 Kevin kann uns da vielleicht ein bisschen weiterhelfen. Er ist konsultant in diesem Bereich so Dinge, Norm, Funk, Elektrotechnik und Zertifizierung. Ich hoffe mehr Klarheit darüber, über das, was noch unklar ist und was gerade im Fluss ist. Ich hoffe, ihr kriegt auch eure Antworten. Ja, Applaus. Und ihr werdet alle eure Fragen noch loswerden können nachher. Vielen, vielen Dank dir für die Einladung. Ein Leitung. Ich kann mich dem noch anschließen. Also in der Früh hier zu sein, nach dem gestrigen Abend, das ist stark. Und gerade wenn es um Namen geht, sehr heftig. Spoiler, es wird keine Klarheit geben. Im Gegenteil, ihr werdet es sehen auch, ihr werdet es vorlesen. Alles, was man denkt, ist kompliziert, kann man noch komplizierter machen. In dem Zusammenhang, kurze Frage. Das ist jetzt wieder die Open Source Version von einem kommerziellen Talk. War letztes Jahr hier jemand dabei bei dem ACN 303645 Talk? Okay, einer. Du wirst am Ende einige Folien wiedererkennen, allerdings werden wir dann nicht dazukommen, die zu besprechen, weil sich in der Zwischenzeit so viel getan hat. Durchaus, auch im positiven Sinne von positiven Ansätzen. Wir werden ein bisschen durch die Folien durchreiten, dann am Schluss ein bisschen länger machen. Was steht auf der Agenda? Also, ja gut, klassisch, jeder Cybersecurity-Vortrag ist erstmal ein Betrugenszenario aufbauen, bla bla bla, alles ist schlimm. Und dann ist es die Lösung und hier mache ich da gute Preise und dann ist es fertig. So machen wir es jetzt nicht ganz. Wir schauen ein bisschen die einzelnen Regelwerke der EU an. Was ist zu erwarten in den nächsten Monaten und Jahren? Welche Bestrebungen gibt es, Cybersecurity zu erhöhen? Welche Gremien greifen ineinander? Also, wir schauen jetzt weniger das von der kommerziellen Seite an. Was muss ich als Firma tun? Sondern mehr so von der Entwickler-Seite und uns als Entwickler ein bisschen von der Verständnis-Seite. Wie kommt man eigentlich dazu zu dieser ganzen Entwicklung? Was sind so ein bisschen die Hintergründe? In dem Zusammenhang wer, kurze Frage mehr, wer hier im Saal entwickelt selber gerade ein Produkt für sich oder für seine Firma, die er irgendwann, dass er irgendwann mal verkaufen mag? Das sind doch einige, tatsächlich, weil das ist nämlich ein Thema, wodurch ausrelevant ist, was die CE-Konformität betrifft dann. Ziele von dem heutigen ist jetzt eigentlich Hoffnung, muss man dazu sagen. Also, es ist möglich, Sachen sicher zu machen und wir hoffen, dass sich möglichst viele dran halten. Und das ist auch die Message an euch, weil eure Vorgesetzten, die Chefs von der Firma, die wissen das nicht, die haben andere Zahlen im Kopf. Aber dieses Security by Design, das ist etwas, das ist 80 Jahre lang nicht gelebt worden oder nicht mehr gelebt worden und wir wollen das ein bisschen so in die Firmen reinbringen. So, jetzt bin ich weg. Oh ja, ich habe eine Rückkopplung. Aber das hier ist eine echo-lose Kammer. Also, da dürfte es eigentlich kein Echo geben, ne? Wobei, das hat auch so ein bisschen so was Transähnliches, ne? Also, in der Früh zum Aufwachen vielleicht ganz praktisch. Vielleicht die Erinnerung, dass ich zu schnell rede. Okay, kommen wir mal runter hier, ganz relaxed. Also, warte mal, Schmann, das ist nicht das, was wir brauchen. Ja, Lagebericht. Letztens ist er ausgefallen wegen Corona. Der Neue kommt jetzt gleich ganz frisch raus. Wir haben schon ein paar Folien gesehen. Letztens, also Gefahr durch IoT-Sicherheit besteht. Botnetze, alles drum und dran ist für uns jetzt, die wir hier sind, nichts Neues. Also, wenn jemand die Neue in der IoT ist, was ist IoT Internet of Things, Geräte, die miteinander vernetzt sind und Daten erfassen, kommunizieren miteinander, Daten austauschen. Cyber Resilience-Actor, darauf komme ich später, sagt einfach nur Produkte mit digitalen Elementen. Was sind Sicherheitsrisiken im Internet of Things? Weil wir konzentrieren uns heute auf Produkte, also Internet of Things, also alles, was Hardware hat. Software ist ein großer Bestandteil, kann man nachher noch dazu. Aber was sind so Sicherheitsrisiken? Jede Menge. Datenabfluss, Datenklau, geht dann wieder in Datenschutzgrundverordnung rein, dass es da Verletzungen gibt, wenn persönliche Daten abhanden kommen. Es gibt unzählige Kamera-Hacks und Zugriffe dazu. Man kann aus fast jedem Gerät, wo man an die Konsole hinkommt, also für Kurto meiner Sense, vielleicht ein bisschen zu schwach, aber Botnetze machen zum Fernsteuern, man kann die als Brücke nehmen, ins eigene, ins andere Netzwerk reinzukommen, dass das gemacht wird, ist auch nicht unbekannt. Es gibt ein paar sehr, ich muss sagen, coole Hacks, was das betrifft. Also egal, ob das jetzt irgendwelche Bluetooth-Devices als Wanze verwendet oder eine Kreditkartenfirma zu hacken durch die Klimaanlage, das kann man erstmal googeln, das sind sehr interessante Sachen. Insgesamt die Betonungslage, das ist eine alte Folie von, keine Ahnung, 21 oder so, wenn man heiße Newsticker, heiße Security aufmacht und man scrollt runter, nach drei Stunden scrollt merkt man auch, ich bin in letzter Woche angelangt, also es wird nicht weniger. Warum? Weil eben Sicherheitslücken vorhanden sind, weil Dinge schnell programmiert werden, traditionelle Strukturen in Firmen drin sind, die man nicht durchbrechen kann, Sachen schnell auf den Markt kommen müssen und praktisch einfach schrott sind. Zwei coole Hacks, auch von der letzten Folie noch, aber dann war es das von der Vergangenheit. Also das muss man auch mal sagen, dass man nicht nur in eine Sache rein hacken kann, sondern dass auch einfach Sachen schlecht programmiert sein können, weil Zustände kommen, an die man nicht gedacht haben. Letztes Jahr gab es eine Mikrowelle, die hat eine Identitätskrise, die hat über Nacht eine Over-Ware Update bekommen und ließ sich am Morgen nicht mehr starten. Warum nicht? Weil dieselbe firmen wir auch in einem Dampfkessel, also in einem Dampfbackofen, so ein Konfektomaten drin war und da irgendwo ein Temperaturfühler gefehlt hat. Und das war so geprickt, da konnte man da heim nichts mehr machen, also musste Eingeschickt werden oder Servicetechniker kommen. Ist natürlich nervig für die Leute, die es betrifft und auch für die Firma, aus Schalten, Einschalten geht, weil es in dem Fall nicht so der Fall. Ein anderes, sehr interessanter Effekt ging um Radios. In Nordamerika war das, da gibt es natürlich im Rundfunk die Möglichkeit, dass Sender ihre Logos mitübertragen können und ein Sender hat unschuldigerweise ein Logo übertragen, ich sag mal so Antenne Bayern.jpg ohne jpg und das hat die ganzen Mediensysteme der Radios geprickt. Man konnte das Radio und damit das Auto nicht mehr steuern, also warm, kalt machen, unser Zeug ging nicht mehr, mussten auch in die Werkstatt rein. Spoiler, all diese Sachen wären nicht passiert. Hätte man z.B. die Etsy-Norm 303645 angewendet? Noch mal eine Frage, die gleiche Frage habe ich letztes Jahr gestellt. Wer hat von der Etsy 303645 schon mal was gehört? Cool, fast niemand. Ey, da muss ich doch langsamer reden. Also, die Frage ist, ne, erst mal, hier, wenn das eine Fotografie mag, ist eine alte Liste, fünf, sechs Jahre alt, aber ganz viele IoT-Hacks, also Gips auf GitHub, jede Menge Liste, aber da kann man mal ein bisschen Gespür sehen, was für Geräte sind kaputtgegangen, bzw. was war so ein bisschen der Hintergrund für die Unsicherheiten. So, die Frage ist jetzt, welche Bestrebungen gibt es von offizieller Seite, Cybersecurity zu fördern und zu standardisieren? Weil Standards sind zwar gern kompliziert, aber auch sinnvoll. Weitere doch kann man Sachen miteinander vergleichen, man hat einen Leitfaden, an dem man sich halten kann. Und jetzt fängt der komplizierte Teil an. Also, wir haben international unterschiedliche Normen und Standards aus der Tradition raus. Die sind nicht neu, die sind zum Teil sehr, sehr alt. CC ist ein Standard, Common Criteria. Da geht es um Sicherheits-, Hochsicherheitsanwendungen in der Software. Interessant ist, relativ oft sehen wir bei den Standards und Normen drei Kategorien von Anwendungen so Standard oder Baseline, Critical und High-Critical. Mehr oder weniger in unterschiedlicher Formulierung, aber das kann man uns merken, also diese drei Kategorien von Anwendungen von Produkten von, was auch mal, wird uns immer begegnen. Dann gut, die IEC 62443 ist für Automatisierungstechnik, SCADA Systeme sehr relativ umfangreich. NIST gibt es natürlich, da gibt es auch IoT-Empfehlungen. Die 2701-Reihe Management Systeme, ESMS und alles drum und dran, kennen wir auch so ähnlich wie BSE Grundschutz. Und dann gibt es auch noch ein Cybersecurity-Certification-Programm in Nordamerika. Es gibt international durchaus Bestrebungen da Standards zu machen. Wie schaut es jetzt aus hier in Europa? Wir haben den Cybersecurity Act und der ist nicht zu verwechseln mit unten dran, dem Cyber Resilience Act. Cyber Security Act gibt es schon, ist mehr für Software-Anwendungen gewesen, weil alles, was IT ist, ist hier Software. Da kann man ja nicht drauf rumklopfen, das sind irgendwelche Daten, die gehen. Also so war es in der Vergangenheit, mittlerweile kommen wir drauf, hey, Produkte, haben mehr Software als sonst irgendwas. Cyber Resilience Act, den gibt es noch nicht, der kommt in der Zukunft. Wir müssen ein bisschen besprechen. Funkanlagenrichtlinie, Radio Equipment Directive, die ist sehr interessant, die betrifft alle Geräte, die eine Funkschnittstelle haben und aktiv funken. Also irgendein Gerät, wo hardwaremäßig, Bluetooth, WLAN, aktives RFID, was auch immer, wenn es funkt, dann muss das, um in der Europäischen Union zugelassen oder verkauft werden zu können, ein CE haben und wenn es funkt, braucht es die Konformität zur Funkanlagenrichtlinie. Was größere Maschinen und Anlagen betrifft, gibt es die Maschinenverordnung, die Zukunft, bis jetzt die Maschinenrichtlinie. Also da geht es jetzt halt um größere Sachen Produktionsanlagen, Teilproduktionsanlagen, ich meine wegen Kunststoffmetallverarbeitendes Gewerbe, wenn ich da eine Drehbank habe oder eine Maschine, da ist ja auch viel Software drin. Das ist ein interessanter Punkt. Aus unterschiedlichen Gründen, zum einen der Unterschied zwischen rechtlich gesehen zwischen Richtlinie und Verordnung. Ja, wir wiederholen es nachher nochmal, dass man reinkommt. Richtlinie ist auf EU-weit eine Richtlinie, wo dann national in geltendes Recht umgewandelt werden muss. Also sprich jedes Land kann machen, was es mag, Hauptsache es hält sich an die Richtlinie. Eine Verordnung ist EU-weit eine Verordnung, an die sich die Länder direkt zu halten haben. Zack, so ist es. Bei der Maschinenverordnung ist es relativ cool, die Frage, was ist eine Veränderung von der Maschine? Ich baue in den Ständerbau Maschinen Not aus, habe ich dadurch die Maschine verändert oder nicht? Maschinen-Richtlinie in Deutschland sagt, nee, ist nicht verändert, in einem anderen europäischen Land sagt, ja, ist verändert. Maschinenverordnung gibt da einheitliche Sachen vor. Das vom politischen, vom organisatorischen. Das andere, was interessant ist bei der Maschinenverordnung, es wird in Zukunft auch Software mit betrachtet. Auch in Bezug auf Cybersecurity. Und in Bezug auf CE-Konformität. Das heißt praktische Anwendung. Ich bin Hersteller von, bleib mal bei Ständerbau Maschinen mit einem Display, die ich mit der App steuern kann. Keine Ahnung, ob es sowas gibt, ob jemand braucht, aber nur so als Vorstellung. Ich schweiß daheim die Ständerbau Maschine zusammen und der Max Huber, nebendran programmiert mir die Software. Max Huber muss für seinen Software-Modul weiß, eine extra Firma ist CE-Konformität die nachweisen, damit ich für meine Ständerbau Maschine CE-Konformität geben kann. Also auch in den großen Maschinen wird sowas berücksichtigt. Gut, NIST 2, Steigerung, Sicherheitsniveaus der Mitgliedstaaten. Da geht es in erster Linie so in Richtung kritische Infrastrukturen, zum Beispiel das NIST ist auf europäischer Ebene. In Deutschland haben wir da einen relativ guten Start durch das IT-Sicherheitsgesetz 2. Ich weiß, es ist umstritten, aber so, dass man es metten kann, damit werden viele der Anforderungen schon erfüllt. DSGVO, Datenschutzkundverordnung, hat eigentlich jetzt mal nicht direkt was mit Hardware zu tun, aber indirekt schon als mehreren Gründen, weil es können personenbezogene Daten verarbeitet werden. Und wenn die Hardware, die ich produziere, schrott ist, gehackt wird, die Daten werden gelegt, ist das nicht ein Reputationsverlust für mich als Firma, sondern ich kann auch ordentlich Bußgeld zahlen. Ja, und dann haben wir meine Lieblingsnormen, die ECN 303645, wenn ihr die noch nicht gehört habt. Und in dem Bereich Tätigseit merkt euch, die schreibt euch die auf. Also ich persönlich finde die cool, die ist, wenn man Normen ein bisschen durchliest und ein bisschen in den Normen drinliest, dann hat man immer ein Graus davon. Aber die Normen, die kann man, ich habe gesagt, am Abend in der Badewanne lesen. Das sind 30 Seiten so, und das ist wirklich easy, gut formuliert, und es sind Baseline Requirements. Es sind wirklich die Basics, die grundsätzlichen Anforderungen, um sichere IoT herzustellen. Das geht jetzt auch nicht so irgendeine Postquantum, kriptografische Tiefe hinein. Da geht es wirklich nur um die Anforderungen, aber auch da haben wir wieder das 80-20-Prozent. Die meisten Fehler und die meisten Hecks entstehen durch das Missachten von den Basics. Also da geht es nicht um irgendwelche Clitching-Seitenkanalattacken oder so, das sind einfach nur, weil die Basics nicht eingehalten worden sind. Und dafür ist diese Norm wirklich cool. Und kurze Anektur. Beim anderen Event, mehr kommerzieller Natur, haben wir da auch die Etsy-Norm vorgestellt und vorgeschwärmt, und dann kam ein Vertreter von einer Firma zu uns und hat gesagt, das ist schon interessant, aber das braucht man bei mir machen, plus Bluetooth-Schlösser. Jetzt gibt es die Cyber Security for Smart Locks. Gibt es eine extra Norm dafür, weil es sehr wohl interessant ist. Demenormen hat dann Standards. Muss das auch zertifiziert werden? Auch dafür haben wir unterschiedliche Labels und Zertifizierungen. In Common Criteria zum Beispiel, also wenn ich jetzt irgendwas in einem kritischen, Softwareprodukt in einem kritischen Bereich einsetzen mag, öffentlicher Seite, dann könnte das CC zertifiziert werden. BSZ Beschleunigte Sicherheitszertifizierung ist hier in Deutschland vom BSI. Ich persönlich sage gern CC-Leit dazu. Jeder Profi, der würde mich dafür killen, aber ist trotzdem meine Meinung dazu. Das ist halt ein bisschen kompakter gemacht, um die Anforderungen schneller durchzubekommen, weil CC ist sehr, sehr umfangreich. In allen Fällen braucht man übrigens dagsakreditierte Prüfinstitute, die das auch wirklich zertifizieren. Das IT-Sicherheits-Kennzeichen war letztes Jahr viel in den Medien. Ist doch noch zu früh am Tag. Und das ist eigentlich ein cooler Gedanke, damit der Verbraucher sehen kann, wenn er jetzt irgendeine Smartwatch, ein Router, Smart TV oder was auch immer sieht, dass der sieht, dass das einigermaßen Cybersicher ist, haben die sich gedacht, sie machen IT-Sicherheits-Kennzeichen. Mittlerweile ist es relativ easy, in vielen Kategorien steht drin, wenn du das Cybersicherheits-Kennzeichen erhalten kannst, musst du die EC-303645, da werden wir wieder erfüllen. Und das wird dann nachgewiesen. Cyber Security Certificate ist ein eigenes Zertifikat vom TÜV, also das ist jetzt halt von denen, was die halt unterschreiben, auch für Consumer IoT. Und dann gibt es die EUCC, das ist dann für den Cyber Security Act mehr dieses Mapping von den CC-Schemen. Jetzt haben wir ganz viele unterschiedliche Normen und unterschiedliche Zertifizierungen. Wie kommt es dazu? Kennt ihr garantiert Stiftung neue Verantwortung? Wer kennt's? Okay, cool. Ich probiere es live zu machen. Die Seite lohnt sich bitte zu merken. Das ist das Cyber-Wimmelbild der Verantwortung in der Cyber-Sicherheit. Wir können das gerne ein bisschen interaktiv machen. Ich probiere jetzt hier mal, das auf die Seite drüber zu bringen. Also, das ist jetzt halt von der Seite Stiftung neue Verantwortung. Ich will jetzt da nicht abseilen. Also für euch natürlich die Empfehlung macht das. Staatliche Cyber-Sicherheitsarchitektur, ich muss von unten nach oben gehen. Das sind die Kommunen, betrifft aus dem Gesichtspunkt Deutschland und beinhaltet mittlerweile die EU. Wir haben hier auf Länderebene, wer ist zuständig für Cyber-Sicherheit? Wir haben hier unsere ganzen Bundesländer. Hier in Baden-Württemberg haben wir zum Beispiel das Innenministerium, zentrale Ansprechstelle Cybercrime, Landeswehrauftragte für Datenschutz. Also diese ganzen offiziellen Organisationen gibt es in Baden-Württemberg. Wir machen ein bisschen mehr. In Deutschland haben wir hier oben das Bundesamt für Sicherheit in der Informationstechnik. Die sind mit den allen verbunden. In Bayern haben wir das Landesamt für Sicherheit in der Informationstechnik, weil Bayern macht alles anders. Wer fünf Bier wegtrinken kann, hat eine bayerische Verfassung. Die muss geschützt werden. Hier sehen wir, diese ganzen Behörden sind auf Länderebene zuständig, um Cyber-Sicherheit dafür zu sorgen. Das hier ist auf Bundesebene, nur Deutschland. Da ist für uns interessant natürlich das BSI. Zärtbund ist eng mit den verbandelt. Wir haben natürlich das Bundesinnenministerium, auch noch die ganzen Strafverfolgungsbehörden, Geheimdienste, was das betrifft. Und was uns jetzt am meisten interessiert, ist auf EU-Ebene. Die ganzen Organisationen hängen natürlich mit den Organen in der EU zusammen. Da haben wir z.B. die ECI, Europäisches Institut für Telekommunikation. Die machen die EN33645, also die Cyber Security for Internet, IoT for Internet of Things, also diese recht coole Namen. Hier haben wir SEN und SEN-ELEC. Das ist Europäische Kommittee für Normung. Die hängen eng mit Deutschland, mit dem DKE zusammen. Und im DKE ist z.B. die VDE. Also jeder, der irgendwas mit Elektrik zu tun hat, kennt die VDE-Normen, muss die haben. Und das ist praktisch die deutsche Version von denen. Kostet natürlich Geld, ECI kostet kein Geld. Wir haben hier, was ist da noch interessant, die INISA, die ist in Griechenland. Da geht es mehr um die Cyber-Sicherheit, Architektur, die Software und die prinzipiellen staatlichen Organe, was das betrifft. Und genau, dann wieder die Rechts- die exekutive Organe. Und das ist dann international ein bisschen, das interessiert uns jetzt in dem Sinne weniger. Also das sind, das ist die staatliche Cyber Security Architektur in Deutschland und international. Und jetzt mag man meinen, es ist kompliziert. Und wo war ich jetzt hier, war ich genau da, genau. Das war jetzt nur, falls wir kein Internet hätten. So, ein Vertreter einer dieser Organisation, den habe ich mal gefragt, wie er das sieht, mit diesen ganzen unterschiedlichen Organisationen. Jeder macht seinen eigenen Schritt. Jeder probiert irgendwas zu standardisieren, was er grundsätzlich gut und wichtig ist. Wie sieht er das? Antwort, jetzt im Mess. Was uns jetzt am meisten interessiert, sind diese Organe auf EU-Ebene, EZI, Zen und INISA. Und eine Sache noch, die habe ich gestern erst mit reingenommen, weil ich beim VDE noch was anderem geschaut habe, kennt jemand von euch den VDE? Kennt jemand von euch VDE-Normen? Wer findet, dass die super easy sind? Okay, Frank Frage. Aber eine, also wir kennen es, wir wissen, es ist notwendig, Punkt, wir kennen es. Aber eine Sache ist richtig cool. Original screenshot von der VDE-Seite über konkret den Cyber Resilience Act, aber jetzt das ganze, was wir die letzten Minuten gesehen haben. Ich zitiere, bei einem Blick auf die hochkomplexen Vereisungslastigen und detailverliebten Vorschriften darf sich manch einer sicherlich nicht ganz unberechtigt fragen, ob Cyber Security Regulierung in Zukunft zum Selbstzweck werden soll. Ich finde den Satz genial, den muss man sich auf der Zunge zergehen lassen. Und vor allem das vom VDE. Aber es zeigt auch auf der anderen Seite die Herausforderung, vor der wir alle stehen, alle, die wir hier sitzen. Wir haben viele Normen, wir wollen was sicher machen. Was können wir machen? Schauen wir uns mal die drei Normen jetzt konkret ein bisschen an, auf EU-Seite. Wir werden ein bisschen hin und her springen, aber das sind die, wofür uns jetzt am relevantesten sind, heute. Die ECE N303645 Cyber Security Tradelos Modul hat und den Cyber Resilience Act. Die sagen einfach nur Produkte mit digitalen Komponenten. Also das kann Hardware sein, Software sein oder eine Hardware-Soft der Kombination. ECE gibt schon, Funkanlagenrichtlinie Alt gibt schon lange, da gibt es ein paar Punkte, die neu dazugekommen sind und bald in Kraft treten, das werden wir sehen. Und der Cyber Resilience Act, im Jahr 2027. Die ECE-Norm, Steckbrief. Man kann sie runterladen, frei, sie kostet nix, man kann es durchlesen. Es ist wirklich 30 noch was Seiten mit den Anforderungen in 14 Untergruppen. Und Zielgruppe Scope ist Consumer IoT. Also alles was jetzt man selber kaufen kann, im Medienmarkt. Wobei das immer so ein strittiges Ding ist, weil auch beim DAX 40 Unternehmen der Fernseher im Konferenzraum ist im Endeffekt mehr oder weniger Consumer IoT. Es ist anwendbar auf das und das ist die Hauptzielgruppe. Hersteller, Cyber Securities Leister, Hersteller auch im Sinne von Inverkehrbringer. Also wenn ich jetzt nichts herstelle, sondern etwas importiere aus einem anderen Land, dann muss ich dafür sorgen, dass es Cyber sicher ist. Ziel, es schützt den Endverbraucher, Konsumer. Die Normen, die hatten ein paar Namensfettern, die ein bisschen ähnlich klingen, also einmal die TS, Technical Specification, ja nicht Standard Specification. Also ist so eine Art Arbeitsdokument, wo gemacht wird, dann ein Dokument für die Prüfmethodik. Wie kann ich die Anforderungen so einen Schritt für Schritt Dokument wirklich mit viel Hirnschmalz gemacht. Umsetzungenweise und Empfehlungen gibt es auch noch. Also die sind alle miteinander verbandelt und wachsen auch. Sogar der Screenshot hier, den man sieht, der ist wesentlich veraltet, weil die Norm die lebt. Also da wird dran gearbeitet. Was wir vorher schon gesagt haben, diese Norm zu beachten, ist gut, wenn ich in Deutschland zum Beispiel das BSI Sicherheitskennzeichen haben mag. Das BSI macht es so, dass die Anforderungen nicht nur eine Plausibilitätsprüfung. Also ich muss als Hersteller eines Produktes nachweisen, dass ich die Anforderungen des Bundesamts versichert in der Informationstechnik für diese Produktkategorie erfüllt habe. Die Anforderungen sind von Kategorie zu Kategorie unterschiedlich. Bei vielen sagen die einfach, okay, wenn du die EZI-Norm erfüllt hast und es plausibel ist, dann bekommst du von uns das IT-Sicherheitskennzeichen. Das ist auch mit dem Barcode versehen, kann ich dann auf meine Produkte draufkleben und der Verbraucher beim Onlinehandel, der es kennt ist dann und sieht dann gleich die Seite vom BSI, ja, ist 2022 im Juni zertifiziert worden und für zwei Jahre kriegt es Updates und ist offiziell sicher. Ob es dann wirklich sicher ist, ist eine andere Frage, aber es ist zumindest mal in der Hinsicht dass man da schon als eingehalten worden ist. Ein anderes Thema, Funkanlagenrichtlinie, die gibt es schon sehr lange, betrifft alle Geräte, die irgendwie funken. Also alles, wo eine Antenne drin ist, wie man schon gesagt haben, WLAN, Wi-Fi, hätte ich jetzt ein Router, der nur eine Netzwerkbuchse hat, aber nicht Funk würde deren theoretisch nicht darüber fallen. Es müsste nicht seiber sicher sein. Das Interessante ist, eigentlich kommt es aus der Zeit immer noch aktuell, aktueller denn je, dass Funkanlagen oder Produkte andere Geräte nicht stören und auch selber stören unempfindlich sind in der Funktion. Also wäre natürlich blöd, wenn, keine Ahnung, ich irgendein Gerät habe, einen Herzschrittmacher und nebenan schalte einen Römix an und der Herzschrittmacher geht nicht. Also das sind solche Sachen, die sollen damit abgedeckt werden, wobei das schlechtes Beispiel ist, Medizingeräte sind ein komplett anderer Bereich. Also bitte nicht wörtlich nehmen. Artikel 3.3, 3 Punkte, 3 Punkte, 3 Punkte, sorry, ist es zu viel, die aufgenommen worden sind, aber jetzt durch eine Umsetzungsrichtlinie in Kraft getreten sind. Und die heißen im Wortlaut, dass die Geräte do not harm or misuse networks, causing unacceptable reduction of service. Sie müssen protection of personal data and privacy und protection from thought. Basically, diese Punkte sagen Geräte, die konform sein sollen mit der Funkanlagenrichtlinie, müssen cyber-sicher sein. Jetzt ist die Frage, ab wann müssen die Geräte das sein? Es wurde Ende letzten Jahres in Kraft getreten, Übergangszeit, diese Anforderung muss umgesetzt sein am 1. August nächsten Jahres. Also sprich, alle Produkte, und Datenüberträgt müssen, damit die in CE-Zeichen bekommen ab August nächsten Jahres cyber-sicher sein. Es ist natürlich ein bisschen mehr tricky, weil wir wissen jetzt, okay, die Funkanlagenrichtlinie sagt Absatz 3, DEF, es muss so sein, aber wie macht man das? Was sind jetzt die genauen Anforderungen? Weil cyber-sicher ist ja so wie blauer Himmel ein großer Begriff. Es gibt ein Draft, aber das ist nur ein Draft. Das ist eine riesige Spezifikation, die rechtlich angewendet werden muss. Die wird sehnsichtig erwartet, hoffentlich Ende dieses Jahres. Und dann kann man nach dieser harmonisierten Norm wirklich zertifizieren, 1 zu 1, ob man die Anforderungen der Radio-Equipment-Directives erfüllt und dementsprechend CE-konform ist. Das ist auch wieder ein bisschen die Feinheit zwischen der Norm und der Richtlinie. Weil hier reden wir jetzt von der Richtlinie in Zukunft, die Etsy-Norm ist nur eine Norm. Und gegen eine Norm kann ich zwar prüfen, aber nicht wirklich zertifizieren. Und hier kann ich wirklich zertifizieren mit Stempel, okay, es erfüllt oder nicht. Der dritte Punkt, Cyber-Resilience-Act war jetzt viel in den Medien. Was ist das? Erst mal eine saukule Idee, weil man hat zu viele unterschiedliche Normen und deswegen sagt man, die Norm gilt jetzt für Geräte, die Funken, wie Norm gilt für IoT, für Consumer, die dritte Norm gilt für Software, die vierte für Maschinen, also kann man das nicht irgendwie alles unter Einhut bringen. Ja, Europäische Union hat gesagt, Cyber-Resilience-Act. Die wird die anderen Anforderungen integrieren. Das ist schon mal gut, aber sie kommt nicht so schnell. Sie kommt, sie ist auch im Entwurfsmodus, hat dann Übergangszeit, als frühestens 26, 27 wird erwartet, dass die das können. Ja, gut, wenigstens interessiert. Cyber-Resilience-Act ist jetzt so mal drauf eingehen. Europäische Kommission gibt die Vorschläge, Rat und Parlament signen jetzt ab. Also jetzt im Augenblick, so bedanke ich, ist es noch von der, ja, ich gehe mir nicht aus Detail an. Was von der Kommission kommt, wird von der Uschi unterschrieben und die anderen Sachen kommen dann von den einzelnen Gremien. Wer es interessiert, kann es nachlesen. Es ist eigentlich, wen es interessiert, total interessant, weil zum Beispiel die Etsy kümmert sich nicht um die Funkanlagenrichtlinie, obwohl es Telekommunikationsbehörde ist. Das macht wieder die Zen- und die Zen-Elect, da haben die keine Karten drin. Es ist kompliziert, okay, wie auch immer. Kommen wir wieder zurück zum Thema. Auch beim Cyber-Resilience-Act haben wir wieder diese drei Punkte, Standardanwendungen, kritische und hochkritische Anwendungen. Und wir haben mehr Anforderungen als bei der Radio-Equipment-Directive, zum Beispiel verpflichtende Updates für, ich glaube, fünf Jahre. Schwachstellenmanagement muss integriert sein, aktives Schwachstellenmanagement und was ich persönlich sehr cool finde, es orientiert sich an der DSGVO, was die Strafzahlungen betrifft. Also, das heißt, wenn ich jetzt ein Produkt herstelle, das sich nicht an Cyber-Resilience-Act hält und es entsteht dadurch ein Schaden, persönliche Daten fließen ab oder irgendetwas anderes, und ich habe es mit CE gestempelt, obwohl es nachweislich fallmäßig kein CE-Wert war, dann ist abhängig, also so wie es bei der Datenschutzkundverordnung ist, entweder, ich habe vergessen, ein Prozent vom Jahresumsatz oder so und so viele Millionen, kann ich dann als Unternehmen Strafe zahlen. Und das könnte durchaus wirksam werden. Das kommt erst in der Zukunft. Also, Vergangenheit, Etsy haben wir, Funker langen Richtlinie ist aktuell und Cyber-Resilience-Act in der Zukunft. Was interessant ist, alles, was wir in der EU verkaufen wollen, brauchen CE-Kennzeichen und wir als Hersteller müssen dafür sorgen und als Inverkehrbringer. Also, das heißt, ich kann mich jetzt nicht auf eine andere Firma verlassen, die das irgendwo in einem anderen Land herstellt und dann sagen, okay, aber die haben das ja draufgeschrieben. Tipp, bitte, verlasst euch auch nicht da drauf. Also, wir haben Geräte von sehr, sehr namhaften, nicht unbekannten globalen Hersteller in der Hand gehabt, um diese Fragen zu beantworten. Da kommen wir später noch drauf auf so ein Beispiel anonymisiert. Es ist schlimm. Und ihr seid dann in der Verantwortung. Wenn ihr das in Verkehr bringt, könnt ihr nicht sagen, das große Unternehmen hat das ja hergestellt und so, nee, also der, wo es unter seinen Namen in der EU in Verkehr bringt, der ist dafür verantwortlich. Die Etsy-Norm zur Funkanlagenrichtlinie hat ein paar Unterschiede. Zum Beispiel, also Funkanlagenrichtlinie hat ein bisschen höhere Anforderungen, also Denial of Service. Abwehr ist zum Beispiel da drin gefordert, im Draft. Also, wir reden jetzt alles vom Draft, nicht festnageln, das kann sich alles noch ändern bis Ende des Jahres oder Anfang nächsten Jahres, zum Augenblick ausschaut. Schwachstellende Hardware werden betrachtet, also für unsere Clitching-Freunde kann das durchaus interessant sein. Die Netzwerkdienste müssen beschrieben sein. Etsy sagt, es darf nichts nach außen offen sein und RID sagt, okay, ist Wurstopsoffenes oder nicht, aber du musst es auch beschreiben, was ist da. Dann, wenn personenbezogene Daten im Spiel sind, ist ein Logging erforderlich, und wer hat was wann gemacht. Kinderspielzeuge haben noch meine spezielle Aufsicht, weil, also da geht es dann ein bisschen, Sie haben schon hier und Schmalz reingesteckt, also das auch in der Hinsicht ein bisschen sicher zu machen. Und 5G ist auch ein Thema, allerdings steht da noch, im letzten Drift stand da noch nicht allzu viel drin. Jetzt eine interessante Frage, Funkanlagenrichtlinie. Ab wann muss ich die einhalten? Also, sagen wir mal, ich stell, ich verkaufe ein Produkt und ich möchte dieses Produkt auch noch nächstes Jahr im August verkaufen. Dann muss ich die Funkanlagenrichtlinie heute schon einhalten. Weil dieses Produkt wird sich nicht durch irgendein Wunder nächstes Jahr auf einmal von selbst transformieren und konform sein. Und das ist ein Punkt, den viele Unternehmen in Deutschland noch gar nicht gerafft haben. Und das ist auch ein Punkt, den ihr gerne in die Unternehmen reinbringen könnt, Jungs. Wir müssen was an der Sicherheit unserer Produkte machen. Security by design und wir brauchen das und das und wir brauchen was auch immer dafür, weil heute ist es wichtig, wenn ich das mit CE verkaufen mag, dann brauchst du es, wenn es funkt. Einschränkung. Wenn es nicht funkt, habe ich noch ein bisschen mehr Zeit, weil dann greift irgendwann der Cyber-Visilien-Sekt. So, schauen wir uns noch ein bisschen die Etsy an, weil Funkanlagenrichtlinie ist eine Sache. Wie kann ich die erfüllen? Jetzt kommen ein paar Folien von letztem Jahr, weil die Etsy-Norm, die ist richtig cool, was das betrifft, sehr einfach zu erfüllen. Und im Prinzip, wenn ich mich an der Etsy-Norm orientiere, auch wenn der Ready-Equipment-Directive-Draft jetzt noch nicht endgültig ist, habe ich schon die meisten Anforderungen erschlagen. Also jetzt kann man mit gutem nicht ausreden. Ich muss auf den Draft warten. Man kann jetzt schon mit der Etsy 303645 anfangen. Das ist richtig coole Norm. Anwendungsbereich, alle smarte IOT für Consumer. Auch Spielzeuge, Fernseher, alles Mögliche. Nicht dazu gehören Medizineräte oder Industriegeräte oder Geräte, für die schon andere Normen gelten. Hier geht es jetzt hauptsächlich um Hardware. Wie schaut die aus? Es sind 30 Seiten. Text, relativ wenig Bilder, allerdings schön unterklädert in Paragrafen mit einzelnen Anforderungen. Und da gibt es diese ganzen Requirements, kann man jetzt nicht hier so sehen. Minimise-Expose-Attack-Surfaces, also sind da schon in der Norm praktische Anwendungen drin, wie man es sicher machen kann. IOT-Device, Constraint-Device ist interessant. Also es betrifft hauptsächlich die IOT-Devices, nicht die Constraint-Devices. Das sind die intelligenten Geräte, die allerdings intelligent aber zu dumm sind. Also ich sage es mal, ich habe eine smarte Wetterstation, die mit Bluetooth und WLAN angebunden ist, ins Netzwerk und ein Temperatursensor, der draußen ist und mir die Daten reinfunkt. Temperatursensor gehört dazu, aber ist kein IOT, das ist ein Constraint-Device. Also das ist dann nicht unbedingt im Scope. Und was wichtig ist die Provisions. Da haben wir unterschiedliche Provisions, M, R und C. M ist mandatory, also muss sein, egal wie. R ist recommended und C, conditional. Also zum Beispiel conditional Passwortschutz, also wenn ich kein Interface habe, um irgendwas mich einzulogen, brauche ich auch kein Passwort dafür. Ansonsten M-C heißt also mandatory, conditional, wie auch immer. Best practice Cryptography, da ist auch die Norm schlau, die definiert manche Sachen nicht genau. Erst genau Wissenmark kann auf den Verweis vom BSI, vom Bundesamt Versichert Informationstechnik gehen, die sagen für Stand heute, was ist damit gemeint beziehungsweise wie kann ich diese Anforderung erfüllen für Best practice Cryptography. Also die Jungs am Mittel vom BSI, das sind da auch sehr, sehr fit drin, was das betrifft und geben da sehr viel Hilfestellung für Hersteller. Eine Handvoll Provisions, zum Beispiel, ja hier das Beispiel keine Standardpasswörter, M-C mandatory conditional, also nur wenn ich Passwörter habe, darf ich keine Passwörter, Standardpasswörter hernehmen. Dann Meldungen über Sicherheitslücken muss sich ein Workflow drin haben, also wenn mir ein Kunde schreibt, hey das und das passiert, wenn man mit deinem Gerät das und das macht, muss sich nachweisen können, an wen muss die Meldung gehen, wie wird die Meldung bearbeitet, kann ich innerhalb von 8 Wochen drauf reagieren und so weiter. Das ist sehr, sehr cool und ein wunderbares Kapitel zum Nachlesen ist die Provision 5.3 über Software Updates. Wer sich für IoT Hardware interessiert und wissen mag, wie macht man sichere Software Updates, hier kriegt man es gratis und ja, man müsste sich nur daran halten. Genau, Systemresilienz und Stromausfall ist natürlich auch klar, wenn ich jetzt ein Update mache, das nicht crashen und wenn das Stromausfall ist und danach bei mir im Haus alle smarten Lichter ist natürlich auch nicht so gewünscht. Das war auch von letzten Jahr mein Dishwasher on start until I let it update by firmware over the Wi-Fi, das ist genau das was nicht passieren soll durch diese Norm. Genau, das ist die Updates Provision kann man sich dann mal in Ruhe angucken. Was noch interessant ist, wie prüfen wir von Formität, also es ist eine echte Prüfung, das ist nicht so, man legt ein ausgedrucktes Dokument hin und sagt, man ist sicher, sondern man macht erst eine Ausfüllung von der Prüfvorlage, da gibt es ein Draft beim BSI. Es gibt auch Schöneren, wer Interesse hat einfach sich melden. Dann gibt es Abweichungs, also erstmal ein Check-up das Sinn macht, dann ein Abweichungsbericht zur Norm vom Prüfer, entsprechend offene Punkte oder unklare Punkte geklärt und dann wird von den Mandatory Provisions zum Beispiel 30% rausgesucht und die werden dann wirklich geprüft. In Corona Zeit konnte man das Remote machen, da ist dann gesagt worden, ok, gib mal das Codeschnipsel von der TLS Verschlüsselung und wenn dann Accept All oder sowas drinsteht, sagt man ne, liest es nochmal durch und machs besser und so geht dann eins nach dem anderen und wenn es natürlich nachgewiesen ist und dokumentiert ist, das Gerät ist sicher, dann läuft es so. Abweichungsbericht das ist eigentlich dieses hin und her wie es in der Praxis ausschaut, Punkt ist offen, man fragt den Prüfer, wie ist das gemeint, ist das wirklich so bei euch, Antwort vom Kunden geht dann hin und her. Genau. Und was können wir machen? Früh anfangen. Also ihr seid hier, weil ihr euch für Sicherheit interessiert, deswegen finden wir alle hier, also da muss man sich definitiv keine Sorgen machen. Ich weiß, ihr habt in den Unternehmen, wo ihr vielleicht arbeitet, große Herausforderungen, genau dieses Erwärmnis reinzubringen. Bitte nicht aufgeben, man kommt nicht drumherum. Je früher man anfängt und dann sich an diesen Normen orientiert und Werbeblockende also Werbeblockanfang, ich bin Fan von dieser Norm, desto einfach hartmal später. Was immer wieder vorkommen wird, ist die Software Bill of Materials, gerade durch Lock4J, ganz, ganz wichtig geworden, also wirklich gucken, wo kommen die einzelnen Software Bestandteile her, gibt es mittlerweile coole Open Source Programme, die einem der viel Arbeit abnehmen, gescheit dokumentieren, weil wir werden es nie schaffen, etwas 100% sicher machen zu können, aber wir wollen so machen, dass man zumindest dann schnell darauf reagieren kann und weiß, wo kommen die Gefahren her. Genau, ja, noch ein paar weitere Tipps, ja genau, also schnell darauf reagieren und so weiter, aber das steht alles in der Norm drin, muss man jetzt nicht betreut das Vorlesen machen. Also Sicherheit ist wichtig, was ist jetzt das Fazit von diesem Talk Security bei Design, bitte, bitte macht es, gebt nicht auf, früh anfangen, gut dokumentieren und cool, dass ihr hier seid und euch am Freitagmorgen für dieses Thema findet, lasst uns die Welt irgendwie sicherer machen, vielen Dank für alles und bleibt tapfer. Mir raucht der Kopf, ich glaube, ich habe eine riesengroße Liste an Dingen zu tun. Das bedeutet aber auf der anderen Seite auch wiederum, dass Konzalten und Freiberufler und solche Sachen da also die einen oder anderen Auftrag irgendwie vielleicht auch noch abfischen können. Haben wir Fragen? Ja, danke für den schönen Vortrag. Ich habe zwei Fragen, ich hoffe es kann los werden. Eine kurze, wenn du eine Etsy Prüfung machst angenommen du hast irgendwie was ich in Windrad oder sowas wo ein IoT-Gerät drin ist was veranschlagst du an Kosten, was muss ich dafür zahlen, wie lang dauert es? Also zwei Sachen, ich muss das so sagen, ich selber also persönlich ich als Kevin mache keine Zertifizierungen wir machen Konzalten als Fahrschule bis zur Zertifizierung. Die Zertifizierung machen anerkannte Organe in Deutschland. Also das heißt wir bringen die Unternehmen dahin, dass die Zertifizierungen beim ersten Mal bestehen und die Zertifizierer, die rechnen meistens nach Tagesätzen ab also es ist je nachdem wie viel Aufwand es ist, ja, vier bis fünfstellig. Ich hatte gesehen dass dort auch in der Etsy drin stand, dass sich jetzt Licken gemeldet werden müssen und nach 90 Tagen auch eine Art Veröffentlichung gibt ist da eine CVE-Flicht hinter, also kriegen die dann auch eine richtige CVE-Nummer, so dass andere Leute das auch einsehen können oder bleibt das dann wieder nur bei dem Herstellenden und im Endeffekt sieht das dann keiner? Das ist ein guter Punkt, die CVE es kommt natürlich auf die Schwere der Lücke darauf an. Als Hersteller von Etsy-Konformität müssen wir nachweisen, dass wir darauf reagiert haben und die Lücke geschlossen haben. Wenn viele davon betroffen sind und zum Beispiel so Datenfluss gekommen ist trifft DSGVO natürlich in Kraft also muss ich es publik machen die entsprechenden behördlichen Organe auch informieren kann sein, dass da eine CVE rauskommt, kann aber auch sein, dass das dann intern geklärt wird. Ja, das ist jetzt meine zweite Frage. Du hast Security by Design erwähnt großer Begriff was ist dein Lieblingsansatz dazu? Was soll so eine Quelle uns nennen? Ich vermute die Antwort wird Etsy sein. Sehr cool. Deine Frage ist absolut berechtigt. Warum ist die so berechtigt, weil es bis jetzt nicht gelebt wurde? Weil viele Unternehmen wunderbar funktionieren am Wirtschaftsstandort Deutschland weil sie schon 100 Jahre so gemacht haben. Und das war nicht wirklich eine Frage gerade im Bereich IT. Und deswegen sind wir jetzt hier das Schwierigste wird sein damit anzufangen ich meine selbst in großen Firmen die namhaft sind und Riesenprodukte herstellen für die IT können man sich für das Produkt vielleicht wenn es 3 sind, sind es viel, meistens 1 oder 2 Leute. Und da ist es die Herausforderung dieses Umdenken reinzubekommen, alte Strukturen aufzubrechen und ich meine wenn ich eine gewachsene Software habe von 30 Jahren die kann ich nicht einfach umstellen. Also die Herausforderung ist auch hier 80-20% politisch 20% technisch. Wenn ich die Möglichkeit hab da, wie sagt man so schön, agil mit reinzukommen dann ist natürlich die Norm ein super Anhaltspunkt weil wenn ich mich an die halte weil die gibt ja nicht genau vor du musst A oder B schreiben sondern du musst es nur so machen wenn ich mich an dir halte habe ich eigentlich schon die meisten in der Praxis realistisch erwartbaren Sachen erschlagen. Also ja, Security by Design ich persönlich finde auch wenn man jetzt ein neues Produkt macht wenn man sich an die Norm an die Grundsätze hält muss man sich wesentlich weniger Sorgen machen. Du schreibst oben die Cyber Security ist sehr relevant, das heißt ich würde eigentlich auch erwarten, dass die Norm in den CE-Konformitätserklärung der Hersteller auftaucht. Jetzt haben wir selber Geräte und ich schaue immer mal bei Sachen die ich kaufe rein, was für Normen die geprüft haben und die ist mir noch nicht aufgefallen. Das ist jetzt so frisch das was gerade erst kommt oder wird es einfach nur selten gemacht bisher? Also du fragst, die wird zwar auch nicht reinkommen die EC-Norm wird nicht reinkommen weil die EC-Norm an sich unmittelbar nicht CE-relevant ist es wird CE-relevant durch die RED durch die Funkanlagenrichtlinie weil die Funkanlagerichtlinie diese drei Punkte drin hat und für die wird es eine extra Umsetzungsrichtlinie geben die es im Augenblick nur in einem Entwurf gibt und wenn du ein Produkt kauft muss dann wenn es Funk drinstehen RED und dann das Datum damit es CE-konform ist und dann wissen wir es ist cyber-sicher wenn stand heute dein Produkt aber keine Antenne hat fällt es nicht unter die Funkanlagenrichtlinie also so gesehen muss dein Produkt nicht cyber-sicher sein um CE-konform zu sein heute in drei Jahren Cyber-Silience-Act da erwarten wir dann wieder eine Spalte in der CE-konformitätserklärung aber es ist richtig die EC-Norm wird normalerweise so nicht in CE-konformitätserklärung auftauchen weil es keine Richtlinie ist eben ist es normal läuft es ich habe nämlich tatsächlich auch noch eine Frage du hast nämlich gesagt es geht um Consumer IoT was ist wenn was ist mit nicht Consumer IoT was was sich irgendein Sensor für die Industrie der irgendwo in der Gegend rumhängt Daten einsammelt über beliebige Funkschnittstelle die dann halt eben an der Leitzentrale weitergeht und man das halt eben wirklich nicht beim Medienmarkt kaufen kann sondern es ist sehr spezifischer Markt für ganz spezifische Industrie dann heute greift da die EC-Norm nicht da wäre die IC 62443 für Industrial Automation Systems die würde stand heute schon greifen in Zukunft wird gedacht auch andere Produkte also nicht Consumer Geräte alle Produkte mit digitalen Elementen in die Cyber Resilience Act mit also die Anforderungen damit aufzunehmen danke da steht ja zum Beispiel dass man halt eine S-Bom haben soll ist das denn wie mit der neuen Regulierung in Amerika dass diese S-Bom auch an die Leute ausgeliefert werden müssen die das dann kaufen das weiß ich nicht aber gute Frage muss man aufschreiben wie überzeuge ich Unternehmen von der ökonomischen Perspektive aus dass man Security bei Design betraut wenn du dafür eine Antwort hast bitte sag sie oder halt ein Talk darüber es ist eine Herausforderung und tatsächlich 80% der Zeit wie jeder der hier im Bereich Security arbeitet verbringen wir damit uns im Mund fußlich zu reden warum Sicherheit wichtig ist das ist bei IoT nichts anderes ich glaube das kann ich beantworten weil ich bin auf der anderen Seite ich prüfe solche Geräte und wir gucken uns diese Norm an und sagen dann sorry aber warum erfüllt ihr das denn nicht wir würden das Gerät gerne einsetzen aber so wie das gerade hier vor uns liegt können wir das einfach nicht einsetzen und damit verlieren sie den Auftrag also da schon Geld wert hinter ich hoffe dass es wirklich auch in Zukunft so kommt ich weiß von einem großen deutschen Unternehmen die haben extra gesagt nee sie machen jetzt nicht BSE weil sie haben so einen großen Namen kein Witz jetzt aber okay gibt es in der CE dann irgendwo auch noch so das fällt so für Arroganz sehr cool das ist jetzt keine Frage sondern ja eine Antwort bütstücklich dann eine Frage zum Thema S-Bomben in Amerika ist es für die staatlichen Behörden vorgeschrieben dass es einfordern für die Privatunternehmen erstmal ein normales Vertragsrecht Einkaufsbedingungen setzt aber voraus dass du als Kunde auch in der Lage bist die zu verarbeiten also wie viele Kunden machen sich jetzt schon die Mühe oder die Gedanken dazu von ihren Dienstleistern schon anzukündigen das will ich zukünftig von dir haben in dem Format damit ich meine Risiken konsolidierter überwachen kann vielen Dank für die Antwort was also super was vielleicht noch interessant ist wegen der S-Bomben wir haben das vorher gesagt mit Maschinenverordnung und so dass der Hersteller eines Gerätes einer Maschine, eines Produktes wie auch immer später dann Cyber Resilience-Akt dafür zuständig ist und verantwortlich ist für die Software-Komponenten dass die auch CE-konform sein müssen dafür muss natürlich der wissen welche Software-Komponenten in seiner Software-Komponenten die er bekommt drin sind also Lieferketten mäßig und dafür ist es natürlich notwendig für die Software-Komponenten weil sonst wird es gar nicht gehen es war auch eine oder ist immer noch ein bisschen eine Debatte wegen Open Source können wir auch nachlesen die letzten Wochen und Monate weil natürlich in vielen Produkten Open Source-Komponenten eingesetzt werden die wieder in Bibliotheken haben mit Unterbibliotheken wo man nicht nachweisen kann woher kommt es und ursprünglich sollte der Hersteller von den Bibliotheken dafür verantwortlich sein wenn da was falsch ist und man kann das nicht funktionieren es gibt noch keine Lösung dafür aber Fazit ist man muss wissen was ist drin und man muss reagieren können also das da wird sich nichts dran ändern ich hätte noch mal eine kleine Anmerkung zu dem Thema mit wie überzeugt die Unternehmen macht das wird auch nicht nur im Großen sondern im Kleinen fragt euren Küchenverkäufer wie lange ich denn für mein Induktionskoch fällt mit Wifi-Schnittstelle Software-Updates kriege ganz schön blöd sehr cooler Tipp vor allem weil ich das vielleicht länger als 5 Jahre beschreiben möchte und dann kommen die und ja, Miele, Waschmaschine ganz toll und dann fragst du Software-Updates genau so ist es noch schlimmer wird es bei Wärmepumpen übrigens gleiches Bauprojekt Wärmepumpen wir diskutieren gerade nationsweit über Heizungsaustausch da werden Lebenszügel von 20 Jahren ausgelobt und dieses Replacement ansteht hat 35 Jahre Lifecycle und wir diskutieren über 5 Jahre also es ist komplett Hirnverbrannt es ist komplett weltfremd das passt einfach nicht zusammen die Lifecycle der Produkte und die Software und wenn ich dann höre dass das irgendwie 3 Personen für die Software von einem spezifischen Produkt zuständig sind also ich weiß wie es bei uns aussieht wir sind ein Baustoffkonzern ich weiß wie bei uns die Software gestrickt wird das passt einfach hinten und vorne nicht zusammen ja es ist eine Lücke zwischen Theorie und Praxis, du hast recht auch die 5 Jahre werden mal interessant zu beobachten ob die in der Praxis wirklich viel bringen jetzt mal reinhypothetisch gesehen würde man einen Sicherheitscheck beim öffentlichen Gebäude machen und würde dann reinhypothetisch gesehen die Displays an der Wand checken wann die es letzte Mal gepatched worden sind und würde man unter Umständen auch Zeiten über viel länger als 5 Jahre sehen obwohl es noch Patches gäbe also von dem her ich hatte mir die Etsy-Norm auch schon von Avala angeschaut und bin auch der Mann das ist eine sehr gute Guideline an die man sich halten sollte hast du vielleicht auch irgendwie Empfehlungen an konkreten Vorgehensweisen oder Tools oder Open Source Projekten die einem dabei helfen das einzuhalten weil wir stehen ja alle vor denselben Problemen eigentlich also müsste man sich auch irgendwie in der Umsetzung was teilen können guter Punkt ist also prinzipiell die Etsy an sich ist Open Source auch die anderen Dokumente dazu und die Dokumente sind gut es gibt auch Hilfslinien vom BSI die haben eigentlich Tabellen die kann man ein bisschen schöner machen schreiben wir einfacher E-Mail in der Hinsicht also da ist jetzt nichts was irgendwie Geheimes also kann man arbeiten ja wie funktioniert das mit den Übergangsfristen also angenommen ich habe ein Produkt das 10 Jahre alt ist immer noch maintained wird auch noch in 10 Jahren verkauft wird und in 4-5 Jahren wird CAA aktiv dann brauche ich den Bepper und ja das ist eine berechtigte Frage gut dass man jetzt gerade die Zeit davon läuft ich würde sagen kommt auf einen Einzelfall darauf an man muss es nachweisen können auch das mit den 5 Jahren das ist eine von der CAA die Etsy die sagt mindestens 2 Jahre und die Etsy die sagt man muss selbst im Buch sagen wie lange das Produkt maintained wird also man kann es selber festlegen das heißt wenn ich das jetzt seit, keine Ahnung, 2025 verkaufe und ich sage 2 Jahre dann ist bis 2027 ich muss aber auch wenn das Produkt nicht mehr weiter produziert wird laut CAA wenn es dann kommt zumindest noch Sicherheitsupdates zur Verfügung stellen können 5 Jahre lang ob das dann ab Kauftatung oder ab Produktionsstopp gilt definitiv Antwort weiß ich jetzt gar nicht aber ich kann mal vorstellen dass es halt irgendwo nach voll CAA dokumentiert sein muss dann habe ich noch was ich habe die Adresse übrigens gefunden wer sich schonmal mit Normen beschäftigt hat und wie Normen kaufen musste und ist dann also zwangsläufig beim Beutverlag gelandet hat einen mittleren Herzinfarkt gekriegt und sich gedacht das Zeugs gibt es auch in Estland und jetzt habe ich erstmal deine Webseite und dann gibt es evs.ee da gibt es nämlich die ganzen Normen ich habe selber die 16010 dort irgendwie mit Updates für 45 Euro geklickt da eine Teil ist Estnisch der andere Teil ist Englisch und ich glaube das können wir die meisten von uns also evs.ee da gibt es das ganze für ein kleineres Geld ansonsten ich glaube Times Running Up wir haben Augenblick früher angefangen wir hören Augenblick früher auf mega vielen Dank ich habe persönlich total viel gelernt mir raucht der Kopf ich werde das Ding noch dreimal angucken wir werden miteinander schreiben euch bringt es weiter und enjoy freu mich, vielen Dank euch