Cyber Resilience Act : Habt Mut, euch eurer eigenen Risikoanalyse zu bedienen!

Cybersicherheitsexperten sind sich nicht immer einig. Aber bei einem Thema gibt es viel Konsens: Security-Entscheidungen und -Maßnahmen sollten risikobasiert sein. Der Cyber Resilience Act (CRA), der ab 2027 ein CE-Kennzeichen und Security-Maßnahmen für alle in der EU verkauften Produkte mit digitalen Elementen vorschreibt, atmet diesen Grundsatz.

Der CRA fordert – wie alle Rechtsakte zu CE-Kennzeichen – eine Risikoanalyse. Viel wichtiger ist der Halbsatz, der den grundlegenden Cybersicherheitsanforderungen in Anhang I des Rechtsaktes vorausgeht. Unternehmen müssen die Anforderungen auf der Grundlage der Bewertung der Cybersicherheitsrisiken umsetzen. Das bedeutet im Klartext: Nur wo Hersteller ein Risiko identifizieren, müssen sie Maßnahmen ergreifen. Und was eine wirksame Maßnahme ist, entscheidet die eigene Risikoanalyse.

Und siehe da: Unter den Cybersicherheitsexperten, die sonst bei jeder Gelegenheit Risikobewertungen predigen, bricht das große Jammern aus. Wo kommen wir denn da hin, wenn jeder Hersteller selbst entscheiden darf, welche Security-Maßnahmen für sein Produkt sinnvoll sind? Das weicht doch alles wieder auf!

Die Hersteller, die sich über ihre Handlungsfreiheit eigentlich freuen sollten, sind verunsichert. Wie sollen sie den CRA umsetzen, wenn die Vorgaben ungenau sind?

Eben diese Ungenauigkeit ist auch eine Chance für Hersteller. Die Chance, basierend auf der eigenen Risikoanalyse mündig zu entscheiden, wie sie die CRA-Anforderungen für ihre Produkte am besten umsetzen. Das setzt voraus, dass wir als Käufer – Cybersicherheitsexperten oder nicht – risikobasierte Entscheidungen verstehen und akzeptieren. Aber von vorn.

Eingriffe in den Markt müssen Grenzen haben

Der CRA stellt einen harten Eingriff in den Markt dar. Während andere Security-Regularien wie NIS-2 im schlimmsten Fall mit Geldstrafen drohen, hat der CRA ein viel schärferes Schwert: ein Verkaufsverbot und damit Umsatzeinbußen. Hersteller dürfen in Zukunft in der EU nur noch Produkte verkaufen, die den CRA erfüllen. Im schlimmsten Fall müssen sie etablierte Produkte vom Markt nehmen.

Damit dieses Schwert keine zu tiefen Kerben in den freien Markt und Wettbewerb schlägt, hat die EU sich selbst Regeln gegeben. Das sind rund 30 Rechtsakte seit 1985, die unter die Begriffe „New Approach“ (Neue Konzeption) und „New Legislative Framework“ (Neuer gesetzlicher Rahmen) fallen.

Zu diesen Regeln gehört, dass die EU Anforderungen nur für Produkte vorschreiben darf, mit denen ein Risiko für die Gesundheit und Sicherheit oder andere schützenswerte Aspekte des öffentlichen Interesses verbunden ist. Kein Risiko, keine Vorschriften. Deshalb schreibt jeder CE-Rechtsakt auch eine Risikobewertung vor.

Harmonisierte Normen sind kein Ersatz für eine Risikoanalyse

Ein weiterer Grundsatz aus dem „New Approach“: Die EU darf nur grundlegende Anforderungen festlegen. Die Ausgestaltung obliegt Normungsgremien. Dass der CRA die grundlegenden Anforderungen so vage formuliert, ist also kein Bug, sondern ein Feature.

Die Normungsgremien für den CRA sind bei den europäischen Standardisierungsorganisationen Cen und Cenelec angesiedelt. Diese konkretisieren die Anforderungen des CRA in harmonisierten Normen. Auf diese Normen warten momentan alle Hersteller sehnsüchtig. Sie versprechen endlich Klarheit, wie die vagen Anforderungen umzusetzen sind! Und ja, harmonisierte Normen sind wichtig. Aber die Sache hat drei Haken:

Der erste Haken ist sehr praktisch: Die harmonisierten Normen werden bis zum Stichtag, dem 11. Dezember 2027, für den Großteil der betroffenen Produkte nicht vorliegen.

Der zweite Haken ergibt sich aus dem „New Approach“: Harmonisierte Normen müssen immer freiwillig bleiben. Das bedeutet: Hersteller dürfen stets selbst entscheiden, wie sie die grundlegenden Anforderungen erfüllen.

Der dritte Haken ist der wichtigste: Das „New Legislative Framework“ regelt, wie bewertet wird, ob ein Produkt die grundlegenden Anforderungen erfüllt. Egal, welches Verfahren für die Konformitätsbewertung angewendet und ob eine harmonisierte Norm erfüllt wird: An der Risikobewertung gibt es keinen Weg vorbei – und im CRA bleibt sie die Basis für die Umsetzung der grundlegenden Anforderungen.

Selbst wenn es also eine harmonisierte Norm für ein bestimmtes Produkt gibt und auch wenn ein Hersteller entscheidet, sie zu befolgen: Sie ersetzt nicht die Risikoanalyse. Umgekehrt gilt: Alle Anforderungen im CRA gelten nur, wenn ein Risiko vorliegt. Ob das der Fall ist, sagt die Risikoanalyse. Wenn eine Anforderung zutrifft, müssen Hersteller selbst entscheiden dürfen, wie sie sie umsetzen. Und das Werkzeug, diese Entscheidung zu treffen, ist erneut die Risikoanalyse.

Und das ist gut so.

Risikoanalyse: Einzig rationaler Weg zur Anforderung

Es ist kein Zufall, dass Cybersicherheitsexperten stets Risikoanalysen predigen. Die Risikoanalyse ist das mächtigste Werkzeug, das einzig rationale Werkzeug, um Security-Entscheidungen zu treffen. Anhand der Risikoanalyse können Unternehmen bewerten, wie effektiv Security-Maßnahmen sind. Das bildet die Basis, um zu entscheiden, welche Security-Maßnahmen wichtig sind – und welche nicht. Aber auch: Wann das Produkt sicher genug ist und weitere Maßnahmen unverhältnismäßig sind.

Die Welt ist voller Unsicherheiten, noch unbekannter Schwachstellen und einer unbegrenzten Anzahl möglicher Angriffspfade. Bei so viel Unsicherheit ist die Risikoanalyse der einzige Weg, eine mündige Entscheidung über die benötigten Cybersicherheitsmaßnahmen für ein Produkt zu treffen.

Zurück zum CRA. Natürlich können aufgrund einer Risikoanalyse Security-Anforderungen interpretiert und „aufgeweicht“ werden. Aber wenn eine Risikoanalyse nichts an den Security-Entscheidungen für ein Produkt ändern darf – dann ist sie nur eine Compliance-Übung. Und wenn eine Security-Anforderung kein Risiko adressiert, dann macht sie das Produkt nicht sicherer, sondern nur teurer. Im schlimmsten Fall nimmt die Angriffsfläche zu, so wie bei jedem unnötigen Feature.

Und ja, es sind die Hersteller selbst, die die Anforderungen interpretieren können. Wer sonst sollte besser entscheiden können, was eine sinnvolle Security-Maßnahme für ein Produkt ist, als der Hersteller, der es erfunden hat? Die EU? Ein Normungsgremium? Seien wir dankbar, dass die sonst so für Bürokratie verschriene EU sich selbst Regeln gegeben hat, die mündige Entscheidungen von Unternehmen fördern, anstatt, nun ja: Bürokratie.

Zumuten, zutrauen – und Transparenz fordern

Der Wunsch, diese mündigen Entscheidungen durch eine Liste möglichst konkret definierter Anforderungen zu ersetzen, klingt auf den ersten Blick verständlich. Auf den zweiten Blick wäre es eine Bankrotterklärung der Disziplin Cybersicherheit: „Wir haben keine Mittel, informierte, risikobasierte Entscheidungen zu treffen – Gesetzgeber und Normungsgremien, erledigt das für uns!“

Liebe Hersteller: Habt Mut, euch eurer eigenen Risikoanalyse zu bedienen, um festzulegen, wie ihr den CRA erfüllt. Ihr müsst das nicht nur. Ihr dürft es. Per Gesetz. Es ist richtig, euch risikobasierte Entscheidungen zuzumuten. Lernt jetzt, sie zu treffen.

Und liebe Endnutzer, Produktkäufer und Cybersicherheitsexperten: Wer verantwortliches, risikobasiertes Handeln der Hersteller fordert, der muss damit leben, dass Hersteller eigenverantwortlich risikobasierte Entscheidungen treffen. Sonst ist die Risikoanalyse nichts als Beschäftigungstherapie.

Sarah Fluchs ist Chief Technical Officer bei Admeritia, einem Unternehmen für IT-Sicherheit, und Mitglied der CRA Expert Group der Europäischen Kommission.