden, um die VM-Kommunikation strikt auf notwendigen Datenverkehr wie Webserver-Anfragen zu beschränken. Diese Isolation reduziert das Exploit-Risiko erheblich, während die wesentliche Netzwerkfunktionalität erhalten bleibt.\n\nCyberus bietet spezialisierte Lösungen, um Anbieter bei der Erfüllung der CRA-Anforderungen zu unterstützen. Ihr Cyberus Hypervisor, kombiniert mit CtrlOS – einem eingebetteten Betriebssystem, das für CRA-Konformität entwickelt wurde – bietet Funktionen wie auditierbare Firewall-Konfigurationen und weitere Sicherheits-Härtungsmaßnahmen. Diese Werkzeuge helfen Anbietern, Open-Source-Software sicher in ihre Produkte zu integrieren und reduzieren die Komplexität und Kosten bei der Sicherstellung der regulatorischen Compliance. Interessierte Parteien werden ermutigt, sich mit Cyberus für maßgeschneiderte Sitzungen in Verbindung zu setzen, um geeignete Sicherheitsstrategien für ihre eingebetteten Systeme zu erkunden.
