Der Cyber Resilience Act ist in Kraft getreten und verlangt von Herstellern, Integratoren und Betreibern digitaler Produkte umfangreiche Cyber-Sicherheitsmaßnahmen über den gesamten Lebenszyklus hinweg. Zentral für deren Umsetzung bei der Vernetzung von IoT-Geräten ist eine Public Key Infrastruktur (PKI) sowie ein Secure Development Lifecycle für alle Produkte mit digitalen Elementen. kein Grund zum Verzweifeln - mit dem richtigen Partner.
Der Cyber Resiliance Act und die Anforderungen legt der Norm IEC 62443 fest, die wichtigste Sicherheitsnorm der Automatisierungsindustrie, haben direkte Auswirkungen auf die Steuerungen von Industrie-Anlagen, aber auch auf die von Gewerken in Rechenzentren.
Cyber-Sicherheit ist ein heißes Thema: 2023 wurden die Cyber-Sicherheitsvorschriften der EU durch die NIS2-Richtlinie aktualisiert, am 24. Juli ist das EU-Gesetz über Cyber-Resilienz, der Cyber Resilience Act (CRA), vom Europäischen Parlament verabschiedet worden. Nach der Verabschiedung durch den Europäischen Rat – eine reine Formsache – haben Hersteller 36 Monate Zeit, die Vorgaben umzusetzen.
Er gilt für Produkte, Software und Hardware, mit digitalen Elementen und damit ist auch die Industrie angesichts von vernetzter Fertigung im Industrial Internet of Things (IIOT) voll im Fokus: Geräte, Maschinen und Komponenten in der Produktion sammeln und erzeugen Daten mit Sensoren und Aktoren und tauschen sie aus, industrielle Steuerungssysteme (Industrial Control Systems) arbeiten damit.
Sicherheitskritische Produkte mit digitalen Elementen werden im Anhang III des CRA sogar als kritische Hard- und Softwareprodukte gelistet: Dazu zählen unter anderem Firewalls, Angriffserkennungs- und -präventionssysteme, Router, Modems und Switches - auch im industriellen Kontext.
Security Consulting und Engineering
Um die Anforderungen des CRA und der IEC umzusetzen, sollten Unternehmen mit einem Partner zusammenarbeiten, der sie auf dem Weg zur CRA Compliance und IEC 62443 Produktzertifizierung vertrauensvoll und zuverlässig berät. Dieser Partner kann Unternehmen bei der Systemplanung über die Bereitstellung bis zum sicheren Betrieb unterstützen und ebenfalls als Systemintegrator den Aufbau neuer oder der Migration bestehender PKI-Systeme begleiten.
Das Systemhaus Achelos übernimmt zum Beispiel die Planung, Implementierung und den Betrieb einer PKI: Nach der Risiko-Abschätzung wird definiert, welche Prozesse aufgesetzt werden müssen, und ein Betriebskonzept erstellt.
Die PKI-Sicherheit wird konzeptioniert, bestimmt, welche Komponenten und welche Sicherheitsebenen notwendig sind und die geeignete Software ausgewählt. Audits werden integriert, Notfallpläne erstellt. Mit seiner Security Engineering Leistung deckt Achelos außerdem den Secure Development Lifecycle ab und unterstützt über den gesamten Entwicklungsprozess von Produkten.
Der Anforderungskatalog
Für all diese Produkte legt der CRA einen umfangreichen Anforderungskatalog fest. Sie benötigen:
einen sicheren Produkt- und Entwicklungslebenszyklus (Security by Design), der Cyber-Sicherheit im gesamten Lebenszyklus berücksichtigt.
ein kontinuierliches Schwachstellen-Management: Cyber-Sicherheitsrisiken müssen dokumentiert werden und die Hersteller aktiv ausgenutzte Schwachstellen und Zwischenfälle melden.
ein sicheres Software-Update-Management: Die Hersteller müssen nach dem Verkauf weiterhin sicherstellen, dass für die Dauer des Support-Zeitraums Schwachstellen ihrer Produkte wirksam behandelt werden. Außerdem sind Sicherheitsaktualisierungen und Patches für die voraussichtliche Nutzungsdauer des Produkts vorgeschrieben.
eine sicherheitsbezogene Dokumentation mit klaren und verständlichen Anweisungen.
Vorgaben zur Konformitätsbewertung beziehungsweise der Produktkonformität und der Risikobewertung.
Cyber-Sicherheitsanforderungen und kritische Produkte
Die konkreten Cyber-Sicherheitsanforderungen stehen in Anhang I des CRA: Produkte mit digitalen Elementen benötigen auf Grundlage ihrer Risikobewertung geeignete Kontrollmechanismen, die Schutz vor unbefugtem Zugriff bieten. Genannt werden hier Authentifizierungs-, Identitäts- oder Zugangsverwaltungssysteme. Sie müssen die Integrität gespeicherter, übermittelter oder anderweitig verarbeiteter Daten, ob personenbezogener oder sonstiger Daten, Befehle, Programme und Konfigurationen vor einer Manipulation schützen.
Ihre Beschädigung muss gemeldet werden. Außerdem muss sichergestellt werden, dass Schwachstellen durch (automatische) Sicherheitsaktualisierungen behoben werden können.
Die normativen Anforderungen legt die IEC 62443 fest, die wichtigste Sicherheitsnorm der Automatisierungsindustrie. Diese Sicherheitsanforderungen des CRA zu erfüllen und die IEC 62443 umzusetzen, ist keine einfache Aufgabe - weder für Hersteller noch für Integratoren und Betreiber: Nicht nur, dass die speziellen Anforderungen an die Vernetzung mit Routern und smarten Geräten oft nicht im Fokus liegen.
Viele Unternehmen sind per se keine IT-Sicherheitsspezialisten und verfügen nur über limitierte IT-Sicherheitskapazitäten in einem allgemeinen Sicherheitsumfeld wie IT Security Management Systems (EN ISO 270001). Zudem sind Verantwortlichkeiten oft nicht klar definiert und es fehlt die Expertise.
Public-Key-Infrastruktur (PKI)
Mit elektronischen Zertifikaten können die wichtigsten Sicherheitsanforderungen des CRA realisiert werden: Sie werden über eine Public Key Infrastruktur (PKI) bereitgestellt.
Eine PKI gilt als das sicherste Verfahren für die Vernetzung von IoT-Geräten und industriellen Steuerungssystemen. Sie ist eine asymmetrische Kryptographietechnologie, die mit öffentlichen und privaten Schlüsseln einen vertraulichen Datenaustausch ermöglicht. Die Daten werden dafür signiert und verschlüsselt. Digitale Zertifikate erzeugen einen Zertifizierungspfad und stellen die Authentizität der Schlüssel sicher.
Über die Zertifikate der PKI greifen vier Schutzmechanismen: Die initiale Geräte-Identität in der Produktion beim Hersteller wird durch eine zertifikatsbasierte Authentifizierung im Netzwerk sichergestellt – ein Geburtszertifikat identifiziert und authentifiziert das jeweilige Gerät, so dass ein sicherer Kommunikationskanal ins Internet aufgebaut werden kann.
Die Zertifikate
Elektronische Zertifikate sichern auch das Update-Management ab: Die PKI prüft darüber die Authentizität der Software, so dass keine Malware eingeschleust oder unerlaubte Änderungen vorgenommen werden können.
Die Firmware-Updates durch den Hersteller sind signiert. Über Zertifikate kann ebenfalls die Autorisierung von Updates von Drittanbietern gesteuert werden.
Dritter Anwendungsfall ist der sichere Gerätestart, das Secure Boot. Hierbei wird gewährleistet, dass die Firmware der Geräte vor jedem Start authentifiziert ist und sie über einen sicheren Integritätscode verfügen. Eine PKI ermöglicht auch die sichere Inbetriebnahme eines Geräts bei seinem Betreiber – nach einer Authentisierung wird eine lokale Geräte-Identität generiert.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Secure Development Lifecycle
Die CRA konforme Entwicklung von Steuergeräten und Systemen unter Berücksichtigung industrieller Sicherheitsstandards gemäß IEC 62443 gelingt mit einem Secure Development Lifecycle (SDL) Ansatz. Eine Bestandsaufnahme des Produkts mit Gap-Analyse zu CRA-Anforderungen macht hier den Anfang.
Dem schließt sich im Rahmen von Security Requirements Engineering / TARA eine Bedrohungs- und Schwachstellenanalyse und Risikobewertung an, um Sicherheitsanforderungen spezifizieren zu können. Danach werden im Security Architecture Engineering Prozess Sicherheitskonzeption und -architektur entwickelt.
Auch die Update- und Boot-Prozesse der ICS-Komponenten müssen sicher sein – hier greift das Embedded Security Engineering, bei dem kryptographische Funktionen implementiert werden. Unternehmen benötigen nun leistungsfähige Testwerkzeuge, um ihre ICS- Produkte herstellerunabhängig auf Sicherheit und Konformität mit der IEC 62443 und individuellen Sicherheitsanforderungen zu testen – unter anderem in Form von Robustheitstests, Code-Analysen oder Penetrationstests. Danach sind Produkt-Evaluierungen nach IEC 62443 sinnvoll.
*Der Autor Michael Jahnich ist Director Business Development bei der Achelos GmbH. Sein Fazit lautet: Unternehmen müssen bei der Entwicklung ihrer Steuerungen den CRA berücksichtigen, einen sicheren Produktlebenszyklus, Konformität und Schwachstellen-Management gewährleisten und dabei die Industrienorm IEC 62443 umsetzen. Eine PKI mit Signatur-Services für Firm- und Software beziehungsweise elektronischen Zertifikaten gewährleistet die Datensicherheit in der Kommunikation der Infrastruktur und ein Secure Development Lifecycle (SDL) Ansatz die CRA konforme Entwicklung von Steuergeräten und Systemen. All diese Anforderungen lassen sich mit einem Security-Partner am besten bewältigen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/b9/2f/b92f69a8714905c2feecc8081fdce668/0124940765v2.jpeg "Da der CRA Teil der CE-Kennzeichnung wird, müssen alle betroffenen Produkte die neuen Anforderungen erfüllen, bevor sie auf den EU-Markt gelangen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/28/26/2826b8c9be56c061830ca3096bf73405/0127688180v1.jpeg "Der Cyber Resilience Act verpflichtet Hersteller, Sicherheits- und Entwicklungsprozesse zu prüfen und zu dokumentieren. Frühzeitige Vorbereitung reduziert spätere Compliance-Kosten. (Bild: © Maxim - stock.adobe.com)")