Verkaufsverbot ab 2027: So verändert der Cyber Resilience Act die Industrie
Ab Ende 2027 dürfen in der EU nur noch Produkte verkauft werden, die den Anforderungen des Cyber Resilience Act entsprechen. Was das für Hersteller bedeutet, erklärt Proekspert-CEO Marco Spielmann im Interview.
Cybersicherheit wird ab 2027 Pflicht: Der Cyber Resilience Act verschärft die Anforderungen an Software und vernetzte Geräte.
Foto: Smarterpix/BiancoBlue
Industrie-Software, WLAN-Router, Apps, Smart-TVS, Babyphones. Was diese Geräte gemeinsam haben? Ab Ende 2027 muss alles, was Software oder Internetzugang hat, bestimmte Sicherheitsstandards erfüllen. Wenn ein technisches Produkt in Zukunft nicht mehr CRA-konform ist, darf es laut EU nicht mehr verkauft werden.
Bisher lag viel Verantwortung bei den Nutzerinnen und Nutzern, ganz nach dem Motto „Mach Updates, pass auf!“ Jetzt gilt: Produkte müssen von Anfang an sicher entwickelt werden, also secure by design sein. Die Verantwortung verschiebt sich daher klar zu den Herstellern.
Der Cyber Resilience Act (CRA) ist bereits seit 2024 in Europa in Kraft, ab Ende 2027 wird er Pflicht für Unternehmen. Das estnische Software-Unternehmen Proekspert hat sich auf die Implementierung CRA-konformer Software spezialisiert. Welche Herausforderungen damit einhergehen und worauf Unternehmen künftig besonders achten müssen, erklärt CEO Marco Spielmann im Gespräch.
Ingenieur.de: Der Cyber Resilience Act zwingt viele Hersteller zum Umdenken. Ist der Ansatz von Proekspert eher eine kurzfristige Lösung oder ein neues strategisches Modell für den Umgang mit Bestandsprodukten?
Marco Spielmann: Proekspert hat eine langfristig strategische Lösung entwickelt. Wir sehen bei Herstellern oft die Bedenken, dass bestehende Geräte komplett neu entwickelt werden sollten, was aber gar nicht der Fall ist. Auch Produkte, die schon 20 Jahre alt sind, können CRA-konform gemacht werden.
Worin besteht denn Ihr Ansatz genau?
Spielmann: Wir arbeiten in drei Schritten: Zuerst führen wir eine Lückenanalyse durch. Wir schauen uns das Produkt genau an, gehen dann über zu den Softwarekomponenten und schließen dann mit den Prozessen dahinter. Nach dem Audit gehen wir in die technische Umsetzung, damit das Produkt im Anschluss TÜV-zertifiziert werden kann.
Manchmal stellen wir fest, dass viele Hardwarekomponenten geändert werden müssten, um das Produkt CRA-konform zu machen. In dem Fall ist es kosteneffizienter das Produkt durch ein Neues zu ersetzen. Die Realität zeigt aber, dass wir in den meisten CRA-Zertifizierungen, die wir bereits durchgeführt haben, nur mit Software-Änderungen arbeiten mussten. Braucht es keine Hardwareänderung, ist es wesentlich sinnvoller die Software anzupassen, als ein neues Produkt zu entwickeln.
Lesen Sie auch: Bausteine für die CRA-Konformität
Wie verändert der Cyber Resilience Act aus Ihrer Sicht die Rolle von Cybersicherheit im industriellen Wettbewerb in Europa?
Spielmann: Bisher war Cybersicherheit immer auf Software-Ebene wichtig. Dass das jetzt auch nach Gerät geht, ist neu. Es gibt heutzutage ja den Trend, dass Geräte untereinander immer vernetzter werden und auch mit der Cloud vernetzt sind. Dadurch wird es noch wichtiger, Geräte nahezu vollständig abzusichern. Jedes Gerät, welches Hardware und Software hat, muss CRA-zertifiziert sein, auch ohne Verbindung zur Cloud.
Cybersicherheit wird demnach noch wichtiger. Cyberangriffe nehmen zu, werden extremer und verlagern sich auf Geräte außerhalb des Internets. Das heißt, dass auch eine Klimaanlage im Gebäude heutzutage Gefahr läuft.
Estland hat schon früh Erfahrungen mit Cyberangriffen gemacht. Welche Lehren daraus prägen Ihre Arbeit heute konkret?Formularende
Spielmann: Estland ist ein digitales Land, 100% aller Bürgerservices sind vollständig digitalisiert. Das geht natürlich Hand in Hand mit einer hohen Notwendigkeit an Cybersicherheit. Das gesamte Ökosystem des öffentlichen Sektors ist auf einer XRoad gebaut, was eine Schicht des Datenaustausches ist. Es ist wie eine dezentrale, fälschungssichere Datenbank für Regierungen. Selbst wenn es einen Hackerangriff geben würde, wäre nur ein sehr kleiner Teil der Daten kompromittiert, da alles dezentralisiert ist in verschiedenen Datenbanken. Dieses Wissen und eine gewisse Resilienz zu haben ist wichtig für Cybersicherheit, man muss sein Personal dementsprechend schulen und ausbilden.
Wie beeinflusst die geografische Nähe zu Russland Ihre Perspektive auf Bedrohungen und Sicherheitsanforderungen?
Spielmann: Um ehrlich zu sein: Cybersicherheit hat keine Grenzen. Sie kennt keine geografische Nähe oder Landesgrenzen. Jedes Unternehmen oder jede Institution in Deutschland laufen genauso Gefahr gehackt zu werden wie ein Unternehmen in Estland. Die Nähe ist daher nicht wichtig. Angriffe auf deutsche Unternehmen nehmen jährlich zu, weshalb es sehr wichtig wird für jede Einrichtung in Europa über die eigene Cybersicherheit nachzudenken. Ein Unternehmen in Deutschland ist genauso hackbar wie ein Unternehmen in Estland. Militärisch ist Estland kritisch für Russland aufgrund der geografischen Nähe, aber industriell geht es bei Cyberangriffen hauptsächlich um KMUs, unabhängig von dem Ort.
Lesen Sie auch: Deutsche Industrie unterschätzt Gefahren durch Sicherheitslücken
Hat sich die Bedrohungslage für industrielle Systeme in Europa seit dem Ukraine-Krieg spürbar verändert?
Spielmann: Der Ukrainekrieg ist einer von vielen geopolitischen Situationen, die vielleicht die Cybersicherheit beeinflussen. Es gibt aber auch eine Bandbreite an weiteren Faktoren, die eine Rolle spielen. Dazu gehören Beziehungen der USA mit China, die politische Situation in den USA, der Irankrieg. Dieses gesamte Ökosystem führt einem nur noch mehr vor Augen, wie wichtig Cybersicherheit ist und zunehmend wird. Ein Hersteller muss daher immer zuerst sichergehen, dass sein Gerät nicht von außerhalb kontrolliert werden kann.
Lesen Sie auch: Russische Hacker nehmen Logistik- und Tech-Unternehmen ins Visier
Wird Cybersicherheit in Zukunft in der Industrie eher ein Kostenfaktor bleiben oder ist es etwas, womit Unternehmen sich von anderen Herstellern abheben können?
Spielmann: Cybersicherheit ist heutzutage wichtiger denn je. Wir vergessen wie viele Cyberangriffe es tatsächlich täglich gibt. In Deutschland gibt es beispielsweise sowohl privat als auch öffentlich viele Angriffe. Die Angriffshäufigkeit wird sich in den kommenden Jahren voraussichtlich noch fortsetzen.
Es ist daher eine strategische Entscheidung, safe by default / by design zu sein und sicherzugehen, dass jedes Gerät, welches man herstellt, viele Jahre im Umlauf sein kann (die nächsten 20 bis 30 Jahre). Mit der verpflichtenden Einführung des CRA ist es daher wichtig, dass das Gerät während des gesamten Lebenszyklus sicher bleibt und regelmäßig Updates wahrnehmen kann. Wenn neue Regulatorien in Kraft treten muss sichergestellt werden, dass neue Sicherheitsmaßnahmen umgehend implementiert werden können. Das ist ein starker Vorteil gegenüber Konkurrenten.
Ein Beitrag von:
