Cyber Resilience Act-Compliance

In der sich ständig wandelnden Welt mit zunehmenden Cyberangriffen ist es unerlässlich, dass Unternehmen nicht nur auf aktuelle Bedrohungen reagieren, sondern auch proaktiv Maßnahmen ergreifen, um zukünftige Risiken zu minimieren. Mit der Einführung des Cyber Resilience Act (CRA) werden neue Herausforderungen und Anforderungen an die Sicherheit digitaler Produkte gestellt.

Der CRA beschreibt die Notwendigkeit zur Wiederherstellung der Konformität, falls unvorhergesehene Sicherheitsrisiken bekannt werden (Artikel 10, Punkt 12) und nennt konkrete Sicherheitsanforderungen (Anhang 1, Abschnitt 1, Punkt 3).  Für diese zentralen Forderungen des CRA bietet Wibu-Systems mit der CodeMeter-Technologie bereits eine fertige Lösung, denn Sicherheit in der digitalen Lieferkette ist unser tägliches Geschäft.

Der Cyber Resilience Act fordert umfassende Schutzmaßnahmen zur Sicherung der Integrität aller gespeicherten, übermittelten oder anderweitig verarbeiteten Daten, unabhängig davon, ob es sich um personenbezogene Daten, Befehle, Programme oder Konfigurationen handelt. Dies unterstreicht das hohe Sicherheitsrisiko, das durch unerlaubte Manipulationen entstehen kann. Ein konkretes Beispiel ist die Manipulation von Konfigurationsdaten in intelligenten Geräten, die zu fehlerhaften Diagnosen und Behandlungen führen könnte.

Unsere Lösung, die CodeMeter Protection Suite, bietet nicht nur Verschlüsselungs- und Obfuskationstechniken, sondern auch umfassende Integrity-Checks und Anti-Debugging-Maßnahmen. Diese sind entscheidend, um die Integrität Ihrer Software und Daten umfassend zu schützen. Beispielsweise wird durch den Einsatz von AxProtector in der Fertigungsindustrie Steuerungssoftware von Produktionsanlagen vor unautorisierten Eingriffen geschützt, wodurch sowohl die Anlagensicherheit als auch die Produktqualität gewährleistet wird. Zudem stellt die Security die wesentlich Basis für den Bereich Safety solcher Anlagen dar.

Bei Manipulationsversuchen ist entscheidend, den Angriff zuverlässig zu entdecken und zu verhindern. AxProtector kann bei Bedarf die weitere Nutzung der Software unterbinden. Diese Maßnahmen stellen sicher, dass jede Veränderung sofort erkannt und adressiert wird, wodurch das Risiko von Manipulationen minimiert und die Compliance gewährleistet wird.

Im Einklang mit den Bestimmungen des Cyber Resilience Act müssen Produkte mit digitalen Elementen angemessene Schutzmechanismen gegen unbefugten Zugriff implementieren. Dies umfasst fortgeschrittene Authentifizierungsverfahren und umfassende Identitäts- und Zugangsmanagement-Systeme, die darauf ausgerichtet sind, die Sicherheit und Integrität digitaler Produkte zu gewährleisten. Unser CodeMeter API, der kryptografische Operationen wie symmetrische und asymmetrische Verschlüsselung sowie digitale Signaturverfahren bietet, ermöglicht die reibungslose Integration in das Produkt. Das Schlüsselmaterial, das in der sicheren Hardwarekomponente der CodeMeter-Lizenzcontainer (CmDongles) sicher aufbewahrt wird, ist sowohl vertraulich gespeichert als auch vor Manipulationen geschützt. Die zugehörigen Zertifikate sind ebenso vor Manipulation geschützt, um Spoofing-Angriffe zu vermeiden. CodeMeter Certificate Vault bietet eine fortschrittliche, standardkonforme Lösung für die Authentifizierung mittels in unserem Dongle gespeicherter Zertifikate. Dieser enthält einen Common Criteria (CC) EAL 5+ zertifizierten Cryptocontroller. Dies sichert Ihre digitalen Assets gegen unbefugten Zugriff und stellt sicher, dass Ihre Compliance-Anforderungen jederzeit erfüllt sind.

Werden bereits bei Auslieferung der Software personenbezogene Daten verarbeitet, beispielsweise in importierten Kundendatenbanken oder voreingestellten Benutzerkonten, müssen diese zukünftig gesondert geschützt werden. Die Verschlüsselung dieser Daten mit modernsten Algorithmen stellt eine effektive Maßnahme dar. Unser AxProtector bietet zusammen mit unserer CodeMeter-API passende Verschlüsselungslösungen, um Daten effektiv zu verschlüsseln und zu signieren. Dabei werden die geheimen Schlüssel ausschließlich in unserem sicheren Hardware-Dongle gespeichert, um maximale Sicherheit zu gewährleisten.

Der CRA verlangt, dass Hersteller sofort Korrekturmaßnahmen ergreifen, wenn Produkte mit digitalen Elementen nicht den wesentlichen Anforderungen entsprechen. Unser Lizenzierungssystem unterstützt Sie dabei effektiv. Durch die Implementierung unseres Systems können Sie Software-Subscriptions flexibel verwalten. Bei Nichtkonformität oder Ende des Produktlebenszyklus lässt sich der Zugang zur betroffenen Software einfach durch Nichtverlängerung der Subscription-Lizenz unterbinden. Dies gewährleistet, dass die Nutzung nicht konformer Software oder Geräte innerhalb eines definierten Zeitraums eingestellt wird, ohne dass ein komplexer Rückrufprozess notwendig ist.

Um im Falle eines unvorhergesehenen Problems betroffene Kunden kontaktieren zu können und Produkte effektiv vom Markt zu nehmen, muss bekannt sein, wann welche Software in welcher Version an welche Kunden ausgeliefert wurde. Mit der CodeMeter License Central behalten Sie einen durchgehenden Überblick über Ihre Distribution, inklusive historischer Daten.

Unsere Philosophie der Produktentwicklung hat stets ein hohes Maß an Datensparsamkeit berücksichtigt. Entsprechend sind unsere Lizenzierungslösungen darauf ausgelegt, sich nahtlos in bestehende Systeme zu integrieren, ohne redundante Daten zu erzeugen. Dies stellt sicher, dass unsere Produkte von Grund auf die Prinzipien der Datenminimierung unterstützen, wie sie im Cyber Resilience Act gefordert werden.

Für Kunden, die derzeit komplexe Lizenzierungssysteme nutzen, die möglicherweise nicht vollständig den Anforderungen des CRA entsprechen, bietet unsere License Central eine effiziente Lösung. Durch die Zentralisierung der Daten in einem führenden System können unsere Kunden ihre Datenverwaltung vereinfachen und sicherstellen, dass nur die notwendigen Daten verarbeitet werden. Dies verbessert nicht nur die Übersichtlichkeit und Verwaltung der Lizenzdaten, sondern erleichtert auch die Einhaltung der gesetzlichen Vorgaben zur Datenminimierung. Eine nahtlose Integration in bestehende Backoffice-Systeme eines Unternehmens ist problemlos möglich.