Verschlüsselungs- und Lizenzierungslösungen
Software CRA-fit machen
Der Cyber Resilience Act erhöht die Anforderungen an digitale Produkte deutlich. Softwarehersteller müssen Lizenzen, Zugriffe und Updates jederzeit transparent steuern. Mit modernen Verschlüsselungs- und Lizenzierungslösungen lässt sich CRA-Compliance gezielt sichern.
Seit Dezember 2024 gilt die EU-Verordnung Cyber Resilience Act (CRA), und inzwischen befassen sich viele Unternehmen damit. Die Verordnung soll die Cybersicherheit von Produkten mit digitalen Elementen in Europa erhöhen und somit die Anwender und Unternehmen vor Manipulationen und Angriffen schützen. Nur die Produkte, die CRA-compliant sind, dürfen dann auf dem europäischen Markt angeboten werden. Dies betrifft Produkte mit digitalen Elementen und solche, die ebenfalls direkt oder indirekt mit den Geräten oder Netzwerken kommunizieren. Jedoch gibt es Ausnahmen für solche Produkte, die für eine gewisse Zeit während Messen präsentiert werden, oder für die bereits sehr viel strengere Regulierungen bestehen, wie in den Bereichen Medizingeräte, Automobil oder Luftfahrt. Das Ziel einer sicheren digitalen Welt soll mittels CRA erreicht werden, was auch zur sicheren Produktnutzung für Anwender und Unternehmen beiträgt.
Digitale Elemente sind heutzutage in vielen Lösungen enthalten. Deswegen müssen sich mehr Unternehmen mit der Umsetzung des CRA befassen als es auf den ersten Blick erscheint. Europäische Unternehmen müssen bis 2027, dem Ende der Übergangsfrist, CRA-compliant sein. Als Strafe für Nicht-Beachtung drohen empfindliche Geldbußen von bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes – der jeweils höhere Betrag gilt.
Für den Schwerpunkt Sicherheit gibt es die folgenden gängigen Regularien: Die internationale Norm IEC 62443 befasst sich mit Cybersicherheit von Embedded-Geräten in Automatisierungssystemen. Die EU-Regulierung NIS2 widmet sich der Sicherheit von Netzwerken und Informationssystemen von Unternehmen. Darüber hinaus gibt es eine EU-Regulierung für künstliche Intelligenz, und der Cyber Resilience Act zielt auf die Verbesserung der Sicherheit in Produkten mit digitalen Komponenten ab. Mit der CodeMeter-Technologie von Wibu-Systems lassen sich einige wichtige Anforderungen des CRA erfüllen.
Maßnahmen zur Wiederherstellung der Compliance
Sollte bei Produkten mit digitalen Elementen ein Problem auftreten, müssen Hersteller laut Artikel 13, Absatz 21, CRA Korrekturmaßnahmen im EU-Markt durchführen können und so die Compliance wiederherstellen. Ist solch eine Korrektur nicht möglich, müssen die Hersteller das betroffene Produkt vom Markt nehmen. Deswegen ist es wichtig zu wissen, welcher Kunde welches Produkt in welcher Version nutzt, um die betroffenen Kunden zu informieren und ihnen ein Update anzubieten.
Mit der CodeMeter-Technologie und den dazugehörigen Tools erhalten Hersteller den Überblick über ihre Kunden und die eingesetzten Produkte. Bereits beim Kauf haben die Anwender ihre im Lizenzcontainer gespeicherten Nutzungsrechte, die sogenannten Lizenzen, bekommen. Um ganze Programme oder einzelne Programmteile außer Betrieb zu nehmen, entzieht der Hersteller einfach die dazugehörigen Lizenzen. Die CRA-Compliance können Hersteller ebenfalls wieder herstellen, indem sie die nicht mehr kompatiblen Programme oder Programmteile ersetzen.
Beim Ändern der Nutzungsrechte wird die entsprechende Lizenz aus dem Lizenzcontainer gelöscht, wodurch der Anwender diese Lizenz dann nicht mehr nutzen kann, und bei Bedarf die neue Lizenz hinzugefügt. Dieses Löschen kann in Fällen einer nicht mehr kompatiblen Lizenz oder einer für eine regional geltende Lizenz, die unberechtigt in einer anderen Region genutzt wird, notwendig sein. Mit CodeMeter License Central oder über das CodeMeter License Portal können Hersteller die Lizenzen im Feld bequem und transparent verwalten, auch über verschiedenen Ebenen hinweg. Zusätzlich können sie Rollen und Rechte über verschiedene Ebenen hinweg zuordnen. Die Hersteller wissen mit Hilfe dieser Tools immer den Status der im Feld befindlichen Lizenzen.
Zugriffskontrolle
Identitäten werden über die Zugriffskontrolle geprüft und hinzugefügt (Anhang I, Teil I [2d] CRA), sodass definiert wird, wer auf eine Software zugreifen darf und wie deren Nutzung ist. Hersteller sind verpflichtet, einen Zugangsschutz gegen unautorisierte Nutzung aufzubauen, was über Authentifizierung oder ein Managementsystem mit unterschiedlichen Berechtigungen realisiert werden kann. Hersteller teilen mit CodeMeter jeder Softwareversion eine eindeutige Lizenz zu. Damit kann er auf den Umstieg auf die nächste Version hinweisen. Darüber hinaus können Hersteller länderspezifische Lizenzen oder die Nutzung der Lizenzen pro Anwender oder Rolle festlegen.
Hersteller können kryptografische Schlüssel selbst erstellen und verteilen, die als Secret Data als Lizenzbestandteil gespeichert werden. Anwender können solch einen Schlüssel nur verwenden, jedoch nicht auslesen. CodeMeter License Central erlaubt das sichere Ausrollen dieser Schlüssel an die Endgeräte.
Vertraulichkeit und Integrität von Daten
Daten mit dem Status "unverfälscht" gelten als vertraulich und nicht manipuliert (Anhang I, Teil [2e, 2f], CRA). Vor allem bei Bibliotheken muss validiert werden, dass die richtige genutzt wird und nicht eine manipulierte Bibliothek. Die kryptografischen Schlüssel in den CodeMeter-Lizenzen sorgen mit Verschlüsselung und Signaturen für die Validierung solcher Bibliotheken. CodeMeter API prüft und signiert die Daten und mit CodeMeter Protection Suite kann der Hersteller diese Anforderungen erfüllen.
Sicherstellung der Compliance
Damit der Hersteller weiß, wo sich welche Lizenz befindet und welchen Status sie hat, benötigt er die Transparenz und die Nachvollziehbarkeit der ausgerollten Lizenzen. Über CodeMeter License Portal definieren die Hersteller bestimmte Stufen zum Ausrollen der Lizenzen. So kann der Hersteller verschiedene OEM-Partner anlegen und diese wiederum ihre Kunden. Unabhängig von den Stufen sieht der Hersteller, welche Lizenz sich bei welchem Kunden befindet, und kennt deren Status, das heißt, die Nachvollziehbarkeit der beim Anwender befindlichen Lizenzen ist gegeben.
Die CodeMeter-Tools helfen den Softwareherstellern, ihre Softwareprodukte schützen und lizenzieren, und gleichzeitig sorgen sie für die Compliance zum CRA. Sobald der Hersteller verschiedene Softwarefunktionen definiert und diese als Lizenz seinen Kunden anbietet, wird eine kontinuierliche Einnahmequelle aufgebaut. Im besten Fall werden damit die Kosten für den CRA-Aufbau mehr als kompensiert.
Stefan Bamberg, Director Sales & Key Account Management, Wibu-Systems










