Ab Dezember 2027 gilt der Cyber Resilience Act (CRA). Dann dürfenProdukte mit digitalen Schnittstellen nur noch in der Europäischen Union (EU) verkauft werden, wenn sie den Anforderungen des CRA entsprechen. Was das für Unternehmen bedeutet.
Die Gefahr, Opfer eines Cyber-Angriffs zu werden, hat sich in den letzten Jahren dramatisch erhöht. Dennoch gehen immer noch viele Unternehmen davon aus, im Ernstfall ausreichend vorbereitet zu sein. Steigende Angriffszahlen und neue gesetzliche Vorgaben zeigen jedoch, wie wichtig und letztendlich existenzsichernd Cyber-Resilienz ist.
„Cyber-Resilienz ist die Fähigkeit, trotz teils erfolgreicher Angriffe handlungsfähig zu bleiben. Für Organisationen ist dies absolut notwendig: Prozesse, Produkte und Produktion stehen im Ernstfall still, das bedeutet großen wirtschaftlichen Schaden. Aber auch die Gesetzgebung macht immer strengere Vorschriften, deren Einhaltung unumgänglich ist“, betont Samira Taaibi. Die Studienleiterin am Fraunhofer IEM ist im Rahmen des Forschungsprojekts CyberResilience.nrw für eine zurzeit noch laufende Online-Befragung verantwortlich, die das Ziel hat, ein umfassendes Bild zu Softwareentwicklung und Softwarebetrieb in puncto Cyber-Resilienz zu gewinnen. Insbesondere interessieren sich die Wissenschaftlerinnen und Wissenschaftler für Umsetzung, bestehende Herausforderungen und Unterstützungsbedarfe – branchenübergreifend und praxisnah. Die Erkenntnisse sollen in eine Cyber-Resilienz-Strategie 2035 einfließen und konkrete Maßnahmen ableiten, um Organisationen in Deutschland zukunftsfest aufzustellen.
Eine bereits im Frühjahr durchgeführte qualitative Interviewstudie des Fraunhofer IEM ergab überraschende Muster im Umgang mit Cyber-Resilienz und deutet auf erheblichen Handlungsbedarf hin: Die 14 Teilnehmenden der Studie stammten aus verschiedenen Branchen, unter anderem IT-Dienstleistungen, Handel, Gesundheitswesen und Sicherheitstechnologien, und arbeiteten in der Softwareentwicklung oder angrenzenden Bereichen wie Systemarchitektur, Security, Produktmanagement und Betrieb.
Nachgefragt
„Cybersicherheit muss ein natürlicher Teil der Produktqualität werden“
Dr. Matthias Meyer ist Bereichsleiter Softwaretechnik und IT-Sicherheit am Fraunhofer IEM.
Herr Dr. Meyer, für welche Produkte gilt die Gesetzgebung?
Ob Hardware oder Software: Der Cyber Resilience Act betrifft nahezu alle Produkte mit digitalen Schnittstellen, die Daten übermitteln können. Entscheidend ist nicht, ob ein Produkt tatsächlich ans Internet oder irgendein anderes Netzwerk angeschlossen ist, sondern ob es technisch dazu in der Lage ist. Damit reicht die Bandbreite von klassischen IT-Produkten über Steuerungssysteme in Maschinen bis hin zu intelligenten Geräten im industriellen Umfeld oder im Haushalt. Für alle gilt: Cybersicherheit wird zu einer verbindlichen Produkteigenschaft, die genauso selbstverständlich nachgewiesen werden muss wie die elektrische Sicherheit und ohne die es keine CE-Kennzeichnung mehr gibt.
Was bedeutet das für die Maschinenbaubranche?
Für den Maschinenbau ist der CRA ein echter Gamechanger. Maschinen und Anlagen enthalten heute eine Vielzahl vernetzter Komponenten – von eingebetteten Systemen über Sensorik bis hin zu Cloud-Diensten – und sie bieten digitale Schnittstellen an. Diese Produkte fallen alle unter die neuen Anforderungen. Hersteller müssen künftig systematisch nachweisen, dass sie Cybersicherheit über den gesamten Produktlebenszyklus hinweg berücksichtigen: also schon beim Design, in der Entwicklung und im laufenden Betrieb. Das bedeutet neue Prozesse, Rollen und Verantwortlichkeiten – etwa für Risikoanalysen, Schwachstellenmanagement und das Bereitstellen von Sicherheitsupdates.
Wir sind aber überzeugt: Wer diese Strukturen frühzeitig aufbaut, wird langfristig profitieren, weil Cybersicherheit dann ein ebenso natürlicher Teil der Produktqualität wird, wie die funktionale Sicherheit (Safety) es schon heute ist.
Neben vielen Pflichten birgt der CRA natürlich auch Chancen. Er stellt zum Beispiel Prozesse auf den Prüfstand: Da wir Engineering-Prozesse zur Berücksichtigung von Cybersecurity neu denken müssen, können Unternehmen die Gelegenheit nutzen, sie nicht nur sicherer, sondern im gleichen Zuge auch effizienter zu gestalten. Und neue Notwendigkeiten schaffen auch Möglichkeiten für neue Geschäftsmodelle – etwa im Bereich Updates: Updatefunktionalität kann ja nicht nur für das Beheben von Sicherheitslücken, sondern auch für das Nachliefern neuer Funktionalität genutzt werden. Außerdem lassen sich Service-Leistungen anbieten, um beim Einspielen der Updates zu unterstützen.
Europa geht mit dem CRA voran, aber andere werden folgen: Stellen wir uns frühzeitig gut auf, haben wir mit cybersicheren Produkten made in Germany Vorteile am Weltmarkt.
Was können Unternehmen bereits jetzt tun?
Unternehmen sollten die Übergangszeit bis Ende 2027 unbedingt nutzen, um ihre Security-Prozesse auf den Prüfstand zu stellen. Drei Schritte sind besonders wichtig: Erstens: Unternehmen sollten sich mit dem CRA vertraut machen. Das gelingt zum Beispiel durch eine Grundlagenschulung und eine Ist-Stands-Analyse in Bezug auf die eigenen Prozesse. Unternehmen können dabei auf bestehende Standards wie die IEC 62443 zurückgreifen – sie bieten schon heute eine gute Orientierung, um die Anforderungen des CRA umzusetzen. Harmonisierte Standards für den CRA sind zwar in Erarbeitung, werden aber erst so spät kommen, dass Unternehmen nicht darauf warten können.
Zweitens: Unternehmen sollten ein sogenanntes Product Security Incident Response Team – kurz PSIRT – aufbauen. Dieses Team kann schnell auf gemeldete Schwachstellen sowohl in den eigenen Produkten als auch in der Software Supply Chain reagieren. Professionelles Schwachstellenmanagement muss in Teilen schon bis zum 11. September 2026 etabliert sein. Bereits im Jahr 2021 haben wir ein solches PSIRT-Team mit Miele aufgestellt. Durch Stakeholder-Interviews gelang es uns, auf bestehenden Unternehmensprozessen aufzubauen und klar definierte Prozess-Schnittstellen zu schaffen.
Der dritte wichtige Schritt sind Bedrohungs- und Risikoanalysen für alle Produkte, die nach dem 11. Dezember 2027 noch verkauft werden sollen, um gezielte Schutzmaßnahmen abzuleiten. Ein zentraler Punkt im CRA sagt: Das Ergreifen von Security-Maßnahmen im Produkt soll angepasst an das ermittelte Risiko erfolgen. Es muss also nicht alles Mögliche getan werden, sondern das Nötige – abhängig vom jeweiligen Risiko. Hier arbeiten wir bereits mit vielen Unternehmen aus OWL und darüber hinaus zusammen, zum Beispiel mit Kraft Maschinenbau oder auch Bosch Rexroth: Das Unternehmen profitierte nicht nur von einer Risikobewertung. Die Mitarbeitenden erlernten auch ein systematisches Vorgehen für künftige Bedrohungsanalysen und steigerten ihr Sicherheitsbewusstsein.
