Mit dem Cyber Resilience Act (CRA) werden nicht nur weitreichende Cybersicherheitsanforderungen an Produkte mit digitalen Elementen in der EU eingeführt, sondern auch Meldepflichten von Sicherheitsvorfällen.
Unter einem Sicherheitsvorfall wird in diesem Fall eine aktive Ausnutzung einer Schwachstelle im Produkt mit digitalen Elementen verstanden.
Ein Beispiel für eine aktiv ausgenutzte Schwachstelle wäre ein Eingabefeld, dessen Eingabe nicht überprüft wird. Ein Angreifer könnte so Kommandos einfach über das Eingabefeld auf dem Gerät ausführen lassen. Dies könnte eine unbefugte Rechteausweitung zur Folge haben. Eine solche „command injection“ Schwachstelle wurde nach CVE-2020-9054 [1] in einem Netzwerkspeicher-Produkt ausgenutzt. Hier wurde der bekannten Schwäche CWE-78 (OS command injection) [2] nicht genügend Rechnung getragen.
Ein anderer „Exploit“ nutzt die Verwendung von einfachen Standardanmeldeinformationen, beispielsweise Default-Passwörter wie „admin“ oder „123456“ aus, siehe CWE-1392 (Use of default credentials) [3]. Durch Brute-Force-Angriffe lassen sich einfache Default-Passwörter in sehr kurzer Zeit herausfinden und ermöglichen Angreifern kompletten Zugriff auf das Gerät.
Sobald ein Hersteller sich einer aktiv ausgenutzten Schwachstelle seines Produkts mit digitalen Elementen gewahr wird, muss er diese Schwachstelle nach Art. 14, Abs. 1 des CRA an das zuständige „Cyber Security Incident Response Team“ (CSIRT) seines Mitgliedstaates und an die „European Network and Information Security Agency“ (ENISA) melden.
Für Deutschland könnte z.B. das Bundesamt für Sicherheit in der Informationstechnik (BSI) das zuständige CSIRT werden. Eine Benennung steht jedoch noch aus. [4]
Die aktiv ausgenutzte Schwachstelle muss über die Meldeplattform aus Art. 16 gemeldet werden.
Die Meldeplattform mit der vorläufigen Beschreibung „Cyber Resilience Act – Single Reporting Platform“ (CRA-SRP) wird voraussichtlich mit Geltungsbeginn der Meldepflicht am 11. September 2026 veröffentlicht werden. [5]
Fest steht, dass der Hersteller in den ersten 24 Stunden, nachdem er über die Ausnutzung der Schwachstelle Kenntnis erlangt hat, eine erste Frühwarnung herausgeben muss mit der Information, in welchen Mitgliedsstaaten das Produkt mit digitalen Elementen bereitgestellt wurde.
Nach den ersten 72 Stunden muss eine umfangreichere Meldung folgen, die die unten gelisteten Informationen enthalten sollte:
- Allgemeine Informationen über das betroffene Produkt mit digitalen Elementen
- Allgemeine Informationen über die Art der Ausnutzung und der ausgenutzten Schwachstelle
- Alle ergriffenen Korrektur- oder Risikominderungsmaßnahmen
- Korrektur- oder Abhilfemaßnahmen, die Nutzer ergreifen können
- Sensibilitätsgrad der gemeldeten Informationen
Ein Abschlussbericht zum Sicherheitsvorfall wird nach 14 Tagen gefordert.
Dieser sollte den Schweregrad und die Auswirkungen der ausgenutzten Schwachstelle, Informationen über jeden böswilligen Akteur, der die Schwachstelle ausgenutzt hat, und Informationen über vorhandene Sicherheitsaktualisierungen oder andere Korrekturmaßnahmen, die zur Behebung der Schwachstelle zur Verfügung gestellt wurden, zusammenfassen.
Um auf die kommende Meldepflicht vorbereitet zu sein, empfiehlt es sich, einen internen Prozess oder sogar ein eigenes internes Product Security Incident Response Team (PSIRT) aufzustellen.
Sollten Sie bei der Umsetzung der Meldepflichten Fragen haben, unterstützt Sie unser Team von Globalnorm gerne dabei. Schreiben Sie uns einfach eine E-Mail mit Ihrer Frage oder nutzen Sie dazu unser Kontaktformular.
Autorin
Anne Barsuhn
Junior Consultant Cybersecurity
BEGRIFFE UND ABKÜRZUNGEN
EU: Europäische Union
CRA: Cyber Resilience Act
CSIRT: Computer Emergency Response Team
ENISA: Agentur der Europäischen Union für Cybersicherheit
BSI: Bundesamt für Sicherheit in der Informationstechnik
PSIRT: Product Security Incident Response Team
