Security

Cyber Resilience Act - Compliance Risk oder Consumer Respect Act?

Der Cyber Resilience Act (CRA) legt Herstellern von Software und auch Open Source Communities strenge Regeln in Bezug auf IT-Sicherheit ihrer Produkte auf. Dieser Vortrag gibt zunächst einen Überblick über die Ziele und Inhalte dieses Gesetzes. Der Schwerpunkt liegt auf den geforderten technischen und administrativen Regelungen und Verpflichtungen. Es wird erläutert, worauf sich Hersteller, Open Source Communities und Verbraucher einstellen müssen und eingeordnet, wie praktikabel und effektiv die Vorgaben möglicherweise sind.
Mit dem CRA hat die EU-Kommission eine Verordnung auf den Weg gebracht, die die IT-Sicherheit von Produkten reguliert, mit der Motivation, die Interessen der Verbraucher zu stärken und die EU insgesamt widerstandsfähiger gegen Cyberangriffe zu machen. Dieses Gesetz legt Anforderungen für "Produkte mit digitalen Elementen" fest. Von Herstellern wird die Erstellung einer Cybersicherheitsrisikobewertung und die Bereitstellung von Sicherheitsupdates verlangt. Bestimmte alltägliche Softwareprodukte, wie Betriebssysteme, Browser und Password-Manager, werden als "wichtige Produkte" eingestuft. Diese werden auf die Einhaltung von grundlegenden IT-Sicherheitsanforderungen überprüft. Auch Open-Source-Software und ihre Communities werden von diesem Gesetz betroffen sein. Es wird gefordert, dass diese eine Cybersicherheitsstrategie vorlegen, welche unter anderem den Umgang mit Schwachstellen regelt. Ein Verstoß gegen die Bestimmungen kann mit bis zu 15 Millionen Euro oder 2,5 % des Weltweiten Jahresumsatzes geahndet werden. Des Weiteren wird die ENISA eine Meldeplattform anbieten, über welche Hersteller Schwachstellen melden. In Hinblick auf die Praktikabilität und Effektivität stellen sich eine Reihe von Fragen, auch sind noch nicht alle Details bekannt, z.B. die Spezifikation von SBOMs. *TL; DR: Neues EU-Gesetz, welches Hersteller verpflichtet (IT-)sicherere Produkte zu entwickeln.*

Additional information

Live Stream https://streaming.media.ccc.de/gpn22/medientheater
Type Vortrag
Language German

More sessions

5/30/24
Security
Sebastian Neef aka gehaxelt
HfG Raum 112
**Für diesen Workshop ist eine [Reservierung](https://join.gulas.ch/entropia/gpn22-workshops/) (ab 26.05., 10:00) notwendig.** Das Hacken von fremden Systemen ohne Erlaubnis ist illegal - Das hören wir oft. Allerdings existiert auch das Gegenteil: Bugbounty bzw. Responsible Disclosure Programme ermöglichen das legale Hacken von Unternehmensseiten, sofern man sich an gewisse Regeln hält. Und während man Freude am Hacken hat, kann man sich vielleicht ein paar € dazuverdienen. Interesse? ...
5/30/24
Security
Jeremy Rand
ZKM Kubus
TLS (the security layer behind HTTPS) and Tor onion services (anonymously hosted TCP services) are both excellent protocols. Wouldn't it be nice if we could use them together? In this talk, I'll cover a working implementation of combining TLS with onion services, without compromising on the security properties that each provides.
5/30/24
Security
Yahe
HfG Raum 112
**Für diesen Workshop ist eine [Reservierung](https://join.gulas.ch/entropia/gpn22-workshops/) (ab 26.05., 10:00) notwendig.** Nextcloud ist für die Bereitstellung von geteilten Dateiablagen beliebt. Ein paar Leute trauen sich sogar, die Verschlüsselung von Nextcloud zu aktivieren. Doch kaum jemand weiß, was diese im Hintergrund eigentlich macht. Dieser Workshop soll das ändern. Wir werden die Server-Side-Encryption und die End-to-End-Encryption von Nextcloud in ihre Einzelteile zerlegen, ...
5/30/24
Security
cy
ZKM Medientheater
Ende März '24 wurde zufällig eine Backdoor in der verbreiteten Open Source - Bibliothek xz-utils entdeckt, die unter anderem im ssh-Server moderner Linux-Distributionen verwendet wird. Diese Sicherheitslücke wurde in einem mehrjährigen Prozess vorbereitet und eingebaut. Es wurden dazu sowohl menschliche Schwäche, als auch grundlegende organisatorische und technische Probleme in der Zusammenarbeit rund um Open Source Entwicklung ausgenutzt. Dieser Vortrag wird über die mehrjährige ...
5/30/24
Security
ZKM Medientheater
Dieser Vortrag beschreibt, wie wir fehlerhafte Prozesse in der Paketverfolgung der meisten deutschen Paketzustelldienste entdeckt haben, wie diese auf unsere Erkenntnisse reagiert haben und warum dies sehr wahrscheinlich auch deine Privatsphäre betrifft.
5/30/24
Security
Thomas Merz
ZKM Vortragssaal
Der “Werbeblocker” für die Hosentasche mit Pi-hole und WireGuard VPN. User und Userinnen, die keine Werbung, kein Tracking und keinen Schadecode mögen und sich “irgendwie” selber schützen wollen und sich den Umgang mit mit Linux und Docker zutrauen und bestenfalls auch ein paar Netzwerk-Grundlagen haben, werden hier mit Infos dazu versorgt, wie sie mit ihrem eigenen VPN (zuhause oder auf einem eigenen, kostengünstigen Cloudserver) auf jedem Gerät und in jedem Netz (WLAN/WiFi, mobile ...
5/31/24
Security
Kevin Heneka
ZKM Medientheater
GPS / GNSS Jamming und Spoofing ist zu einer ernstzunehmenden Gefahr für Verkehr, Navigation und kritische Infrastrukturen geworden. Wir betrachten die damit verbundenen Risiken sowie Hintergründe, Geschichte, Technologien und Abwehrmaßnahmen.