Das cyberintelligence.institute (CII) und die European Expert Group for IT-Security (EICAR) haben gemeinsam den „Product Cybersecurity Standard“ (PCS) entwickelt.
Dieser neue Sicherheitsstandard für IT-Produkte baut auf dem bisherigen „EICAR Minimum Standard“ auf und legt grundlegende Sicherheitsanforderungen fest, um die Umsetzung von „Security by Design“ zu fördern. Der PCS zielt darauf ab, die Vertrauenswürdigkeit von IT-Produkten zu verbessern und insbesondere Sicherheitsrisiken im IoT-Bereich zu reduzieren. Hersteller, Importeure und Vertriebspartner werden aufgerufen, sich öffentlich zu den Prinzipien des PCS zu bekennen und dies durch ein entsprechendes Siegel zu dokumentieren.
Cyber-Angriffe nutzen häufig unsichere vernetzte Produkte, um IT-Systeme zu kompromittieren. Dadurch entstehen Sicherheitslücken, die Anwender oft nicht kontrollieren können. Die EU hat mit dem „Cyber Resilience Act“ (CRA) reagiert, um zukünftig strengere Sicherheitsvorgaben für digitale Produkte durchzusetzen. Der PCS unterstützt Unternehmen bei der frühzeitigen Umsetzung dieser Anforderungen.
Der Standard definiert produktübergreifende Sicherheitsanforderungen in Bereichen wie der Absicherung der digitalen Lieferkette, der Kontrolle von Source Code und Datenverarbeitung, der Einhaltung von Datenschutzanforderungen, dem Patch Management und der Bereitstellung von CVD Policies, dem Notfallmanagement, der Legal Compliance, dem Schutz vor Backdoors, der Auslandsdatenübertragung sowie der Transparenz und Anwenderinformation.
Der Standard sei neben dem EICAR und dem CII auch durch eine Arbeitsgruppe bestehend aus 30 Leuten aus Wirtschaft und Verwaltung evaluiert und entwickelt worden. Etwa 1,5 Jahre habe die Entwicklung des Standards in Anspruch genommen, erklärte Rainer Fahs, Chairman der EICAR. Es gebe bereits erste Nachfragen zur Registrierung zum Siegel.
Prof. Dr. Dennis-Kenji Kipker, Forschungsdirektor des cyberintelligence institute erzählte in einem Pressegespräch, dass sich Unternehmen mit einer Konformitätserklärung dem Standard anschließen können. Eine Überprüfung des Standards werde stichprobenartig durchgeführt.
Der PCS kann ab sofort unter http://www.cyberintelligence.institute/PCS sowie auf der EICAR-Webseite (http://www.eicar.org) eingesehen werden.
