Einfach sicher? IoT-ScuBA hilft bei der Umsetzung des Cyber Resilience Act

Hier setzt das it’s OWL Projekt ‚IoT-Security durch zyklische, präzise verzahnte Bedrohungsanalyse und Angriffsdetektion‘ – kurz IoT-ScuBA – an. Ziel ist es, die Entwicklung und Pflege sicherer IoT-Systeme so zu unterstützen, dass es Unternehmen erleichtert wird, CRA-konforme Entscheidungen zu treffen.

„Der CRA verlangt von Unternehmen, dass sie Sicherheitsrisiken nicht nur technisch in den Griff bekommen, sondern diese auch strukturiert bewerten und dokumentieren“, sagt Dr. Markus Fockel vom Fraunhofer IEM. „Wir wollten ein Tool entwickeln, das genau das vereinfacht.“

Das im Projekt entstehende Bedrohungsanalysetool ermöglicht eine präzise, wiederholbare Bewertung von Risiken, basierend auf dem Systemdesign und inklusive vorhersehbarem Fehlgebrauch.

Tool unterstützt Unternehmen CRA-konform zu entwickeln

Es integriert bestehende Standards wie die EN 303 645, gibt automatisch Handlungsempfehlungen und erzeugt passende Reports für die CRA-Dokumentationspflicht. Die Wiederverwendung von Lösungsbausteinen und gezielte, iterative Analysen an kritischen Systemstellen bilden dabei die Grundlage.

Anders als viele bestehende Tools ermöglicht IoT-ScuBA das Betrachten von Hard- und Software in einem gemeinsamen Modell. Dadurch wird die automatische Erkennung von Bedrohungen verbessert, inklusive passender Vorschläge für Gegenmaßnahmen.

Ziel ist es, Unternehmen dabei zu unterstützen, zentrale CRA-Anforderungen wie „Secure by Default“, „Security Updates“, „Data Confidentiality“ oder „Secure Recording and Monitoring“ zuverlässig umzusetzen.

Was muss überwacht werden? Das IoT-ScuBA Regelwerk gibt die Antwort

Ein besonders herausfordernder Aspekt des CRA ist das sogenannte „Secure Recording & Monitoring“. Unternehmen sollen sicherstellen, dass relevante interne Vorgänge wie Datenzugriffe, -änderungen oder die Nutzung sensibler Funktionen zuverlässig überwacht werden. Doch welche Vorgänge gelten als relevant?

Auch hier setzt IoT-ScuBA an. „Wir entwickeln ein Regelwerk, das es ermöglicht, geeignete Monitoring-Punkte systematisch abzuleiten“, sagt Dr. Markus Fockel.

Grundlage ist die vorab durchgeführte Bedrohungsanalyse. Daraus ergibt sich, welche Komponenten überwacht werden sollten, zum Beispiel wenn sie Vertrauensgrenzen überschreiten oder Zugriff auf sensible Daten haben.

Ein Ziel ist dabei auch die Effizienz: Nicht alle Komponenten müssen überwacht werden. Das Regelwerk ermöglicht eine abgewogene Auswahl, sodass Monitoring gezielt und ressourcenschonend erfolgt, ohne die CRA-Anforderungen zu verletzen. So werden Vorfälle frühzeitig erkannt und dokumentiert, ohne dass unnötiger Aufwand entsteht.

CRA fordert Aktualisierung: IoT-ScuBA automatisiert den Prozess

Der CRA fordert zudem, dass die Risikobewertung kontinuierlich aktualisiert wird. Auch darauf hat IoT-ScuBA eine Antwort. Monitoringdaten aus der Nutzung fließen automatisiert zurück in das Bedrohungsmodell. Neue Erkenntnisse werden so zeitnah berücksichtigt und Sicherheitsmaßnahmen bei Bedarf angepasst.

So entsteht ein lernfähiges System: Die Risikobewertung entwickelt sich dynamisch weiter, was nicht nur den CRA-Anforderungen entspricht, sondern auch eine gezielte Reaktion auf reale Bedrohungen ermöglicht, etwa durch gezielte Security-Updates.

Mehr erfahren? it’s OWL Veranstaltung zum Cyber Resilience Act

Wer sich tiefer mit dem CRA, methodischen Ansätzen und Best Practices beschäftigen möchte, ist am 2. Juli 2025 zur Veranstaltung ‚Cyber Resilience Act – Getting Started …and Succeed‘ eingeladen.