Das vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC und der SICK AG gemeinsam entwickelte Risikobewertungstool QuBA-libre ermöglicht die Validierung des Cybersecuritystatus von Produkten wie Sensoren oder Edge-Geräten sowie von einfachen Systemen bereits in deren Entwicklungszyklus. Das fragebogenbasierte Assessment macht es möglich, Risiken schnell und präzise zu analysieren und zu bewerten. Darüber hinaus generiert das Open-Source-Tool Vorschläge für Gegenmaßnahmen zur Minderung oder Vermeidung identifizierter Risiken. Nach Abschluss der Risikoanalyse erstellt QuBA-libre automatisch eine Maßnahmenliste, die die Ergebnisse zusammenfasst und den Anforderungen der CRA zuordnet. SICK integriert mit QuBA-libre Cybersecurity effizient in die Entwicklung eigener Produkte.
Der EU-Cyber Resilience Act, der 2024 verabschiedet wurde und 2027 verbindlich in Kraft tritt, hat das Ziel, die Cybersecurity von Produkten mit digitalen Elementen deutlich zu verbessern. Um dies zu erreichen, stellt die Verordnung (Cyber Resilience Act – CRA) Anforderungen an die Cyber-security derartiger Produkte über den gesamten Lebenszyklus. Es soll gewährleistet werden, dass nur noch Produkte und Systeme auf den Markt kommen, die keine bekannten ausnutzbaren Schwachstellen aufweisen, durch die die Produkte zum Einfallstor oder zur Angriffsplattform für Cyberattacken werden können. Daher schreibt der CRA ausdrücklich Risikobewertungen für alle Produkte mit digitalen Elementen vor.
QuBA-libre: mit effizientem Risiko Assessment Cybersecurity-Anforderungen des CRA erfüllen
Mit dem fragebogenbasierten Assessmentverfahren von QuBA-libre ist es möglich, Risikobewertungen bereits in frühen Phasen der Produkt- oder Systementwicklung durchzuführen. Wie vom CRA gefordert, können dadurch schon in der Konzeptions- und Entwurfsphase Angriffsflächen vermieden und geeignete Schutzmaßnahmen geplant werden. Mögliche Sicherheitslücken lassen sich so bereits frühzeitig in der Produktentwicklung systematisch identifizieren und beheben. Die auf dieser Basis erstellten Konzepte für die Cybersecurity von Produkten und Systemen gewährleisten, dass die Schutzmechanismen direkt in das Produktdesign integriert werden.
Automatisierte Ergebnis- und Anforderungsdokumentation
Mit der Erfassung von Antworten auf Fragen zur Auswirkungsbewertung und zum erforderlichen Angriffspotenzial sowie der automatisierten Risikobewertung, Generierung und Zuordnung geeigneter Schutzmaßnahmen, mit Hilfe integrierter Maßnahmenkatalogen auf Basis der IEC 62443-4-2, ermöglicht QuBA-libre eine umfassende Analyse der Cybersecurity eines Produktes oder eines einfachen Systems. Möglicherweise verbleibende Risiken werden benannt und Cybersecurityspe-zialisten zur Bewertung zur Verfügung gestellt. Nach Abschluss des Risiko Assessments wird von QuBA-libre automatisiert eine Liste von Maßnahmen erstellt, die eine Zusammenfassung der Er-gebnisse und die Zuordnung zu den Anforderungen aus der CRA enthält. Mit QuBA-libre wird CRA-konforme Cybersicherheit – wie bei SICK – zu einem integralen Qualitätsmerkmal von digitalen Produkten.
Hyperlink zu QuBA-libre: https://github.com/SICKAG/QuBA-libre
Pressemitteilung des Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC: https://www.aisec.fraunhofer.de/de/presse-und-veranstaltungen/pressemitteilungen/2025/QuBA-libre.html
Über SICK:
SICK ist einer der weltweit führenden Lösungsanbieter für sensorbasierte Applikationen für industrielle Anwendungen. Das 1946 von Dr.-Ing. e. h. Erwin Sick gegründete Unternehmen mit Stammsitz in Waldkirch im Breisgau nahe Freiburg zählt zu den Technologie- und Marktführern und ist mit 63 Tochtergesellschaften und Beteiligungen sowie zahlreichen Vertretungen rund um den Globus präsent. SICK beschäftigt mehr als 10.000 Mitarbeitende weltweit und erzielte im Geschäftsjahr 2024 einen Konzernumsatz von 2,1 Mrd. Euro. Weitere Informationen zu SICK erhalten Sie im Internet unter www.sick.com.