28 Okt. Umfrage: Aufholbedarf bei Cybersecurity-Standards
Laut einer Industrieumfrage des Düsseldorfer Cybersicherheitsunternehmens Onekey haben bereits 38 % der Unternehmen in Deutschland erste Schritte zur Erfüllung der EU-Verordnung Cyber Resilience Act (CRA) eingeleitet, weitere 14 % sogar schon umfangreiche Maßnahmen auf den Weg gebracht.
Die im Jahr 2024 verabschiedete EU-Verordnung zur Stärkung der Cybersicherheit in Europa tritt stufenweise in Kraft und verlangt von der Wirtschaft ab 2026 beziehungsweise 2027 umfangreiche Maßnahmen zur Abwehr von Hackerangriffen. Der Schwerpunkt liegt dabei über die zentralen Computer- und Netzwerksysteme der Unternehmen hinausgehend auf Geräten, Maschinen und Anlagen, die keine Computer im eigentlichen Sinne sind, aber über digitale Komponenten und einen Internetzugang verfügen. „Das schließt den gesamten Themenkomplex Industrie 4.0 und die komplette IoT-Branche ein“, umreißt Jan Wendenburg, CEO von Onekey, die Dimension der neuen EU-Cybersicherheitsvorschriften für die Wirtschaft.
Für den Report waren laut Onekey 300 Unternehmen nach ihrem aktuellen Stand und ihrer Strategie bei Operational Technology (OT), beispielsweise industriellen Steuerungssystemen, und Internet of Things (IoT) befragt worden. Die Umfrage zeigt trotz der bereits eingeleiteten Maßnahmen, dass ein Großteil der deutschen Industrie bei der Erfüllung der mit dem CRA verbundenen Standards noch Luft nach oben hat.
Bild: Onekey
Grundlegende Anforderungen
So berücksichtigen laut Umfrage lediglich 27 % der befragten Firmen die Norm IEC 62443-4-2, die technische Sicherheitsanforderungen für Komponenten industrieller Automatisierungs- und Steuerungssysteme (IACS) definiert. Der Standard bietet etablierte Verfahren zur Erfüllung von technischen Cybersicherheitsanforderungen und hilft so, eine zukünftige CRA-Compliance zu erreichen.
Spezifiziert werden Anforderungen für die Cybersicherheit von Komponenten wie Embedded Systems, Netzwerkkomponenten, Host-Geräte und Softwareanwendungen, basierend auf sieben grundlegenden Anforderungen: Identifikation und Authentifizierung, Nutzungskontrolle, Systemintegrität, Datenvertraulichkeit, eingeschränkter Datenfluss, zeitnahe Reaktion auf Ereignisse und Ressourcenverfügbarkeit. Diese werden in vier Sicherheitsstufen (Security Levels, SL 0-4) eingeteilt, die den Schutzgrad gegen verschiedene Angreiferklassen angeben, von unbeabsichtigtem Missbrauch (SL 1) bis zu intensiven Angriffen (SL 4). Ziel ist es, die Sicherheitsfähigkeiten von Komponenten (SL-C) so festzulegen, dass diese in der Lage sind Attacken ohne zusätzliche Gegenmaßnahmen abzuwehren.
Zusätzliche Anforderungen für IoT-Geräte
Ein zweiter für die CRA-Compliance wesentlicher Standard – ETSI EN 303 645 – findet laut Onekey-Report bei der Produktentwicklung ebenfalls zu wenig Beachtung. Nur ein Viertel der befragten Unternehmen berücksichtigen diese Norm, die Cybersicherheitsanforderungen für vernetzte Verbrauchergeräte festlegt, um grundlegenden Schutz vor Cyberangriffen zu gewährleisten.
Die Norm umfasst 13 Kernanforderungen, darunter sichere Standardkonfigurationen, Schutz personenbezogener Daten, Software-Updates und sichere Kommunikation. Sie ist eng mit dem EU Cyber Resilience Act verbunden, da sie als harmonisierte Norm dient, um CRA-Anforderungen für IoT-Geräte zu erfüllen, insbesondere für die sichere Entwicklung, das Schwachstellenmanagement und die Transparenz. Hersteller können durch Konformität mit ETSI EN 303 645 eine wesentliche Voraussetzung und Basis für die zukünftige CRA-Compliance schaffen, um damit auch die notwendige CE-Kennzeichnung für den EU-Markt zu erhalten.
Norm für funkvernetzte Systeme
Nachholbedarf soll die Industrie laut Onekey-Report auch beim Standard RED (EN18031) haben. Diese Funkanlagenrichtlinie findet aktuell nur bei 16 % der befragten Unternehmen Beachtung, ist jedoch von zentraler Bedeutung für vernetzte Geräte, Anlagen und Maschinen, da immer mehr industrielle Maschinen, Sensoren, Aktoren und andere Digitalprodukte über Funk vernetzt werden. Die Richtlinie soll sicherstellen, dass diese Geräte eine elektromagnetische Verträglichkeit gewährleisten, um Störungen im Funkverkehr zu vermeiden. Sie fordert von den Herstellern, dass ihre Produkte, sowie sie Funktechnologien nutzen, den wesentlichen Anforderungen entsprechen, bevor sie auf den europäischen Markt gebracht werden. Die Erfüllung der Anforderungen des RED-Standards ist ebenfalls ein wichtiger Baustein für die zukünftige Compliance mit dem CRA.
Bild: Onekey
Praktische Unterstützung
Wendenburg kommentiert: „Die EU hat mit dem Cyber Resilience Act ein sehr umfangreiches Regelwerk geschaffen, von technischen Normen bis hin zu Meldepflichten. Dem entsprechend hoch sind die Herausforderungen für die Industrie, den CRA vollumfänglich umzusetzen. Genau dies ist jedoch bald die Voraussetzung, um vernetzte Geräte, Systeme und Anlagen in der EU zu verkaufen, in Verkehr zu bringen oder zu betreiben.“
Onekey unterstützt Unternehmen nach eigenen Angaben mit praxisnahen Assessment-Workshops (RED-Readiness und CRA-Readiness). In einführenden Sessions erfahren Teilnehmende, welche konkreten Auswirkungen RED und CRA auf ihren Betrieb haben und erhalten darauf basierend einen individuellen Bewertungsplan. Im Rahmen einer detaillierten Prozessüberprüfung werden laut Onekey zentrale Bereiche wie Softwareentwicklung und Schwachstellenmanagement analysiert. Darüber hinaus soll eine GAP-Analyse bestehende Compliance-Lücken aufdecken und Möglichkeiten zu deren Behebung aufzeigen. Eine maßgeschneiderte Roadmap für Unternehmen soll am Ende aufzeigt, wie sich die Anforderungen aus RED und CRA strukturiert und effizient umsetzen lassen.
Die Ergebnisse der Umfrage im ‚IoT & OT Cybersecurity Report 2025‘ stehen kostenfrei auf der Webseite von Onekey zur Verfügung: https://www.onekey.com/de/resource/iot-ot-cybersecurity-report-2025.
Quelle und Bild: www.onekey.com