Die vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC mit der SICK AG entwickelte Risk-Assessment-Methode »QuBA-libre« bewertet die Cybersicherheit von Produkten schnell und einfach. Sie ist jetzt als Open-Source-Tool auf GitHub verfügbar. Das fragenbogenbasierte Assessment ermöglicht es, den Risikostatus von Produkten mit einheitlichem Schutzbedarf effizient und ressourcenschonend zu ermitteln. Automatisierte Risikobewertung, Vorschläge für Gegenmaßnahmen, Dokumentation und Zuordnung zu den Anforderungen aus dem Cyber Resilience Act (CRA) reduzieren die Komplexität der Risikobewertung und -behandlung. »QuBA-libre« ermöglicht die Integration von Schutzmechanismen – sowohl in der Konzeptions- und Design-Phase neuer Produkte als auch bei der Risikobewertung und Nachrüstung von Bestandsprodukten. Damit unterstützt das Fraunhofer AISEC Produkthersteller, Cybersicherheit als Qualitätsmerkmal ihrer Produkte zu gewährleisten und die Cybersecurity-Anforderungen des CRA umzusetzen.

Der European Cyber Resilience Act (CRA) ist eine 2024 verabschiedete EU-Verordnung zu grundlegenden Cybersicherheitsanforderungen für Produkte mit digitalen Elementen sowie vernetzte Hardware- und Software-Produkte. Ziel ist es, die Cybersicherheit im Binnenmarkt zu erhöhen und Transparenz über das Sicherheitsniveau dieser Produkte zu schaffen.

Hersteller und Händler müssen die Sicherheit während des gesamten Produktlebenszyklus gewährleisten und bis November 2027 die Konformität neu eingeführter Produkte sicherstellen. Zu den Anforderungen zählen explizit der Nachweis von Risikoanalysen, das Vermeiden von Angriffsflächen und die frühzeitige Integration von Schutzmechanismen in Konzeption und Design.

Komplexe Risikoanalysen ermöglichen eine hohe Präzision der Aussagen über den Cybersicherheitsstatus, erfordern jedoch auch einen erheblichen zeitlichen und finanziellen Aufwand. Das Open-Source-Tool »QuBA-libre« nutzt die Methode einer fragebogengestützten Bewertung und bearbeitet einfache Massenprodukte mit deutlich weniger Aufwand. Es schließt die Lücke zwischen hochkomplexen Risikoanalysen für spezialisierte und kritische Einzelkomponenten und Produkten mit homogener Sicherheitsstruktur, die auf Untergliederungen wie Sicherheitszonen verzichten.

In wenigen Schritten Risiken erkennen, Security-Maßnahmen ergreifen und Produkte CRA-konform absichern

Das vom Fraunhofer AISEC in Zusammenarbeit mit der SICK AG entwickelte und implementierte Open-Source-Tool nutzt einen strukturierten Fragebogen als zentrales Element. Die Fragen umfassen beispielsweise Punkte zur Einschätzung der Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit sowie zur Angriffsfläche des Untersuchungsgegenstands. Auf Basis der Antworten und einer hinterlegten Wissensdatenbank erfolgt eine automatisch erstellte Risikobewertung.

Dieser Assessment-Prozess umfasst folgende Schritte:

• Entwickler und Sicherheitsexperten beantworten den Fragebogen mit Fragen zum Impact Rating und zum erforderlichen Angriffspotenzial.
• Das Tool erstellt eine automatisierte Risikobewertung anhand der gegebenen Antworten unter Verwendung vorhandener Risikokataloge.
• Automatisiert werden geeignete Gegenmaßnahmen vorgeschlagen, um erkannte Risiken zu mitigieren.
• Zur Risikobehandlung ordnen Entwickler und Sicherheitsexperten den in der Risikobewertung erstellten Angriffsschritten vorgeschlagene Annahmen und Gegenmaßnahmen zu.
• Es erfolgt eine Risikobewertung für verbleibende Risiken durch
  IT-Sicherheitsfachkräfte.
• Die Dokumentation mit der Zusammenfassung der Ergebnisse und der Zuordnung zu den Anforderungen aus dem CRA erfolgt über das Tool automatisch.

»QuBA-libre ermöglicht eine umfassende und schnelle Analyse der Cybersicherheit eines einfachen Produktes. Sie ist die Basis für maßgeschneiderte Sicherheit, die bereits bei der Konzeption und im Design des Produkts ansetzt und späteren, aufwändigen Absicherungsmaßnahmen zuvorkommt«, erläutert Bartol Filipovic, Leiter der Abteilung Product Protection & Industrial Security am Fraunhofer AISEC.

Entsprechend den Vorgaben des CRA unterstützt eine Risikobewertung zu Beginn der Produktentwicklung, Sicherheitslücken frühzeitig und systematisch zu erkennen und Angriffsflächen zu vermeiden. Die bei »QuBA-libre« automatisch generierte Zuordnung der Risikobewertung zu den Vorgaben aus dem CRA zeigt auf, wo noch Handlungsbedarf besteht. Sind hingegen alle Vorgaben erfüllt, dient die Dokumentation als Nachweis über ein CRA-konformes und somit sicheres Produkt.

Expertise des Fraunhofer AISEC im Risk-Assessment 

Die Basis der Risikobewertung von Produkten bilden weitreichende Kataloge von Risikoszenarien und Angriffsverfahren sowie Maßnahmenkataloge nach der IEC 62443-4-2. Diese Cybersicherheitsnorm definiert technische Sicherheitsanforderungen für Komponenten industrieller Automatisierungs- und Steuerungssysteme (IACS).

Ausgangspunkt für »QuBA-libre« war das vom Fraunhofer AISEC entwickelte Modular Risk Assessment (MoRA), das Risikoanalysen komplexer vernetzter IT-Systeme ganzheitlich abbildet und seit vielen Jahren erfolgreich im Einsatz bei industriellen Partnern ist. »QuBA-libre« greift die Grundprinzipien von MoRA auf – jedoch optimiert und konzentriert auf einzelne IT-Produkte wie Sensoren oder Edge-Geräte.

Das Fraunhofer AISEC unterstützt Unternehmen, die Analyse mithilfe von »QuBA-libre« auf ihre Bedürfnisse anzupassen. Dabei werden die generischen Kataloge zur Risikobewertung durch unternehmensbezogene Zusatzeinträge ergänzt. Im Fokus stehen spezifische, tatsächlich vorliegende Risikofaktoren sowie die Bewertung und Umsetzung von individuellen Schutzmaßnahmen.

• Zu »QuBA-libre« auf GitHub
• Pressemitteilung zu »QuBA-libre« der SICK AG
• Zum Web-Spotlight »Cyber Resilience Act« des Fraunhofer AISEC