Case Study: Sichere Produktentwicklung und CRA-Compliance

Die Situation

Mit Inkrafttreten des Cyber Resilience Acts sowie erhöhter Kundenanfragen in Bezug auf Cybersicherheit sah sich ein internationaler Anlagenbauer mit zahlreichen Anforderungen an die Security seiner Produkte konfrontiert. Ungeklärte Fragen gab es insbesondere bezüglich der Identifizierung des aktuellen Reifegrads von Product Security, der Durchführung technischer Bedrohungs- und Risikoanalysen (engl. Threat and Risk Analysis – TRA) für Produkte sowie der Erkennung und Meldung von potenziellen Schwachstellen sowie Angriffen. Mit dem Auftrag einer ganzheitlichen Product-Security-Strategie wandte sich das Unternehmen an unser interdisziplinäres Product Security Team, um fortan ein hohes Niveau an Cybersicherheit entlang des gesamten Produktlebenszyklus zu gewährleisten.

Die Herausforderungen

Komplexe Organisationsstruktur: Die erste große Herausforderung stellte die Komplexität der Organisationsstruktur unseres mittelständischen Kunden dar. So besteht das internationale Systemtechnik- und Engineering-Unternehmen aus zahlreichen, global verteilten Gesellschaften, welche weitgehend unabhängig agieren. Für die Produktion bedeutet das, dass verschiedene Produkte mit unterschiedlichen Entwicklungszyklen und -prozessen an unterschiedlichen Standorten hergestellt werden.

Kompetenzen & Ressourcen: Die für die Umsetzung des Cyber Resilience Act (CRA) erforderlichen Ressourcen sowie das notwendige Wissen – beispielsweise tiefgreifende Kompetenz in gängigen Industriestandards für sichere Produktentwicklung – fehlte an einigen Stellen. Infolgedessen herrschte große Unsicherheit über die erforderlichen Maßnahmen, um den gesetzlichen Anforderungen sowie den Kundenanforderungen zu entsprechen.

Security-Kontext: Auch die Definition des „Security-Kontext“ der Produkte, also die Einsatzumgebung, in der das Produkt sicher betrieben werden kann, stellte eine Hürde dar. Da sich die Produkte aus dem Portfolio des Kunden häufig vielfältig einsetzen lassen und die Transparenz hinsichtlich der Einsatzszenarien im Vertrieb fehlte, galt es nun den Security-Kontext zu definieren, ohne die Marktposition zu verschlechtern und gleichzeitig aus Security-Sicht alles Nötige zu beschreiben. Dies erforderte ein tieferes Verständnis seitens des Vertriebs für die Einsatzzwecke bei Käufern, wie auch eine enge Abstimmung mit der Produktentwicklung, um eine einwandfreie Spezifikation des Security-Kontexts zu gewährleisten.

Safety & Security: Des Weiteren werden die Produkte oft sehr kundennah entwickelt bzw. Kunden mit in die Entwicklung einbezogen. Dabei stehen oft funktionale sowie Safety-Anforderungen an die Produkte im Fokus, sodass Security-Anforderungen bislang vernachlässigt wurden.

Die mangelnde zentrale Steuerung der Product-Security-Aktivitäten und unklare Rollen- und Aufgabenverteilungen führten dazu, dass Security-Maßnahmen in den Gesellschaften unterschiedlich umgesetzt wurden. Das führte dazu, dass Produkte nicht umfassend abgesichert und Security Features eher unbewusst als verpflichtend und auf Basis einer TRA implementiert wurden. Die Effektivität der implementierten Maßnahmen konnte darüber hinaus aufgrund fehlender Tests und Monitoring-Lösungen nicht bewertet werden.

Um diese Herausforderungen anzugehen und Lösungen zu entwickeln, wurde unser Product-Security-Team beauftragt.

Unser Ansatz

Das Projekt umfasste mehrere Aspekte von Product Security. Es galt, die rechtlichen Anforderungen zu definieren, den aktuellen Reifegrad zu bewerten, Handlungsfelder für unternehmensweite sowie -spezifische Maßnahmen für einzelne Gesellschaften zu identifizieren und die Umsetzung der Maßnahmen zu begleiten.

Zu Beginn wurde bewertet, inwieweit die Produkte vom CRA betroffen sind und der IST-Zustand der Product Security erfasst. Dabei wurde eine stellvertretende Auswahl mehrerer Gesellschaften des Kunden betrachtet, um in möglichst kurzer Zeit ein umfassendes Bild über die verschiedenen Entwicklungsprozesse und bisher implementierte Sicherheitsmaßnahmen zu erhalten. Es wurden relevante Ansprechpersonen interviewt – insbesondere Produktentwickler – und vorhandene Dokumentationen und Richtlinien gesichtet. Dies erfolgte unter Betrachtung verschiedener Themenschwerpunkte wie Rollen und Verantwortlichkeiten, die Spezifikation von Security-Anforderungen, die sichere Verifikation und Validierung (bspw. mittels Penetrationstests), der Umgang mit Security Incidents sowie Bereitstellung von Security Updates und Dokumentationen. Damit erhielt der Kunde einen transparenten Überblick über bereits vorhandene Sicherheitsaktivitäten sowie über Lücken, welche noch Verbesserungsmaßnahmen erfordern. Dies ermöglichte es, gezielt Maßnahmen zu ergreifen und sich gesetzeskonform im Bereich Product Security aufzustellen.

Unser Kunde erhielt abgestimmte Handlungsfelder und Empfehlungen, um Product Security in den Gesellschaften zu integrieren. Bestehende Managementsysteme und Entwicklungsprozesse wurden dabei berücksichtigt und durch klare Definitionen und Abgrenzungen von Product Security-Rollen funktional erweitert. Dabei war es dem Kunden wichtig, Mehraufwände so weit wie möglich zu reduzieren und das Product Security Management System in bestehende Strukturen des Information Security Management Systems (ISMS) zu integrieren. Um den Gesellschaften weiterhin eine möglichst unabhängige Entwicklung zu ermöglichen, wurden allgemeine Security-Schritte für die Entwicklung definiert, welche in die individuellen Entwicklungsprozesse der Gesellschaften integriert werden konnten.

Der Mehrwert

Durch das umfassende Fachwissen unseres Cyber Security Teams und die langjährige Erfahrung im Bereich Product Security konnten wir die individuellen Herausforderungen unseres Kunden und der einzelnen Gesellschaften präzise verstehen und maßgeschneiderte Lösungen entwickeln.

Als wesentlicher Erfolgsfaktor überzeugte unsere transparente und ganzheitliche Herangehensweise.

Wir bewerteten den aktuellen Reifegrad in den Gesellschaften gründlich und klärten den Kunden über gesetzliche Vorgaben auf. Dies schuf einen breit gefächerten Überblick und trug dazu bei das Sicherheitsbewusstsein beim Kunden zu steigern.

Bei PwC ist uns die enge Zusammenarbeit mit unseren Kunden besonders wichtig. Durch umfassende Interviews und die Einbindung aller relevanter Ansprechpersonen erlangten wir in diesem Projekt ein tiefgreifendes Verständnis für die Situation des Kunden. So konnten wir individuelle Empfehlungen geben, die es dem Kunden erleichtern den CRA und die Kundenanforderungen bzgl. Product Security zu erfüllen und auch organisatorische Voraussetzungen zu schaffen. Dabei wurde von Anfang an ein integrativer Ansatz mit unseren OSS-Expert:innen verfolgt und auch bei der Definition von Maßnahmen berücksichtigt. Wir begleiteten aber nicht nur bei der Analyse und Bewertung, sondern auch bei der praktischen Umsetzung. Dabei setzten wir auf die Befähigung unseres Kunden und definieren mit ihm Rollen und Verantwortlichkeiten, um langfristig Product Security in der Organisation umzusetzen. Nach der Analyse bereiteten wir eine Roadmap für die Implementierung der Maßnahmen auf, wie beispielsweise Integration von Security-Schritten in den Produktentwicklungsprozess, Definition von Secure Coding Standards und die Implementierung eines Vulnerability und Incident Management Prozesses. Dabei unterstützten wir auch als Fachexpert:innen bei der Erstellung von erforderlichen Dokumenten und Prozessen.

Innerhalb von einem Jahr konnten wir die Rahmenbedingungen für Product Security definieren und in zwei Pilot-Gesellschaften den sicheren Entwicklungsprozess und das Vulnerability Management inkl. der Meldepflichten aus dem CRA heraus implementieren.

Zudem unterstützten wir bei der Implementierung technischer Maßnahmen, um das Entwicklungsteam zu entlasten. Beispielsweise stellten wir eine Methodik sowie ein geeignetes Tool „METUS Security“ zur Durchführung der Threat and Risk Analyse (TRA) bereit und begleiteten die Mitarbeiter bei der Identifizierung möglicher Bedrohungen und Risiken für ihre Produkte. Für zwei Produkte wurde der Security-Kontext definiert, die TRA durchgeführt und 30 technische Maßnahmen abgeleitet. Davon wurden im ersten Jahr der Implementierung 12 Maßnahmen realisiert.

Pro Gesellschaft wurde eine Stellenausschreibung für OT-Security erstellt. Nach neun Monaten wurden von vier Stellenausschreibungen zwei besetzt. Diese wurden direkt in das Projekt integriert und dabei eingearbeitet und befähigt. Nach sechs Monaten konnten die zentral verankerten Mitarbeitenden eigenständig eine TRA mit den Fachbereichen durchführen und neue Risiken für Produkte identifizieren.

Dies ermöglichte es dem Kunden bei den initialen Aufwänden auf die Einstellung weiterer Expert:innen zu verzichten, die am Markt nur sehr schwer zu finden sind, und stattdessen Wissen intern aufzubauen. So konnte er effizient und erfolgreich Product Security umsetzen – und sichere Produkte von morgen entwickeln.