Diese Seite zeigt, wie die Artefakte eines CRA / SBOM Readiness Sprints aussehen. Alle Daten, Produktnamen und Komponenteninformationen sind fiktiv.
◆ Artefakt 1
Einordnung der Produkte nach CRA-Kategorien und Betroffenheitsanalyse.
IoT-Gateway mit Ethernet, WLAN und Mobilfunk. Verarbeitet Sensordaten und überträgt sie in die Cloud. Fernzugriff über Web-Interface möglich.
CRA Klasse I — Erhöhte AnforderungenBegründung: Netzwerkfähiges Gerät mit Fernzugriff und Datenverarbeitung. Fällt unter Anhang III CRA.
Einfacher Sensorknoten mit Bluetooth-Konnektivität. Überträgt Messwerte an SmartGateway. Kein direkter Internetzugang.
CRA Default — StandardanforderungenBegründung: Eingeschränkte Konnektivität, kein direkter Internetzugang. Standardanforderungen ausreichend.
Embedded Linux-basierte Firmware für SmartGateway Pro. Enthält Web-Interface, API-Server und Update-Mechanismus.
CRA Klasse I — Erhöhte AnforderungenBegründung: Integraler Bestandteil des Klasse-I-Produkts. Gleiche Anforderungen wie Hardware.
Cloud-Backend für Datenaggregation und Remote-Management. SaaS-Komponente, nicht als eigenständiges Produkt vermarktet.
Kein eigenständiges CRA-ProduktBegründung: Dienst, kein Produkt mit digitalen Elementen. Separate Bewertung nach NIS2 empfohlen.
◆ Artefakt 2
Erste strukturierte Software Bill of Materials für SmartGateway Pro v2.1 (Auszug, fiktive Daten).
| Komponente | Version | Lizenz | Typ | Bekannte CVEs | Höchster CVSS | Status |
|---|---|---|---|---|---|---|
| Linux Kernel | 5.15.0 | GPL-2.0 | OS | 3 | 6.5 | Update verfügbar (5.15.120) |
| OpenSSL | 1.1.1t | OpenSSL | Bibliothek | 1 | 7.5 | Update auf 3.x empfohlen |
| BusyBox | 1.35.0 | GPL-2.0 | Utility | 0 | — | Aktuell |
| Mosquitto MQTT | 2.0.15 | EPL-2.0 | Dienst | 0 | — | Aktuell |
| Node.js | 16.20.0 | MIT | Runtime | 5 | 9.8 | EOL — sofortiger Handlungsbedarf |
| Express.js | 4.18.2 | MIT | Framework | 1 | 5.3 | Update auf 4.19.x |
| SQLite | 3.40.1 | Public Domain | Datenbank | 0 | — | Aktuell |
| libcurl | 7.88.0 | MIT | Bibliothek | 2 | 6.1 | Update auf 8.x empfohlen |
| zlib | 1.2.13 | zlib | Bibliothek | 0 | — | Aktuell |
| Proprietary Web-UI | 2.1.4 | Proprietär | Eigenentwicklung | — | — | Interne Prüfung ausstehend |
⚠ Kritischer Befund: Node.js 16.x hat EOL-Status (April 2024). Enthält CVEs mit CVSS 9.8. Sofortiger Handlungsbedarf.
◆ Artefakt 3
Entwurf des koordinierten Vulnerability-Handling-Prozesses nach CRA-Anforderungen.
CVE-Feeds, Researcher-Meldungen, interne Tests
CVSS-Score, Produktrelevanz, Ausnutzbarkeit
Patch, Workaround oder Risikoacceptanz
ENISA/BSI (schwerwiegend), Kunden-Advisory
OTA-Update, Patch-Release, Dokumentation
Aktiv ausgenutzte Schwachstellen (CVSS ≥ 9.0): Meldung an ENISA innerhalb von 24 Stunden
Schwerwiegende Schwachstellen (CVSS ≥ 7.0): Folgemeldung mit Bewertung und Maßnahmen
Abschlussbericht mit vollständiger Beschreibung, Ursache, Maßnahmen und Update-Status
◆ Artefakt 4
Übersicht fehlender oder unvollständiger technischer Dokumentation nach CRA-Anforderungen.
Keine vollständige technische Dokumentation nach CRA Anhang V vorhanden. Beschreibung, Risikoanalyse und Konformitätserklärung fehlen.
Keine öffentliche Vulnerability Disclosure Policy (VDP). Kein dedizierter Kontaktweg für Sicherheitsforscher.
Interne Komponentenliste vorhanden, aber nicht im SPDX- oder CycloneDX-Format. Keine maschinenlesbare SBOM.
OTA-Update-Funktion implementiert, aber kein dokumentierter Update-Prozess, keine Signaturprüfung dokumentiert.
Interne Sicherheitsanforderungen für die Entwicklung vorhanden. Secure-Coding-Guidelines dokumentiert.
Keine EU-Konformitätserklärung nach CRA Artikel 28 vorhanden. Muss vor Inverkehrbringen erstellt werden.
◆ Nächster Schritt
Diese Artefakte zeigen, was nach einem Sprint vorliegt. Für Ihren konkreten Fall: 20-minütiger Statuscheck — kostenlos und unverbindlich.
CRA-Statuscheck anfragen