Bewertung der Cybersicherheitsrisiken

Eine gedankliche Brücke von der produktsicherheitsbezogenen Risikobewertung zu den Cybersicherheitsrisiken.

Die Menge der neuen EU-Vorschriften mit Bezug zur Cybersicherheit ist groß. Beispiele hierfür sind: Cyber Resilience Act (2024/2847), Funkanlagenrichtlinie (2022/30), GPSR (2023/988), Maschinenverordnung (2023/1230), NIS-2 (2022/2555), Produkthaftungsrichtlinie (2024/2853), Bauproduktenverordnung (2024/3110). 

Egal ob DDoS-Überlastungsangriffe von 1,6 Millionen kompromittierten Fernsehgeräten stammen (Vo1d), oder ob 49.000 schlecht konfigurierte Zugangssysteme schützenswerte Informationen zugänglich machen, die Beweggründe für eine bessere Cybersicherheit von vernetzten Endprodukten sind vielfältig. 

Abb. Bewertung der Cybersicherheitsrisiken

Nach dem Cyber Resilience Act (EU) 2024/2847 führen Hersteller von Produkten mit digitalen Elementen verpflichtend eine Bewertung der Cybersicherheitsrisiken durch. Hierbei wird der gesamte Lebenszyklus mit seiner Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphase berücksichtigt. 

Mit diesem Beitrag verfolge ich das Ziel, eine gedankliche Brücke zu schlagen, von der produktsicherheitsbezogenen Risikobewertung hin zu der Bewertung der Cybersicherheitsrisiken.

Der Zweck einer Risikobewertung kann vielfältig sein. In meiner Praxis waren es meistens Bewertungen bezüglich der Produktsicherheit, z.B. im Zusammenhang mit der Planung und Konzeption eines elektrischen Produkts (siehe CENELEC Guide 32:2014), oder auch während der Vermarktungsphase, um mögliche Produktfehler und deren Risiken im Feld zu bewerten (Siehe RAPEX). 

Für all jene Personen, die ebenfalls die Denkschule der produktsicherheitsbezogenen Risikobewertung als Ausgangspunkt besitzen, möchte ich hier praktische Schritte skizzieren, die im Kontext der Cybersicherheit notwendig sind, um anschließend bei der bewährten Methodik anzuknüpfen. Mit der bewährten Methodik ist die Abschätzung der Eintrittswahrscheinlichkeit in Kombination mit einem Schadensausmaß gemeint, welche eine identifizierte Gefahr zu einem Risiko werden lässt. 

Die Kernfrage lautet also: Wie kommen wir von der produktsicherheitsbezogenen Risikobewertung zur Bewertung der Cybersicherheitsrisiken?

Ausführlich gehen Dr. Gerhard Wiebe, Johannes Daelen und ich, Benjamin Kerger, auf die Regulierung der produktbezogenen Cybersicherheit in einen Aufsatz vom Februar 2025 in der Kommunikation & Recht (Heft 02) ein. 

Eine häufig anzutreffende Visualisierung, um Cybersicherheitsrisiken zu erläutern, bilden drei Kreismengen, welche eine gemeinsame Schnittmenge haben, die sog. Triade. Die einzelnen Mengen sind: 

  • die Bedrohung (=Threat),
  • das schützenswerte Gut (=Asset)
  • und die Schwachstelle (=Vulnerability). 

Die gemeinsame Schnittmenge ist das Risiko (=Risk).
Welche Mengen sich überschneiden müssen, um zu einem Risiko zu führen, ist jedoch unklar. Es finden sich wahlweise auch nur zwei Kreismengen, oder alternativ der Schaden (=Consequence)
an Stelle eines anderen Faktors. Mir persönlich hilft keine dieser metaphorischen Zeichnungen in der praktischen Arbeit. 

Ich vertrete die Position, dass es zuallererst einmal ein schützenswertes Gut und ein Schutzziel geben muss. Dieses Paar kann einer Bedrohung ausgesetzt sein. Zu einer Gefährdung wird diese Bedrohung jedoch nur durch eine Schwachstelle.

An dieser Stelle angelangt, sind wir auch schon wieder in bekanntem Fahrwasser. Wir haben eine Gefährdung. Wie auch bei der produktsicherheitsbezogenen Risikobewertung dürfen (*) wir nun die Eintrittswahrscheinlichkeit und das Schadenspotential abschätzen und gelangen damit zum gesuchten Risiko. Et voilà!

(*) Warum eigentlich „dürfen“ und nicht „müssen“? 

Der Werkzeugkasten ist vielfältig. Es gibt zahlreiche Herangehensweisen, um Bedrohungen zu identifizieren und Risiken zu bewerten. Siehe beispielsweise ETSI TR 103 935 V1.1.1 (2023-12) für alternative Methoden: STRIDE, DREAD, MITRE ATT&CK, Attack Trees, Data-Centric Threat Modelling, Threat Vulnerability and Risk Analysis (TVRA). 

Mit DREAD haben wir einen alternativen Ansatz zur matrixbasierten Risikobewertung, durch Feststellung der Eintrittswahrscheinlichkeit und des Schadensausmaßes. Die identifizierten Bedrohungen können mithilfe der DREAD Methode priorisiert werden. Nach der Bewertung (z.B. 1 bis 10) der einzelnen Fragen des DREAD-Merkspruchs erfolgt die Summenbildung und liefert damit eine Prioritätskennzahl für jede Bedrohung.

  • Damage (Schaden) – wie schlimm wäre ein Angriff?
  • Reproducibility (Reproduzierbarkeit) – wie einfach ist der Angriff zu reproduzieren?
  • Exploitability (Ausnutzbarkeit) – wie viel Aufwand ist nötig, um den Angriff zu starten?
  • Affected users (betroffene Benutzer) – wie viele Personen sind betroffen?
  • Discoverability (Entdeckbarkeit) – wie leicht ist die Bedrohung zu entdecken? 

In Abhängigkeit von der Prioritätskennzahl können im Anschluss Cybersicherheitsmaßnahmen in Übereinstimmung mit Anhang I Teil I des CRA definiert und ergriffen werden, um den identifizierten Risiken adäquat zu begegnen.

 

Wir freuen uns über Anregungen und den fachlichen Austausch, wie Sie in der Praxis Cybersicherheitsrisiken bewerten. Eine Möglichkeit für diesen Austausch bietet sich auf der 13. GLOBALNORM KONFERENZ PRODUCT COMPLIANCE am 16.+17.09.2025 in Berlin. Nehmen Sie gern an meinem Tutorial „Die bunte Welt der Risikoanalysen“ teil. 

 

Autor

Benjamin Kerger (B. Eng.)
Product Compliance Consultant
 



BEGRIFFE UND ABKÜRZUNGEN

Der Cyber Resilience Act (2024/2847) legt Cybersicherheitsanforderungen für Hardware- und Softwareprodukte fest, die von Unternehmen im Europäischen Wirtschaftsraum auf den Markt gebracht werden.

Die Bauproduktenverordnung (2024/3110) bezieht sich auf alle Produkte, die fest in Bauwerke integriert werden und deren Funktion die grundlegenden Anforderungen an das Bauwerk beeinflusst.

Die Funkanlagenrichtlinie (2022/30) legt die grundlegenden Sicherheits- und Gesundheitsanforderungen fest, die Funkanlagen erfüllen müssen.

Die Maschinenverordnung (2023/1230) legt unter anderem die Sicherheits- und Gesundheitsanforderungen fest, die bei der Konstruktion und dem Bau von Maschinen und anderen Produkten im Anwendungsbereich erfüllt sein müssen, damit diese auf den Markt gebracht oder in Betrieb genommen werden können.

Die NIS-2 (2022/2555) soll als EU-Richtlinie, das Niveau der Cyberresilienz in der Union stärken.

Die Produkthaftungsrichtlinie (2024/2853) verschärft das Produkthaftungsrecht und gilt für alle Produkte, die nach dem 9. Dezember 2026 auf den Markt gebracht oder in Betrieb genommen werden.

DDoS: Distributed Denial-of-Service

CENELEC: Europäisches Komitee für elektrotechnische Normung
 

Weitere Informationen zu dieser News

Veröffentlicht am 11.03.2025
Kategorie: Fokus Industry, Fokus Consumer Goods & Retail, Fokus Electrical and Wireless, Insider-Compliance, Compliance

zurück zur Übersicht

Neues aus der Welt der Normen und Product Compliance

Auch wenn die Welt der Normen und Marktzulassungsanforderungen nicht allzu schnelllebig ist – es gibt auch hier regelmäßig Neuigkeiten und Neuerungen. Hier halten wir Sie auf dem Laufenden!

Weitere Neuigkeiten zu Normen und Product Compliance
GLOBALNORM News
Unsere Weihnachtsaktion "Spenden statt Versenden" 2024

Nächstenliebe statt Weihnachtskarten

mehr

Ausgezeichnet! Als Unternehmerin und Unternehmer der Zukunft 2024

Nachricht vom diind

mehr

Produktkanzlei und GLOBALNORM

Für die Kunden 360°-Service bieten

mehr

STANDARDS News
Entwurf DIN EN ISO 12100:2025-12

Sicherheit von Maschinen - Allgemeine Gestaltungsleitsätze - Risikobeurteilung und Risikominderung (ISO/DIS 12100:2024)

mehr

Neue DIN DKE SPEC 99100:2025-02

Anforderungen an Datenattribute des Batteriepasses

mehr

Gemeinsame Spezifikationen (GS) der EU

Ausweichlösung, wenn keine harmonisierten Normen vorliegen

mehr

COMPLIANCE News
Neue Meldepflichten durch den Cyber Resilience Act

Der Cyber Resilience Act führt eine neue Meldepflicht von aktiv ausgenutzten Schwachstellen ein.

mehr

Bewertung der Cybersicherheitsrisiken

Eine gedankliche Brücke von der produktsicherheitsbezogenen Risikobewertung zu den Cybersicherheitsrisiken.

mehr

Aktualisierter Entwurf von Ökodesign-Anforderungen für externe Netzteile

Ausweitung auf drahtlose Ladepads und USB-Typ-C-Kabel

mehr

En
Login
x

Gemäß der Cookie-Richtlinie der EU (RL 2009/136/EG) möchten wir Sie darüber informieren, dass unsere Website Cookies verwendet. Wenn Sie unsere Webseite benutzen, akzeptieren Sie das und stimmen unseren Datenschutzbestimmungen zu. Welche Cookies konkret gesetzt werden und wie Sie von Ihrem Widerspruchsrecht Gebrauch machen können, erfahren Sie auf unserer Seite zum. Datenschutz.

OK