Mit ONEKEY werden das Auffinden und der Umgang mit Software-Schwachstellen so einfach wie nie zuvor
Über 40.000 Software-Schwachstellen im Jahr: Jetzt können die Hersteller vernetzter Geräte automatisiert prüfen, ob ihre Produkte von einer neuen Sicherheitslücke betroffen sind.
Das Düsseldorfer Cybersicherheitsunternehmen ONEKEY hat seine Plattform von einer führenden Lösung zur Erkennung von Software-Schwachstellen hin zu einer vollwertigen Umgebung für das Management von Schwachstellen (https://www.onekey.com/feature/vulnerability-management) erweitert. Dadurch können Firmen beim Umgang mit sogenannten „Common Vulnerabilities and Exposures“ (CVEs) den gesamten Weg – von der Erkennung über die Bewertung bis zur dokumentierten Entscheidung – in einem einzigen Workflow, der als Nachweis dienen kann, abbilden.
Der Hintergrund: 2024 erreichte die Anzahl neu gemeldeter Schwachstellen einen Höchststand mit über 40.000 CVEs, ein Anstieg um 38 Prozent gegenüber dem Vorjahr. Diese schiere Menge macht es für die Hersteller vernetzter Geräte, Maschinen und Anlagen immer schwieriger, den Überblick zu behalten und festzustellen, welche ihrer Produkte von einer CVE-Meldung konkret betroffen sind.
Zur Abhilfe gibt ONEKEY (https://www.onekey.com/) im Rahmen der Ausrichtung zur Management-Plattform die Integration von VEX-Daten (Vulnerability Exploitability eXchange) in seine Plattform zur Sicherheitsüberprüfung von Gerätesoftware bekannt. Dem auf den ersten Blick technisch klingenden Schritt kommt eine hohe Bedeutung zu: Dadurch werden Teams entlastet, Compliance-Prozesse beschleunigt und die Transparenz in der digitalen Lieferkette deutlich erhöht.
Mit der neuen Funktion können Unternehmen nachweisen: „Nicht jede Schwachstelle ist ein Risiko.“ Sie dokumentiert nicht nur, ob eine Schwachstelle für das jeweilige Produkt relevant ist, sondern begründet dies auch in einem Standardformat – einzeln oder eingebettet in eine Software-Stückliste (Software Bill of Materials). Die entsprechenden Dokumente lassen sich leicht in automatisierte Workflows und Tools integrieren. Dadurch wird die Verfolgung und Meldung von Schwachstellen schneller, einfacher und weniger fehleranfällig.
Automatisierung statt manuelle Überprüfung
Bisher mussten Sicherheitsteams jede einzelne gemeldete CVE-Schwachstelle manuell bewerten und begründen, warum sie möglicherweise kein Risiko für das jeweilige Produkt darstellt. Das führte bei Kunden, Regulatoren und Partnern häufig zu Missverständnissen und zeitraubenden Rückfragen.
Die neue Technologie löst dieses Problem, indem sie den Kontext einer Schwachstelle standardisiert. Sie liefert die entscheidende Information, ob eine bekannte Schwachstelle im spezifischen Produkt tatsächlich ausnutzbar ist. Durch die Integration in die ONEKEY-Plattform können diese Schwachstellen-Entscheidungen nun automatisierbar und nachvollziehbar gemacht werden.
Wettbewerbsvorteil durch beschleunigte Prozesse
Die neue Integration kommt zum richtigen Zeitpunkt: Die EU-Verordnung Cyber Resilience Act (CRA) schreibt vor, dass die Hersteller vernetzter Geräte, Maschinen und Anlagen künftig die Resilienz ihrer Produkte gegenüber Cyberangriffen deutlich erhöhen und dokumentieren müssen. 2024 verabschiedet, tritt der CRA Ende 2027 vollständig in Kraft: Ab diesem Zeitpunkt müssen alle vernetzten Produkte die CRA-Vorgaben erfüllen, wenn sie im EU-Markt angeboten werden. Angesichts von Produktentwicklungszeiten von zwei bis drei Jahren ist die jetzige Erweiterung der ONEKEY-Plattform also von hohem Nutzen für die Hersteller.
Die Vorteile für die Unternehmen im Überblick:
1. Weniger Rückfragen bei Compliance, Kunden und Partnern: Die standardisierten Daten liefern umgehend Klarheit über den Status von Schwachstellen und reduzieren manuelle Kommunikationsprozesse.
2. Schnellere Zertifizierungen und Sicherheitsfreigaben: Durch die automatisierte und nachvollziehbare Dokumentation von Schwachstellen lassen sich Produkte schneller zertifizieren und freigeben.
3. Wettbewerbsvorteil: Mit dieser Integration bietet ONEKEY Kunden eine Lösung, die den wachsenden Anforderungen an die Transparenz in der Lieferkette gerecht wird.
„Wir wollen unseren Kunden die Möglichkeit geben, nicht nur Schwachstellen zu finden, sondern auch zu beweisen, dass ihre Produkte sicher sind“, erklärt Jan Wendenburg, CEO von ONEKEY. „Mit der neuen Integration automatisieren wir den Prozess der Risikobewertung und helfen unseren Kunden, ihre Zeit für strategische statt administrative Aufgaben zu nutzen.“
ONEKEY-Strategie: Automatisierung wo möglich, um Cybersicherheit in den Griff zu bekommen
Die neue Integration ist Teil der Firmenstrategie von ONEKEY, die Funktionalität ihrer Sicherheitsplattform über das reine Auffinden von Software-Schwachstellen hinaus um weitere Optionen zu erweitern, um ein umfassendes CVE-Management zu ermöglichen. Dazu gehören die Priorisierung und die Dokumentation, dass eine Schwachstelle entweder behoben wurde oder im jeweiligen Umfeld irrelevant ist.
„Strukturiertes und automatisiertes Schwachstellenmanagement gehört zu den wichtigsten Themen bei den Herstellern digitaler Produkte“, weiß Jan Wendenburg aus vielen Kundengesprächen. Mehr als 100 neue CVEs täglich (!) mit unklaren Auswirkungen auf die eigene Produktpalette verbunden mit immer strikteren gesetzlichen Compliance-Vorgaben hätten zu einer starken Verunsicherung und teilweise Überforderung geführt. „Daher legen wir in diesem Herbst einen Schwerpunkt darauf, der wachsenden Nachfrage nach entsprechenden Funktionen nachzukommen, damit die Hersteller digitaler Produkte das Thema Cybersicherheit in den Griff bekommen“, erklärt Jan Wendenburg die ONEKEY-Strategie. „Dies markiert den Übergang von der reinen Schwachstellen-Erkennung hin zu einer Umgebung für das komplette Management.“
ONEKEY ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination der automatisierten ONEKEY Product Cybersecurity & Compliance Platform (OCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert – ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von „Software Bills of Materials (SBOMs)“ können Software-Lieferketten proaktiv überprüft werden. „Digital Cyber Twins“ ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte ONEKEY Compliance Wizard deckt bereits heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.
Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.
International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Platform (OCP) und den ONEKEY Cybersecurity Experten.
Pressekontakt:
Weitere Informationen: ONEKEY GmbH,
Sara Fortmann, E-Mail: sara.fortmann@onekey.com,
Toulouser Allee 19A, 40211 Düsseldorf, Deutschland,
Web: https://onekey.com
PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
E-Mail: team@euromarcom.de, Web: www.euromarcom.de
Original-Content von: ONEKEY GmbH, übermittelt durch news aktuell
ONEKEY vereinfacht Schwachstellen-Management deutlich hinzugefügt von ots am
Alle Beiträge von ots →
