Fraunhofer SIT: Schwachstellenscanner mit CRA-Compliance-Check

10. Oktober 2024

Schwachstellenscanner mit CRA-Compliance-Check Werkzeug unterstützt effiziente Umsetzung des Cyber Resilience Acts der Europäischen Union: Lösung prüft automatisiert CRA-Mindestanforderungen und erstellt notwendiges Risikomodell

Das Fraunhofer-Institut für Sichere Informationstechnologie SIT stellt auf der diesjährigen it-sa in Nürnberg einen automatisierten Schwachstellenscanner vor, der Software-Anwendungen automatisiert auf Sicherheitslücken prüft. Mit dem VUSC-Scanner können Hersteller von Produkten mit digitalen Elementen ihre Produkte auf Verletzungen der grundlegenden Sicherheitsanforderungen des CRA prüfen.

Im Gegensatz zu anderen Scannern listet VUSC nicht nur die Schwachstellen auf, sondern kennzeichnet ihre Auswirkungen auf das produktspezifische Risikomodell. Ein solches Risikomodell ist durch den CRA verpflichtend und integriert sich nahtlos in den Scanprozess. Den Scanner zeigt das Fraunhofer SIT live auf der it-sa, die vom 21.-23. Oktober in Nürnberg stattfindet (Halle 6, Stand 314). Weitere Infos unter https://www.sit.fraunhofer.de/cra/.

Der EU Cyber Resilience Act (CRA), der bereits Ende des Jahres in Kraft treten soll, hat zum Ziel, die Cybersicherheit von Produkten und Dienstleistungen in der Europäischen Union zu verbessern. Hierzu legt der CRA Mindestanforderungen an die Cybersicherheit fest, die von Softwareherstellern und Anbietern eingehalten werden müssen. Diese Anforderungen umfassen unter anderem die regelmäßige Überprüfung auf Schwachstellen, die Dokumentation eines Risikomodells und die Meldung von Sicherheitsvorfällen an die zuständigen Aufsichtsbehörden. Betroffene Organisationen müssen entsprechend technische und organisatorische Vorkehrungen treffen. Das Fraunhofer SIT unterstützt Unternehmen bei der Vorbereitung und Umsetzung der notwendigen Veränderungen und bietet neben Schulungen rechtliche und technische Expertise sowie spezielle Werkzeuge.

VUSC: Automatisierte Sicherheitsprüfung auf höchstem Niveau

Der VUSC-Schwachstellenscanner bietet Herstellern von Software die Möglichkeit, ihre Anwendungen kontinuierlich und automatisiert auf potenzielle Sicherheitslücken zu überprüfen. Durch regelmäßige Updates bleibt der Scanner stets auf dem neuesten Stand der Forschung und Technik. Dies ermöglicht es Herstellern, Schwachstellen, die gegen die CRA-Mindestsicherheitsanforderungen verstoßen könnten, möglichst frühzeitig zu finden.

Das auf der it-sa zum ersten Mal vorgestellte CRA-Modul sorgt dafür, dass gefundene Schwachstellen direkt dem Risikomodell zugeordnet werden. Dadurch lässt sich schnell feststellen, welche Auswirkungen eine Ausnutzung der Schwachstelle hätte. Das Fraunhofer SIT präsentiert auf der Messe eine Pilot-Implementierung des Moduls, die Anfang nächsten Jahres einsatzreif sein wird. Der Schwachstellenscanner ist bereits verfügbar und bei diversen Unternehmen im Produktiveinsatz.