Dem Cyber Resilience Act und der IEC62443 begegnen

29. November 2024

Der Cyber Resilience Act verlangt von Herstellern, Integratoren und Betreibern digitaler Produkte umfangreiche Cybersicherheitsmaßnahmen über den gesamten Lebenszyklus hinweg. Bei deren Umsetzung und bei der Vernetzung von IoT-Geräten hilft eine Public Key-Infrastruktur (PKI) sowie ein Secure Development Lifecycle für alle Produkte mit digitalen Elementen.

Smart industry robot arm digital factory production technology showing automation manufacturing process of the Industry. The concept of production by robots. Generative AI — Bild: ©AKA-RA /stock.adobe.com

2023 wurden die Cybersicherheitsvorschriften der EU durch die NIS2-Richtlinie aktualisiert, und auch das EU-Gesetz über Cyberresilienz, der Cyber Resilience Act (CRA), wurde vom Europäischen Parlament verabschiedet. Nach der Verabschiedung durch den Europäischen Rat – eine reine Formsache – haben Hersteller 36 Monate Zeit, die Vorgaben umzusetzen. Er gilt für Produkte, Software und Hardware, mit digitalen Elementen und damit ist auch die Industrie angesichts von vernetzter Fertigung im Industrial Internet of Things (IIoT) voll im Fokus: Geräte, Maschinen und Komponenten in der Produktion sammeln und erzeugen Daten mit Sensoren und Aktoren und tauschen sie aus, industrielle Steuerungssysteme (Industrial Control Systems, ICS) arbeiten damit. Sicherheitskritische Produkte mit digitalen Elementen werden im Anhang III des CRA sogar als kritische Hard- und Softwareprodukte gelistet: Dazu zählen u.a. Firewalls, Angriffserkennungs- und -präventionssysteme, Router, Modems und Switches, auch im industriellen Kontext.

Für all diese Produkte legt der CRA einen umfangreichen Anforderungskatalog fest. Demnach benötigen sie:

einen sicheren Produkt- und Entwicklungslebenszyklus (Security by Design), der Cybersicherheit im gesamten Lebenszyklus berücksichtigt.
ein kontinuierliches Schwachstellen-Management: Cybersicherheitsrisiken müssen dokumentiert werden und die Hersteller aktiv ausgenutzte Schwachstellen und Zwischenfälle melden.
ein sicheres Software-Update-Management: Die Hersteller müssen nach dem Verkauf weiterhin sicherstellen, dass für die Dauer des Supportzeitraums Schwachstellen ihrer Produkte wirksam behandelt werden. Außerdem sind Sicherheitsaktualisierungen und Patches für die voraussichtliche Nutzungsdauer des Produkts vorgeschrieben.
eine sicherheitsbezogene Dokumentation mit klaren und verständlichen Anweisungen.
Vorgaben zur Konformitätsbewertung bzw. der Produktkonformität und der Risikobewertung.

Die Anforderungen

Die konkreten Cybersicherheitsanforderungen stehen in Anhang I des CRA: Produkte mit digitalen Elementen benötigen auf Grundlage ihrer Risikobewertung geeignete Kontrollmechanismen, die Schutz vor unbefugtem Zugriff bieten. Genannt werden hier Authentifizierungs-, Identitäts- oder Zugangsverwaltungssysteme. Sie müssen die Integrität gespeicherter, übermittelter oder anderweitig verarbeiteter Daten, ob personenbezogener oder sonstiger Daten, Befehle, Programme und Konfigurationen vor einer Manipulation schützen. Ihre Beschädigung muss gemeldet werden. Außerdem muss sichergestellt werden, dass Schwachstellen durch (automatische) Sicherheitsaktualisierungen behoben werden können. Die normativen Anforderungen legt die IEC62443 fest, die wichtigste Sicherheitsnorm der Automatisierungsindustrie.

Die Sicherheitsanforderungen des CRA zu erfüllen und die IEC62443 umzusetzen, ist weder für Hersteller noch für Integratoren und Betreiber eine einfache Aufgabe. Nicht nur, dass die speziellen Anforderungen an die Vernetzung mit Routern und smarten Geräten oft nicht im Fokus liegen. Viele Unternehmen sind per se keine IT-Sicherheitsspezialisten und verfügen nur über limitierte IT-Sicherheitskapazitäten in einem allgemeinen Sicherheitsumfeld wie IT Security Management Systems (EN/ISO270001). Zudem sind Verantwortlichkeiten oft nicht klar definiert.

Public-Key-Infrastruktur

Mit elektronischen Zertifikaten können die wichtigsten Sicherheitsanforderungen des CRA realisiert werden: Sie werden über eine Public Key Infrastruktur (PKI) bereitgestellt. Eine PKI gilt bis dato als das sicherste Verfahren für die Vernetzung von IoT-Geräten und industriellen Steuerungssystemen. Sie ist eine asymmetrische Kryptographietechnologie, die mit öffentlichen und privaten Schlüsseln einen vertraulichen Datenaustausch ermöglicht. Die Daten werden dafür signiert und verschlüsselt. Digitale Zertifikate erzeugen einen Zertifizierungspfad und stellen die Authentizität der Schlüssel sicher.

Über die Zertifikate der PKI greifen vier Schutzmechanismen: Die initiale Geräteidentität in der Produktion beim Hersteller wird durch eine zertifikatsbasierte Authentifizierung im Netzwerk sichergestellt – ein Geburtszertifikat identifiziert und authentifiziert das jeweilige Gerät, so dass ein sicherer Kommunikationskanal ins Internet aufgebaut werden kann. Elektronische Zertifikate sichern auch das Update Management ab: Die PKI prüft darüber die Authentizität der Software, so dass keine Malware eingeschleust oder unerlaubte Änderungen vorgenommen werden können. Die Firmware-Updates durch den Hersteller sind signiert. Auch kann über Zertifikate die Autorisierung von Updates von Drittanbietern gesteuert werden. Dritter Anwendungsfall ist der sichere Gerätestart, das Secure Boot. Hierbei wird gewährleistet, dass die Firmware der Geräte vor jedem Start authentifiziert ist und sie über einen sicheren Integritätscode verfügen. Eine PKI sichert auch die Inbetriebnahme eines Geräts bei seinem Betreiber ab – nach einer Authentisierung wird eine lokale Geräteidentität generiert.

Secure Development Lifecycle

Bei der CRA-konformen Entwicklung von Steuergeräten und Systemen unter Berücksichtigung industrieller Sicherheitsstandards gemäß IEC62443 hilft ein Secure-Development-Lifecycle-Ansatz (SDL). Eine Bestandsaufnahme des Produkts mit Gap-Analyse zu CRA-Anforderungen macht hier den Anfang. Dem schließt sich im Rahmen von Security Requirements Engineering/TARA eine Bedrohungs- und Schwachstellenanalyse und Risikobewertung an, um Sicherheitsanforderungen spezifizieren zu können. Danach werden im Security Architecture Engineering Prozess Sicherheitskonzeption und -architektur entwickelt. Auch die Update- und Boot-Prozesse der ICS-Komponenten müssen sicher sein – hier greift das Embedded Security Engineering, bei dem kryptographische Funktionen implementiert werden. Unternehmen benötigen nun leistungsfähige Testwerkzeuge, um ihre ICS- Produkte herstellerunabhängig auf Sicherheit und Konformität mit der IEC62443 und individuellen Sicherheitsanforderungen zu testen – u.a. in Form von Robustheitstests, Code-Analysen oder Penetrationstests. Danach sind zudem Produkt-Evaluierungen nach IEC62443 sinnvoll.

Hilfe bei der Umsetzung

Bei der Umsetzung der Anforderungen des CRA und der IEC können externe Partner helfen. Unternehmen erhalten so Unterstützung bei der Systemplanung, der Bereitstellung und beim Betrieb. Das Systemhaus Achelos begleitet Unternehmen etwa beim Aufbau bzw. der Migration von PKI-Systemen. Nach der Risikoabschätzung wird definiert, welche Prozesse aufgesetzt werden müssen, und ein Betriebskonzept erstellt. Die Sicherheit der PKI wird konzeptioniert, bestimmt, welche Komponenten und welche Sicherheitsebenen notwendig sind und die geeignete Software ausgewählt. Audits werden integriert und Notfallpläne erstellt. Auch der Secure Development Lifecycle wird abgedeckt und der Entwicklungsprozess von Produkten unterstützt.

Für die Zukunft gerüstet

Industrieunternehmen müssen bei der Entwicklung ihrer Steuerungen den CRA berücksichtigen, einen sicheren Produktlebenszyklus, Konformität und Schwachstellenmanagement gewährleisten und dabei die Industrienorm IEC62443 umsetzen. Eine PKI mit Signatur-Services für Firm- und Software bzw. elektronischen Zertifikaten ermöglicht Datensicherheit in der Kommunikation der Infrastruktur und ein Secure-Development-Lifecycle-Ansatz die CRA konforme Entwicklung von Steuergeräten und Systemen.

Thematik: Hardware und Infrastruktur

Achelos GmbH

Zur Firmenwebsite

News

Bild: ©metamorworks/stock.adobe.com

Cybersicherheit

All for One Group beteiligt sich an BrightFlare

Die All for One Group, ein IT-, Consulting- und Service-Provider aus Filderstadt, beteiligt sich an dem österreichischen Cybersecurity-Spezialisten BrightFlare.

Weiterlesen: All for One Group beteiligt sich an BrightFlare
Bild: Heitec AG/ A+K

Intralogistik-Portfolio erweitert

Heitec übernimmt Artschwager + Kohl

Artschwager + Kohl Software ist seit Januar 2026 Teil der Heitec-Gruppe.

Weiterlesen: Heitec übernimmt Artschwager + Kohl
Bild: ©enzozo/stock.adobe.com

Google-Report zur Münchner Sicherheitskonferenz

Wenn KI-Modelle zum Angriffsziel werden

Zur Münchner Sicherheitskonferenz (13. bis 15. Februar) hat die Google Threat Intelligence Group (GTIG) einen Bericht veröffentlicht, mit dem die Verfasser die Debatte um KI-gestützte Bedrohungen auf eine operative Ebene ziehen.

Weiterlesen: Wenn KI-Modelle zum Angriffsziel werden
Bild: Hiscox Europe Underwriting Limited

Hiscox-Umfrage von Statista:

Mehr IT-Dienstleister erleben Vorwürfe wegen Schlechtleistung

Gegen zwei Drittel der IT-Dienstleister wurden im vergangenen Jahr seitens ihrer Auftraggeber Vorwürfe wegen angeblicher Schlechtleistung erhoben.

Weiterlesen: Mehr IT-Dienstleister erleben Vorwürfe wegen Schlechtleistung
Bild: ForeScout Technologies, Inc.

Dirk Decker übernimmt

Forescout ernennt Regional Director für Zentraleuropa

Forescout Technologies, ein Spezialist für Cybersicherheit, hat die Ernennung von Dirk Decker (Bild) zum Regional Director für Zentraleuropa bekanntgegeben.

Weiterlesen: Forescout ernennt Regional Director für Zentraleuropa
Bild: ©Kamran-Studio/stock.adobe.com

IBM X-Force Threat Index

KI hilft Angreifern, Schwachstellen schneller auszunutzen

In einem aktuellen Bericht weist IBM darauf hin, dass Cyberkriminelle grundlegende Sicherheitslücken in dramatisch höherem Maße ausnutzen.

Weiterlesen: KI hilft Angreifern, Schwachstellen schneller auszunutzen
Bild: Dragons, Inc.

Operative Störungen statt passive Erkundung

Wie Angreifer industrielle Steuerungssysteme ins Visier nehmen

Dragos, Cybersicherheitsspezialist für OT-Umgebungen, analysiert in einem Bericht aktuelle Cyberbedrohungen für industrielle und kritische Infrastrukturen.

Weiterlesen: Wie Angreifer industrielle Steuerungssysteme ins Visier nehmen
Bild: Neura Robotics

Gemeinsames Projekt der TU München und Neura Robotics

Ein Lernzentrum für Roboter entsteht

Das Munich Institute of Robotics and Machine Intelligence (MIRMI) der Technischen Universität München (TUM) und das Unternehmen Neura Robotics planen ein Forschungs- und Trainingszentrum für Robotik im wissenschaftlichen Bereich.

Weiterlesen: Ein Lernzentrum für Roboter entsteht
Bild: ©Nassorn/stock.adobe.com

Neues Gremium

Deutsche Gesellschaft für Robotik gegründet

Mit der Deutschen Gesellschaft für Robotik e.V. hat sich im März 2026 eine neue gemeinnützige Fachgesellschaft gegründet, die die Förderung von Wissenschaft, Forschung und Bildung im Bereich der Robotik zum Ziel hat.

Weiterlesen: Deutsche Gesellschaft für Robotik gegründet
Bild: ©greenbutterfly/stock.adobe.com

Was ist eigentlich was?

Ein kurzer Blick auf CRA, EU-Maschinenverordnung und NIS-2

Gezielte Cyberangriffe auf Anlagen und Maschinen sind längst Realität. Mit CRA, NIS2 und der neuen EU-Maschinenverordnung reagiert der Gesetzgeber nicht nur mit klaren Empfehlungen, sondern auch mit konkreten Meldepflichten, Vorgaben und Sanktionen. NTT Data fasst zusammen, was hinter den drei Vorgaben steckt und welche Auswirkungen sie haben.

Weiterlesen: Ein kurzer Blick auf CRA, EU-Maschinenverordnung und NIS-2

Reihe Wissen Kompakt

ERP

Ein Unternehmen, das sich mit der Auswahl eines ERP- Systems befasst, muss sich gleichsam mit einem viel- schichtigen Software-Markt und unklaren Interessen- lagen an interne Abwick- lungsprozesse auseinander- setzen. Guter Rat bei der Investitionsentscheidung ist teuer. ERP Wissen Kompakt unterstützt Sie bei der gezielten Investition in die IT-Infrastruktur.
KI Künstliche Intelligenz

Immer mehr Anbieter von Maschinen, Automatisierungstechnik und Industriesoftware integrieren künstliche Intelligenz in ihre Produkte. Das ganze Potenzial spielen selbstlernende Systeme aber erst aus, wenn sie passgenau auf ihren Einsatz in Fertigung und Büro zugeschnitten wurden. Über beide Möglichkeiten, als Fertiger die Vorzüge von industrieller KI zu nutzen, geht es im regelmäßig aktualisierten Themenheft Künstliche Intelligenz.
IIoT Industrial Internet of Things

Das Internet of Things verändert Produktwelten und die Vernetzung in der Fertigung gleichermaßen. Entstehende Ökosysteme laden zur einer neuen Form der Zusammenarbeit ein. Die Spezialausgabe IoT Wissen Kompakt informiert über die Technologie, Projektierung und Anbieter für die eigene Applikation, in- und außerhalb der Fabrik.
MES Manufacturing Execution Systems

Um alle Potenziale eines MES umfassend ausnutzen zu können, beleuchten unsere Autoren in der Serie von MES Wissen Kompakt die erfolgskritischen Faktoren, um Fertigungsunternehmen präventiv zu steuern. Darüber hinaus präsentiert MES Wissen Kompakt ein breites Spektrum an Firmenportraits, Produkt- neuheiten und Dienst- leistungen im MES-Umfeld.

Partner-Netzwerke

CtrlX-Partner

Hersteller von Automatisierungstechnik fügen eigene und von Partnern beigesteuerte IT- und Automatisierungskomponenten zunehmend zu Ökosystemen zusammen. CtrlX Automation von Bosch Rexroth ist mit über 100 Partnern eines der größten an Markt. Mit dem Portfolio lassen sich Automatisierungssysteme modular zusammenstellen und in die IT-Schicht integrieren.
Microsoft-Partner

Mittelständische Unternehmen investieren selbst in schwierigen Zeiten in Microsoft-Technologien, weil sie überzeugt sind, dass ihre Mitarbeiterproduktivität steigt und sich ihre Kostenstruktur bessert. Microsoft hat mit dem Microsoft-Partner-Network ein Netzwerk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet.
SAP-Partner

Auf der Suche nach Innovation, nach neuen Lösungen und der Abgrenzung zum Mitbewerb vernetzen sich zunehmend mehr Unternehmen mit externen Experten und Partnern. SAP hat mit dem SAP-Ecosystem ein Netzwerk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet.