Ein bedeutsames Projekt zur Stärkung der Cybersicherheit geht an den Start: Das Projekt „Cybersecurity Certification and Assessment Tools“ (CCAT), geleitet von der Universität Paderborn, zielt darauf ab, Open-Source-Lösungen zur Unterstützung europäischer Cybersicherheitsvorschriften zu entwickeln. Mit einer Laufzeit von drei Jahren und einer finanziellen Förderung von etwa 4,2 Millionen Euro aus dem EU-Programm Horizon Europe, wird hierbei ein Konsortium aus akademischen und industriellen Partnern zusammengebracht.

Doch was genau steht auf dem Programm? Die CCAT-Initiative soll dazu beitragen, die Umsetzung des neuen Cyber Resilience Act (CRA) sowie des Cybersecurity Act (CSA) zu erleichtern und konzentriert sich darauf, verschiedene offene Werkzeuge zu entwickeln. Diese sollen insbesondere die Analyse von sicherheitskritischen Systemen und Komponenten ermöglichen, darunter Verschlüsselungen und bestehende Zertifizierungen. Aus der über 30-jährigen Forschungserfahrung der Paderborner wird nun anwendungsorientierte Software entwickelt, die nicht nur für Unternehmen, sondern auch für Behörden von zentraler Bedeutung sein wird.

Partnerschaften und Werkzeuge

Das CCAT-Konsortium umfasst zahlreiche Partner, unter anderem die Masaryk-Universität in Tschechien, die Università Ca’ Foscari in Venedig, Cybernetica AS aus Estland sowie verschiedene weitere Institutionen. Gemeinsam erschaffen sie Werkzeuge, die sowohl benutzerfreundlich gestaltet sind als auch die spezifischen Anforderungen der Regulierungs- und Zertifizierungsstellen unterstützen.

Zu den entwickelten Tools zählen unter anderem:

  • TLS-Scanner zur Sicherheitsbewertung von TLS-Clients und -Servern,
  • SCRUTINY für die Evaluierung kryptographischer Implementierungen,
  • ALVIE zur Analyse der Sicherheitsarchitekturen eingebetteter Systeme,
  • sec-cert zur Prüfung zertifizierter Cybersicherheitsprodukte.

Interessant wird es auch mit dem TLS-Attacker, der auf den Erfahrungen des Vorgängerprojekts „KoTeBi“ aufbaut und dabei helfen soll, Unternehmen und Behörden bei der Sicherheitsprüfung zu unterstützen. Führungspersönlichkeit dieses Projekts ist Prof. Václav Matyáš von der Masaryk-Universität, der sich dafür einsetzt, dass Forschung, Regulierung und Praxis noch enger verzahnt werden.

Ein Rahmen für sichere Software

In einem weiteren Schritt ist mit der Etablierung des CRA ein umfassendes Regelwerk entstanden, das Hersteller von Produkten mit digitalen Elementen verpflichtet. Die Hersteller müssen sicherstellen, dass ihre Produkte wesentliche Cybersecurity-Anforderungen erfüllen. Insbesondere müssen sie eine Cybersecurity-Risikoanalyse durchführen und dokumentieren, wie sie diesen Anforderungen gerecht werden.
Der CRA ist für viele Softwareentwickler von Bedeutung, insbesondere im Hinblick auf Open-Source-Projekte, die oft unter verschiedenen Druckbedingungen arbeiten.

Vor allem die Meldepflichten, die im Rahmen des CRA ab September 2026 in Kraft treten, könnten große Auswirkungen auf die Entwicklung und den Vertrieb von Software haben. Hersteller werden verpflichtet, Sicherheitsanfälligkeiten innerhalb kurzer Fristen zu melden und transparent mit Marktüberwachungsbehörden zu kommunizieren. Dies wird auch für importierte Produkte gelten, und die Verantwortung wird auf Distributoren und Importeure ausgeweitet, sodass letztlich die gesamte Lieferkette betroffen ist.

Ein kritischer Blick in die Zukunft zeigt, dass die Verpflichtungen des CRA darauf abzielen, Cybersecurity-Anforderungen auf dem EU-Markt klarer zu definieren. Dies geschieht nicht nur aus Regulierungsperspektive, sondern auch aufgrund der gestiegenen Sicherheitsanforderungen an IoT-Geräte und Softwareanwendungen. Die wichtige Rolle von Open-Source-Software wird ebenfalls berücksichtigt, und es wird darüber nachgedacht, wie diese Frameworks präzise unterstützt werden können.