Techtalk

Fachthema

Cyber Resilience Act - Sicherheitsanforderungen für Embedded Linux Systeme

Die zunehmende Vernetzung von Geräten, sowie der wachsende Einsatz von IoT - Technologien stellen für Unternehmen, die elektronische Produkte entwickeln, vor immer größere Herausforderungen im Bereich der Cybersicherheit.

Mit der zunehmenden Vernetzung von Geräten und dem wachsenden Einsatz von IoT-Technologien stehen Unternehmen, die elektronische Produkte entwickeln, vor immer größeren Herausforderungen im Bereich der Cybersicherheit. Der Cyber Resilience Act (CRA) der EU, der ab 2027 in Kraft tritt, zielt darauf ab, die Sicherheit von digitalen Produkten zu erhöhen und regelt detaillierte Anforderungen, die Hersteller von Embedded Systemen erfüllen müssen.

Ein Überblick

Cyber Resilience Act (CRA)

Der Cyber Resilience Act wurde eingeführt, um die Cybersicherheit von „Produkten mit digitalen Elementen“ zu verbessern. Diese Produkte können mit anderen Geräten oder Netzwerken verbunden sein und sind damit potenziellen Cyberangriffen ausgesetzt. Der CRA legt fest, dass Cybersicherheit nicht nur bei der Produktentwicklung, sondern während des gesamten Lebenszyklus eines Produkts berücksichtigt werden muss.

Zu den wesentlichen Anforderungen des CRA gehören:

  • Sicherheitskonzept von Anfang an: Produkte müssen gemäß dem Prinzip „Security by Design“ entwickelt werden. Das bedeutet, dass Cybersicherheitsmaßnahmen von Beginn der Entwicklung an integriert werden müssen.
  • Software Bill of Materials (SBoM): Hersteller müssen eine detaillierte Auflistung aller verwendeten Softwarekomponenten bereitstellen, um Schwachstellen leichter identifizieren zu können.
  • Kontinuierliche Sicherheitsupdates: Über den gesamten Lebenszyklus eines Produkts hinweg müssen Hersteller in der Lage sein, Sicherheitslücken schnell zu schließen und entsprechende Updates bereitzustellen.
  • Schutz vor unbefugtem Zugriff: Produkte müssen Mechanismen enthalten, die verhindern, dass unbefugte Personen auf Systeme und Daten zugreifen können.
  • Meldepflichten: Im Falle einer erkannten Sicherheitslücke muss diese innerhalb von 24 Stunden an die zuständigen Behörden gemeldet werden, Nutzer:innen müssen innerhalb von 72 Stunden informiert werden.
Arbeit an der EMS Broschüre von Ginzinger

Der CRA erfordert zudem, dass Produkte so konzipiert und produziert werden, dass sie keine bekannten Schwachstellen aufweisen, eine sichere Standardkonfiguration besitzen und kontinuierlich überwacht werden. Für Unternehmen bedeutet dies, dass sie nicht nur in der Entwicklungsphase, sondern auch im laufenden Betrieb eines Produkts fortlaufend für Cybersicherheit sorgen müssen.

GELin

Sicherheit und Wartung für Embedded Linux Systeme

Mit der Embedded-Systems-Software Distribution „GELin“ stellt Ginzinger electronic systems seit über 15 Jahren eine auf Linuxbasierende Plattform bereit, die auf die spezifischen Anforderungen von embedded Systemen ausgelegt ist und Unternehmen dabei unterstützt, die Vorgaben des CRA zu erfüllen.

GELin bietet eine Vielzahl von Funktionen, die es Herstellern ermöglichen, ihre Produkte sicher und wartungsfreundlich zu gestalten. Ein zentraler Bestandteil ist die automatisierte Überwachung der eingesetzten Software auf Schwachstellen. Diese kontinuierliche Überprüfung stellt sicher, dass Sicherheitslücken frühzeitig erkannt und geschlossen werden können.

Blick über die Schulter eines Software Entwicklers bei Ginzinger

"Die Ginzinger Embedded Linux Distribution GELin wurde von Anfang an so konzipiert, dass das Root-Dateisystem (das Hauptverzeichnis, das für das System benötigte Programme und Daten enthält) sehr klein ist und nur das Nötigste enthält, um das System funktional zu machen. Vorteile davon sind neben dem geringeren Speicherverbrauch vor allem die dadurch reduzierten Angriffsvektoren für potenzielle Hacker. Neben GELin werden auch Bootloader und Kernel gerade wegen des Security Aspekts lange gepflegt, was bei herstellerspezifischen Kernels nur sehr begrenzt geschieht. Deshalb stellen wir auch für jede Plattform LTS (long term support) Mainline Kernel zur Verfügung."

Stefan Schöfegger
Bereichsleitung Entwicklung

Zusätzlich ist GELin darauf ausgelegt, die vom CRA geforderte Software Bill of Materials (SBoM) zu generieren. Diese SBoM listet alle Softwarepakete und ihre Abhängigkeiten auf, sodass Hersteller jederzeit wissen, welche Komponenten im System integriert sind und welche Schwachstellen gegebenenfalls behoben werden müssen. Ein weiterer wichtiger Aspekt ist die Bereitstellung von Sicherheitsupdates. GELin ermöglicht es, Sicherheitsaktualisierungen schnell und unkompliziert zu verteilen. Sicherheitslücken können somit zeitnah geschlossen werden, ohne dass sie Auswirkungen auf die Funktionalität des Produkts haben. Dies entspricht den Anforderungen des CRA nach regelmäßiger Produktwartung und Pflege. Zusätzlich unterstützt GELin sichere BootProzesse (secure boot) sowie ein Read-OnlyFilesystem, das vor unautorisierten Änderungen schützt. Diese Maßnahmen tragen dazu bei, unbefugten Zugriff zu verhindern und die Integrität des Systems zu gewährleisten.

Umsetzung der Sicherheitsanforderungen mit GELin

Für Unternehmen, die auf Embedded Linux Systeme setzen, ist die Umsetzung der Anforderungen des Cyber Resilience Acts eine komplexe Aufgabe. Ginzinger bietet mit GELin eine Plattform, die bereits viele der vom CRA geforderten Sicherheitsmechanismen standardmäßig integriert hat. Dies erleichtert es Unternehmen, ein Security-by-Design  Konzept umzusetzen und ihre Produkte sicher zu gestalten. Bereits jetzt werden im Rahmen der GELin-Wartungsverträge kontinuierliche Sicherheitsaktualisierungen und Überprüfungen der eingesetzten Softwarekomponenten durchgeführt. So gewährleistet GELin die langfristige Zuverlässigkeit und Sicherheit der Produkte der Ginzinger-Kundschaft.

Schloss Illustration

Ginzinger Embedded Linux

„Zwar sind wir aktuell noch nicht zu 100% CRA-konform, aber bereits auf einem sehr guten Weg dorthin. Dank GELin sind wir schon jetzt hervorragend aufgestellt. Eine Stückliste der Softwarelizenzen (BOM) ist seit vielen Jahren in der Ginzinger Distribution vorhanden, ebenso ein monatliches Security-Monitoring. Natürlich sind noch weitere Maßnahmen erforderlich, um die gesetzlichen Vorgaben vollständig zu erfüllen, darunter fallen das tägliche Security-Monitoring, eine SBOM im SPDX- oder CycloneDX-Format, sowie standardisierte Prozesse gemäß IEC 62443. Wir werden die geforderten Features fristgerecht umsetzen.”

Henri Roosen
Softwareentwicklung

Cybersicherheit mit GELin

Der Cyber Resilience Act stellt hohe Anforderungen an die Entwicklung, Überwachung und Pflege von Embedded Systemen. Insbesondere Hersteller, die auf Embedded Linux setzen, müssen sicherstellen, dass ihre Produkte den neuen Sicherheitsanforderungen gerecht werden. Mit der GELin-Plattform bietet Ginzinger electronic systems eine erprobte Lösung, die speziell für die Bedürfnisse von Embedded Systemen konzipiert wurde und die Umsetzung der CRA-Vorgaben unterstützt.

„Für die Endkundinnen und Endkunden ist die CRA ein wichtiger Schritt um zu gewährleisten, dass Kundenprodukte lange und ohne etwaige Security-Probleme im Einsatz bleiben können. Herausforderungen auf der Herstellerseite müssen früh genug angegangen und bereits auf Projektebene berücksichtigt werden.”

Stefan Schöfegger
Bereichsleitung Entwicklung

GELin ermöglicht es Unternehmen, Sicherheitsrisiken frühzeitig zu erkennen, Sicherheitslücken schnell zu beheben und Kundenprodukte langfristig auf einem hohen Sicherheitsniveau zu betreiben. Damit bietet die Ginzinger-Distribution eine solide Grundlage, um den Anforderungen des CRA gerecht zu werden und gleichzeitig die Effizienz und Flexibilität von Embedded Linux zu nutzen. Unterstützt wird Ginzinger electronic systems dabei auch von einem starken Partnernetzwerk wie zum Beispiel dem OSADL oder langjährigen Security-Partnern, wie LIMES Security, welche beratend zur Seite stehen.