Grünes Häkchen heißt nicht sicher, was der Cyber Resilience Act wirklich fordert

In dieser Folge von „Cyber Security ist Chefsache" sprechen Nico
und Ann-Kathrin mit Rebecca Lennartz, Product Security Managerin
bei IGEL, über ein Thema, das durch neue Regulierung gerade enorm
an Fahrt aufnimmt: Produktsicherheit und der Cyber Resilience
Act. Für Rebecca ist es die erste Podcast-Folge überhaupt, und
man merkt von der ersten Minute an, wie viel Leidenschaft in
diesem Thema steckt.


Rebecca nimmt die Hörerinnen und Hörer mit in die Grundfragen,
die in der Praxis oft übersprungen werden: Was ist eigentlich ein
„Produkt", und wann beginnt Produktsicherheit? Sie zeigt, warum
sichere Voreinstellungen, ein sauberer Umgang mit Schwachstellen
und Transparenz über die eigene Software-Lieferkette entscheidend
sind. Am Beispiel von IGEL, einem Linux-basierten Betriebssystem
für Endgeräte, erklärt sie, wie das Team mit Schwachstellen in
Open-Source-Komponenten umgeht, sie über das CVE-Programm
validiert und in eigenen Security Advisories veröffentlicht. Auch
das gerade brandaktuelle Thema rund um das auslaufende
Secure-Boot-Zertifikat kommt zur Sprache, inklusive der Panik,
die es bei vielen Kunden auslöst.


Besonders spannend wird die ehrliche Diskussion über
Verantwortung und Regulierung. Wo hört die Produktsicherheit des
Herstellers auf und wo beginnt die Betreiberverantwortung? Warum
ist „billig einkaufen und teuer absichern" genau der falsche
Ansatz? Und warum würden nach Einschätzung der drei aktuell die
meisten Hersteller eine CRA-Konformitätsprüfung nicht bestehen?
Rebecca, Nico und Ann-Kathrin ordnen ein, was der Cyber
Resilience Act konkret bedeutet, vom ersten Mal, dass eine
Regulierung beim Hersteller statt beim Nutzer ansetzt, über die
Meldepflichten ab dem 11. September bis zur vollen Geltung 2027,
und warum Produktsicherheit eben nicht nur Aufgabe der
Security-Abteilung ist.


Im Gespräch geht es außerdem um:


Was ein „Produkt" wirklich ausmacht, aus Sicht von Vertrieb,
Entwicklung und Sicherheit

Warum sichere Default-Einstellungen oft mehr bringen als
jedes nachträgliche Feature

Wie man mit Schwachstellen in Open-Source-Komponenten umgeht,
validiert und transparent kommuniziert

Das auslaufende Secure-Boot-Zertifikat und warum es viele
Hersteller und Kunden nervös macht

Hersteller- versus Betreiberverantwortung, und wo die Grenze
wirklich verläuft

Supply Chain und Partnerprogramme: warum man fremder Software
nicht blind vertrauen darf

Wie ein lokal laufendes KI-Tool beim Scannen von Quell- und
Binärcode hilft, ohne dass Daten das Haus verlassen

Warum manche Produkte je nach Anwendungsfall nie zu 100
Prozent sicher sein können

Was der Cyber Resilience Act konkret fordert, von
Meldepflichten über SBOM bis zu fünf Jahren Sicherheitsupdates

Warum „billig einkaufen, teuer absichern" der Idee von
Security by Design widerspricht

Open Source unter Druck: Finanzierung, KI und die Frage, ob
das Fundament gerade ins Wanken gerät

Die häufigsten Fehler in der Produktsicherheit, von
Supply-Chain-Vertrauen bis zu mangelnder Kommunikation



Eine sehr praxisnahe Folge für Produktmanagerinnen und
Produktmanager, Entwicklungs- und Security-Verantwortliche,
Hersteller und alle, die wissen wollen, was der Cyber Resilience
Act wirklich bedeutet, und die rechtzeitig vom „grünen Häkchen"
zu echter Produktsicherheit kommen wollen.


____________________________________________


Mehr Informationen


Rebecca Lennartz - LinkedIn Profil


____________________________________________


Reinschauen lohnt sich!


Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache


Podcast - Cybersecurity shall be C-Level priority:
@cybersec_clevel_priority


Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber


Schließe dich uns an, um tiefer in die Welt der digitalen
Sicherheit einzutauchen.


____________________________________________


Du findest mich auf folgenden Social Media Kanälen:


Instagram: cybersec_ist_chefsache


TikTok: cybersec_ist_chefsache


LinkedIn - Nico: nicofreitag


LinkedIn - Ann-Katrin: annkatrin


Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache


____________________________________________


Deine Reise in die Welt der Cyber Security startet hier – ich
freue uns darauf, mich mit dir zu vernetzen.