Kaizen 2 go 386 : Cyber-Security

Fragestellungen aus der Unterhaltung mit Merita und Christoph Fischer: Welche Rahmenbedingungen gibt es für das Thema Cyber-Security? Was muss bei der Cyber-Security beachtet werden, welche Folgen können sich ergeben? Warum sollten Produkt-Hersteller und -Importeure den Cyber Resilience Act (CRA) im Blick haben? Wer kann sich evtl. entspannt zurücklehnen? Was fordert der CRA? Wie wird Cyber-Security von Anfang an integriert? Wie kann man Cyber-Security bei bestehenden Anwendungen nachrüsten? Welche Rolle spielt KI, Automatisierung & Co. bei der Cyber-Security? Welche Rolle spielt der Mensch als Anwender und Entwickler? Wie wird sich das Thema noch weiterentwickeln? 

Werbung

Das Transkript der Episode ist hier verfügbar.

Kaizen 2 go 386 : Cyber-Security

KI-generierte Zusammenfassung des Transkripts

In dieser Episode spricht Götz Müller mit Merita Fischer und Christoph Fischer über Cyber-Security im Kontext von Produktentwicklung und regulatorischen Anforderungen, insbesondere dem Cyber Resilience Act der Europäischen Union. Beide Gesprächspartner bringen umfangreiche Erfahrung aus der Produkt-Sicherheit sowie der Softwareentwicklung mit und beleuchten das Spannungsfeld zwischen funktionalen Anforderungen eines Produkts und dessen Sicherheit.

Zu Beginn ordnen Merita Fischer und Christoph Fischer das Thema Cyber-Security in drei zentrale Bereiche ein: IT-Security, OT-Security und Produkt-Security. Während sich IT-Security primär mit dem Schutz von Daten und IT-Infrastruktur beschäftigt, liegt der Fokus der OT-Security auf der Betriebssicherheit technischer Anlagen wie Produktionssystemen. Die Produkt-Security wiederum richtet sich auf die sichere Gestaltung von Produkten selbst und gewinnt durch steigende Kundenanforderungen und regulatorische Vorgaben zunehmend an Bedeutung.

Ein zentraler Bestandteil der Diskussion ist der Cyber Resilience Act (CRA), der künftig verbindliche Anforderungen für Produkte mit digitalen Elementen definiert. Christoph Fischer erläutert, dass Unternehmen ohne Einhaltung dieser Anforderungen künftig keinen Zugang mehr zum EU-Markt haben könnten. Der CRA betrifft dabei nicht nur große Unternehmen, sondern auch kleine und mittlere Betriebe, sofern ihre Produkte Software enthalten und in irgendeiner Form kommunizieren, etwa über Netzwerke oder Schnittstellen.

Merita Fischer erklärt den CRA anschaulich anhand eines „Haus-Modells“. Das Dach bildet die Konformitätserklärung inklusive CE-Kennzeichnung. Die Wände bestehen aus konkreten Sicherheitsanforderungen und Dokumentationspflichten. Das Fundament bildet die Risikoanalyse, die als zentrales Steuerungsinstrument dient. Sie hilft dabei, Sicherheitsmaßnahmen gezielt zu priorisieren und in ein sinnvolles Verhältnis zu Kosten, Entwicklungsaufwand und Nutzerfreundlichkeit zu setzen.

Die Risikoanalyse wird von beiden Gesprächspartnern als essenzieller Ausgangspunkt hervorgehoben. Christoph Fischer beschreibt dabei Ansätze wie das CIA-Modell, das die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit betrachtet. Diese helfen, Risiken systematisch zu bewerten und angemessene Maßnahmen abzuleiten. Dabei wird betont, dass nicht maximale Sicherheit das Ziel ist, sondern eine risikobasierte, wirtschaftlich sinnvolle Umsetzung.

Ein weiterer wichtiger Aspekt ist die Integration von Security in den Entwicklungsprozess. Christoph Fischer spricht von „Secure Development“, das schrittweise etabliert werden sollte und sich an bestehenden Standards orientieren kann. Gleichzeitig bleibt ein gewisser Interpretationsspielraum, was für Unternehmen sowohl Herausforderung als auch Chance darstellt.

Auch bestehende Produkte werden thematisiert. Während sogenannte Legacy-Produkte unter bestimmten Bedingungen weiterhin betrieben werden dürfen, müssen neu produzierte oder aktualisierte Produkte den Anforderungen des CRA entsprechen. Besonders wichtig ist dabei die Fähigkeit zu Software-Updates, um Sicherheitslücken nachträglich schließen zu können.

Ein weiterer Schwerpunkt liegt auf der Rolle von Automatisierung und Künstlicher Intelligenz. Merita Fischer betont, dass die kontinuierliche Einhaltung der Sicherheitsanforderungen ohne Automatisierung kaum möglich ist, da Softwareprodukte ständig weiterentwickelt werden. Automatisierte Tests und Analysen helfen dabei, Sicherheitslücken frühzeitig zu erkennen. Gleichzeitig weist sie darauf hin, dass KI sowohl von Entwicklern als auch von Angreifern genutzt wird. Während sie die Effizienz in der Entwicklung steigern kann, erleichtert sie auch Angriffe wie Phishing oder das Auffinden von Schwachstellen. Zudem ist die Qualität von KI-Ergebnissen noch nicht zuverlässig genug, um vollständig darauf zu vertrauen.

Der Faktor Mensch spielt ebenfalls eine zentrale Rolle. Nutzer tragen Verantwortung, etwa durch das Einspielen von Updates oder die sichere Konfiguration von Geräten. Gleichzeitig liegt es in der Verantwortung der Hersteller, Sicherheit möglichst benutzerfreundlich zu gestalten. Konzepte wie „Secure by Design“ und „Secure by Default“ sollen sicherstellen, dass Produkte bereits in ihrer Grundkonfiguration sicher sind.

Innerhalb von Unternehmen sollte Security als Querschnittsthema verstanden werden. Unterschiedliche Rollen wie Entwickler, Tester und Architekten sollten gemeinsam an Sicherheitsfragen arbeiten. Ergänzend empfiehlt Christoph Fischer die Etablierung eines „Security Champions“ im Team sowie klar definierte Prozesse für den Umgang mit Sicherheitsvorfällen. Eine offene Zusammenarbeit mit externen Sicherheitsforschern wird als Chance gesehen, Produkte kontinuierlich zu verbessern.

Abschließend werfen Merita Fischer und Christoph Fischer einen Blick in die Zukunft. Sie erwarten, dass die Bedeutung von Cyber-Security weiter zunehmen wird. Entscheidend wird sein, ob Unternehmen regulatorische Anforderungen lediglich formal erfüllen oder tatsächlich als Anlass für nachhaltige Verbesserungen nutzen. Als pragmatischen Einstieg empfehlen beide, mit einer fundierten Risikoanalyse zu beginnen, um systematisch und zielgerichtet in das Thema einzusteigen.

Werbung