Schwachstellenmanagement und CVD
CRA verpflichtet Unternehmen zur Schwachstellen-Behebung
Hersteller müssen gemäß dem CRA einen Meldeprozess (Coordinated Vulnerability Disclosure, CVD) für Schwachstellen etablieren. Hierdurch soll es externen Forschenden und Sicherheitsexpert*innen möglich werden, gefundene Sicherheitslücken vertraulich an den Hersteller zu melden, welcher wiederum für ihre zeitnahe Beseitigung sorgen muss.
Unternehmen müssen daher alle Schritte des CVD-Prozesses technisch und organisatorisch abbilden. Dies betrifft zahlreiche einzelne Aufgaben. So muss eine Plattform zur Annahme von Meldungen eingerichtet werden, und eingehende Meldungen müssen hinsichtlich ihrer Relevanz und Kritikalität bewertet werden. Gegebenenfalls sind Sofortmaßnahmen zur Absicherung von Systemen oder zur Meldung von Datenlecks an die Aufsichtsbehörden und Betroffenen erforderlich. Die Meldung muss innerbetrieblich an die zuständigen Produkt- oder Dienstverantwortlichen weitergeleitet werden. Der CRA verpflichtet Unternehmen auch zur Behebung der bekannten Schwachstellen.
Patches oder Konfigurationsänderungen müssen erstellt, getestet und an die Kundinnen und Kunden ausgeliefert bzw. in die eigenen Cloud-Dienste übernommen werden. Überdies muss das Unternehmen durchgehend mit den Einreichenden und ggf. weiteren betroffenen Stakeholdern kommunizieren. Im Idealfall folgt auf die Behebung der Schwachstelle die Prüfung der eigenen Entwicklungs- und Qualitätssicherungsprozesse, um gleichartige Lücken in Zukunft zu vermeiden.
Das Fraunhofer SIT unterstützt Unternehmen beim Aufbau entsprechender Prozesse und berät zu jedem Teilaspekt eines erfolgreichen CVD-Prozesses. Unsere Expertinnen und Experten stehen Ihnen gerne zur Verfügung, unabhängig davon, ob Sie einen bestehenden Prozess im Lichte des CRA optimieren oder einen vollständig neuen Prozess aufsetzen müssen. Rufen Sie einfach an oder schreiben eine Mail!