Cyber-Check für die Industrie: Zwingt der CRA zum Umdenken?

Welche Kosten und Aufwand erwarten Sie für die Umsetzung des CRA? Wird das die Wettbewerbsfähigkeit beeinflussen?

Simon Göggel, ADS-Tec: Die Umsetzung des CRA wird mit Kosten verbunden sein, insbesondere für Unternehmen, die bislang wenig in Cybersicherheit investiert haben. Schulungen, die Einführung sicherer Entwicklungsprozesse und der Mehraufwand für Dokumentation und regelmäßige Audits werden nicht zu unterschätzen sein. Allerdings muss man auch die langfristigen Vorteile betrachten: Unternehmen, die frühzeitig konforme Produkte auf den Markt bringen, können sich als Sicherheitsvorreiter positionieren. Kunden werden zunehmend Wert auf zertifizierte Sicherheit legen – insbesondere in sicherheitskritischen Branchen. Unternehmen in der EU könnten sich durch höhere Sicherheitsanforderungen einen Vorsprung bei sicheren Industrie-4.0-Lösungen verschaffen. Für KMUs könnte der CRA eine besondere Herausforderung darstellen, da sie oft nicht die personellen Ressourcen für umfangreiche Sicherheitsmaßnahmen haben. Hier sind Partnerschaften mit spezialisierten Dienstleistern oder Brancheninitiativen sinnvoll, um den Aufwand zu reduzieren.

Carsten Bokholt, Helmholz: Der Aufwand zur Implementierung der geforderten sicheren Entwicklung und der Sicherstellung der Security über den gesamten Lebenszyklus, wird alle Hersteller unterschiedlich stark treffen. Je nachdem, wie viel man schon vorher in eine sichere Entwicklung investiert hat und in welcher Produktkomplexität man unterwegs ist, kann es sehr aufwendig werden. Für den Maschinenbau ist das ein zusätzlicher Baustein in der Maschinenspezifikation und -konstruktion. Ob sich dieser in den kommenden Projekten auch gegenüber dem Endkunden immer monetarisieren lässt, ist noch nicht klar. Sicher ist, dass auch mehr Anlagenbetreiber über die Maschinenverordnung oder über KRITIS und NIS-2 verpflichtet sind, Security weiter zu denken. Die größte Herausforderung ist der Fachkräftemangel auf allen Ebenen, vom Hersteller über den Maschinenbau bis zum Endkunden. Aber auch bei den Zertifizierungs-/Beratungsstellen und beim BSI, der den CRA durchsetzen soll, wird es so schnell das nötige Personal nicht geben. Somit wird aus heutiger Sicht für alle Beteiligten der gesetzte Zeitrahmen nicht leistbar sein.

Frank Behnke, Hilscher: Kosten und Aufwand für die Umsetzung des CRA lassen sich nicht pauschal beziffern, da sie stark davon abhängen, wie frühzeitig Security-by-Design in Entwicklungsprozesse integriert wurden. Unternehmen, die bereits sichere Architekturprinzipien anwenden, werden geringeren Anpassungsaufwand haben als jene, die erst jetzt beginnen, Cybersicherheit nachzurüsten. Hinsichtlich der Wettbewerbsfähigkeit gibt es eine klare Trennung: Nicht-cybersichere Maschinen und Geräte werden künftig massive Nachteile auf dem Markt haben. Kunden und Betreiber werden verstärkt auf zertifizierte, CRA-konforme Produkte setzen, um regulatorische Risiken zu minimieren. Aber nicht nur Produkte sind betroffen – auch bestehende Netzwerktechnologien müssen überdacht werden. Besonders Feldbustechnologien, die traditionell für abgeschottete Systeme konzipiert wurden, gelten nach den neuen Vorschriften als inhärent unsicher und lassen sich kaum CRA-konform machen. Hier werden Unternehmen gezwungen sein, sichere Netzwerkarchitekturen zu etablieren, etwa durch Firewall-Lösungen, Netzwerksegmentierung und strikte Zugriffskontrollen. In vielen Fällen wird eine vollständige Umstellung auf sicherere, IP-basierte Kommunikationstechnologien notwendig sein.

Thilo Döring, HMS: Die Umsetzung wird mit relevanten Kosten verbunden sein, da Investitionen in Fachwissen, Prozesse, Audits und Tools erforderlich sind. Unternehmen, die bereits frühzeitig in diese Bereiche investieren, können schneller darauf reagieren und dadurch einen Wettbewerbsvorteil erlangen. Es wird erwartet, dass die erhöhten Sicherheitsanforderungen die Industrie besser vor Cyberangriffen schützen und dazu beitragen, die enormen Kosten solcher Angriffe zu reduzieren. Insbesondere KMUs werden Unterstützung von Technologiepartnern benötigen, um die notwendigen Investitionen und den damit verbundenen Aufwand zur Schaffung sicherer Kommunikationsschnittstellen wirtschaftlich tragbar zu gestalten. Im internationalen Vergleich haben europäische Maschinen- und Anlagenbauer beim Export aufgrund der höheren Kosten zunächst einen Wettbewerbsnachteil. Der könnte jedoch ausgeglichen werden, sobald auch in anderen Weltmärkten ein höheres Cybersicherheitsniveau gefordert wird und umgesetzt werden muss.

Robert Mühlfellner, Neuron: Wir erwarten bereits jetzt erhebliche Mehrkosten, insbesondere für Geräte der Klasse 2, weil ein formales Assessment durch eine Prüfstelle erforderlich wird, weiteres ist aufgrund fehlender harmonisierter Normen die Selbstzertifizierung der Klasse 1 noch nicht klargestellt. Daher lässt sich der genaue Betrag noch nicht beziffern, aber basierend auf Erfahrungen aus der funktionalen Sicherheit gehen wir von Mehrkosten von 30 bis 50 Prozent bei der Komponentenentwicklung aus. Diese Kosten sollten mit der Zeit durch standardisierte Maßnahmen und Wiederverwendbarkeit sinken. Kurzfristig könnte sich eine Verschlechterung der Wettbewerbsfähigkeit ergeben, vor allem für Lieferungen außerhalb der EU. Langfristig wird jedoch erwartet, dass mit zunehmenden Cyberangriffen und den damit verbundenen Schäden die Cybersecurity im Maschinen- und Anlagenbau den gleichen Stellenwert wie die funktionale Sicherheit erreicht, was die Wettbewerbsverzerrung nur temporär macht.

Lutz Jänicke, Phoenix Contact: Kosten und Aufwand sind schwer zu schätzen, denn sie hängen erheblich von der Ausgangslage ab. In jedem Fall müssen alle Beteiligten im Produktmanagement, der Entwicklung und im Testumfeld hinsichtlich der Security-Themen geschult werden. Weitere Aufwände werden in der tatsächlichen Umsetzung entstehen. Sicher wird am Anfang viel Erfahrungsaufbau notwendig sein. Die höheren Aufwände bleiben allerdings permanent. Auf der einen Seite führen Konzepte wie sicheres Design, Coding Guidelines und systematisches Sicherheitstesten als Nebenwirkung zu einer allgemeinen Verbesserung der Qualität. Im Wettbewerb können die höheren Aufwände einen Nachteil darstellen. Auf der anderen Seite wird dem Kunden ein relevanter Mehrwert geboten, der vermarktet werden könnte. In der EU sollten die Abnehmer aufgrund der NIS-2-Richtlinie sowieso einen gesteigerten Bedarf an Security haben. In anderen Weltmärkten könnten die höheren Aufwände aber einen Wettbewerbsnachteil nach sich ziehen, sofern die Kunden die zusätzliche Security nicht würdigen.

Rodrigo do Carmo, Secunet: Die Umsetzung wird mit einem erheblichen finanziellen und organisatorischen Aufwand verbunden sein. Besonders kostenintensiv wird die Implementierung von Security-by-Design und Security-by-Default, da diese Ansätze oft tief in die Entwicklungs- und Produktionsprozesse integriert werden müssen. Der CRA wird die Wettbewerbsfähigkeit erheblich beeinflussen. Unternehmen, die frühzeitig investieren und CRA-konforme Produkte anbieten, können sich als Vorreiter am Markt positionieren und sich Wettbewerbsvorteile sichern. Gleichzeitig besteht das Risiko, dass europäische Hersteller durch die strengeren Anforderungen gegenüber internationalen Wettbewerbern ins Hintertreffen geraten, falls diese nicht an ähnlich hohe Sicherheitsstandards gebunden sind. Langfristig könnte der CRA jedoch auch eine positive Marktentwicklung fördern, indem er einheitliche Sicherheitsstandards etabliert und das Vertrauen in europäische Maschinen- und Automatisierungstechnik stärkt. Entscheidend wird sein, wie Unternehmen den CRA nicht nur als regulatorische Pflicht, sondern als strategische Chance nutzen.

Stefan Bamberg, Wibu-Systems: Pauschal lässt sich das so nicht seriös sagen. Es hängt stark davon ab, wie viele Produkte in einem Unternehmen betroffen sind und ob man bereits auf einen existierenden Security-Level, wie z.B. die IEC62443, aufbauen kann. Keinesfalls darf man das Thema unterschätzen. Neben den Maßnahmen für die Produktsicherheit sind insbesondere die Dokumentationspflichten sehr umfangreich und je nach Branche kommen Aufwände auch für interne oder externe Audits hinzu. Es ist auch nicht ein einmaliger Aufwand zur Erlangung der CRA Compliance, sondern ein kontinuierlicher Prozess über den gesamten Lebenszyklus eines Produkts.

Welche wichtigsten Maßnahmen sollten Unternehmen jetzt ergreifen, um die Anforderungen des CRA zu erfüllen? Gibt es Ansätze, die als Orientierung dienen können?

Simon Göggel, ADS-Tec: Unternehmen sollten eine umfassende Risikoanalyse durchführen und Maßnahmen zur Cybersicherheit systematisch in ihre Produktentwicklung integrieren. Security-by-Design sollte als Standardpraxis in der Entwicklung etabliert werden. Eine wichtige Maßnahme ist die Härtung der IT-, aber auch OT-Infrastruktur – dazu gehören die Nutzung von OT-orientierten Firewalls, IDS/IPS-Systemen sowie sichere Remote-Zugänge über VPNs und Zertifikaten, die vor allem auf die Produktionsumgebung ausgelegt sind. Auch die Authentifizierung sollte verstärkt werden, z.B. durch Public-Key-Infrastrukturen oder Hardware-Token, wie SmartCards-Access Kontrolle. Brancheninitiativen wie die Arbeitsgruppen im VDMA – in denen wir auch mitwirken – und ZVEI bieten Orientierungshilfen, um sich auf den CRA vorzubereiten. Zudem können bestehende Standards wie IEC62443 als Leitfaden für die Umsetzung dienen.

Carsten Bokholt, Helmholz: Aktuell kann man sich an den existierenden Normen orientieren, wie z.B. der IEC62443 oder der EN18031 in Zusammenhang mit der Radio Equippment directive (RED). Das BSI hat mit der technischen Richtlinie BSI-TR-03183 auch eine gute Orientierung veröffentlicht. Zentral wichtig ist es, ein Security-Team im Unternehmen einzurichten mit Mitarbeitern aus den Bereichen Produktentwicklung, -management und IT, um auf die sich ständig verändernde Lage im Bereich Security regieren zu können und auch im Fall der Fälle einer neu entdeckten Schwachstelle gleich reagieren zu können. Die Mitarbeit in Communities wie z.B. dem CERT@VDE bzw. dem TeleTrusT sind informativ und hilfreich.

Frank Behnke, Hilscher: Unsere Empfehlung für kleine und mittelständische Unternehmen ist klar: Frühzeitig einen Plan erstellen, um die CRA-Anforderungen systematisch anzugehen. Cybersecurity muss von Anfang an in die Produktentwicklung integriert werden – je früher, desto besser. Ein zentraler Punkt ist die Wahl kompetenter Partner für Security, denn die Komplexität der Anforderungen macht Insellösungen oder teure Fehlentwicklungen unwirtschaftlich. Wir setzen beispielsweise auf die Zusammenarbeit mit TÜV Rheinland und haben bereits 70 Prozent unserer Entwicklungsprozesse nach IEC62443-4-1 konform aufgestellt – der Rest folgt in Kürze.

Thilo Döring, HMS: Um die Anforderungen des CRA zu erfüllen, empfehlen wir zwei wesentliche Maßnahmen: Erstens sollten Unternehmen Cybersecurity-Prozesse so früh wie möglich in ihre Abläufe integrieren. Dies beginnt mit einer detaillierten Analyse des Ist-Zustands, um bestehende Schwachstellen und Optimierungspotenziale zu identifizieren. Das betrifft sowohl die deutlich umfangreicheren Dokumentations- und Berichtspflichten als auch die Geräteentwicklung selbst, Stichwort ‚Security-by-Design‘. Zweitens ist es entscheidend, dass neue Produktreihen schon heute auf zukünftige Cybersecurity-Anforderungen ausgerichtet werden. Die Hardware der eingesetzten Automatisierungsgeräte und Maschinen sollte bereits jetzt so dimensioniert sein, dass z.B. der Prozessor über die notwendige Leistung verfügt, um künftige Sicherheitsaufgaben wie Verschlüsselung, Authentifizierung, Benutzerverwaltung oder Zertifikatsmanagement verarbeiten zu können. Zudem muss die Möglichkeit bestehen, nachträgliche Änderungen und Updates automatisch einzuspielen, um eine robuste und dynamische Cybersecurity-Strategie kontinuierlich an sich verändernde Gegebenheiten anpassen zu können.

Robert Mühlfellner, Neuron: Unternehmen sollten beginnen, Schulungen zu den neuen Prozessen und der Erweiterung des Qualitätsmanagements durchführen, um sicherzustellen, dass Mitarbeiter die notwendigen Cybersecurity-Maßnahmen verstehen und umsetzen können. Zudem sollten Bedrohungs- und Cybersecurity-Risikoanalysen durchgeführt werden, um potenzielle Sicherheitslücken zu identifizieren und auf Basis der Ergebnisse die erforderlichen Maßnahmen umzusetzen. Es ist auch wichtig, ein klares Service-Level zu definieren, welches die Reaktionszeiten und Sicherheitsvorkehrungen festlegt. Unternehmen können sich zudem an Arbeitspapieren und Leitlinien von Organisationen wie dem VDMA orientieren, die praxisorientierte Ansätze bieten.

Lutz Jänicke, Phoenix Contact: Die EN IEC62443 erfüllt die Anforderungen aus dem CRA schon weitgehend. Insofern sollten Unternehmen der Automatisierungstechnik nicht zögern, sich entsprechend auszurichten. Mit dem sicheren Entwicklungsprozess nach EN IEC62443-4-1 geht es auf jeden Fall in die richtige Richtung. Es gibt auch andere Modelle, wie etwa das frei verfügbare NIST Secure Software Development Framework, die sich am Ende höchstens in Details unterscheiden. Die Sicherheitsfunktionen der EN IEC62443-4-2 respektive -3-3 bilden ebenfalls eine gute Grundlage, mit der heute gestartet werden kann. Definitiv sollte sich jedes Unternehmen überlegen, ob und welche Produkte für den CRA fit gemacht werden sollen.

Dr. Rodrigo do Carmo, Secunet: Unternehmen sollten zunächst eine umfassende Gap-Analyse durchführen, um den aktuellen Reifegrad ihrer Cybersicherheitsmaßnahmen zu bewerten. Der Fokus sollte dabei auf zentralen Themen wie Security-by-Design, Schwachstellenmanagement, Update- und Patch-Strategien sowie der Dokumentations- und Nachweispflicht liegen. Unternehmen, die bereits über etablierte Sicherheitsprozesse nach IEC62443 oder NIST Cybersecurity Framework verfügen, werden tendenziell weniger Anpassungsbedarf haben als jene, die sich bisher nur auf grundlegende Sicherheitsmaßnahmen konzentrieren. Ein weiterer zentraler Aspekt ist die frühzeitige Planung der regulatorischen Nachweispflichten. Ein effizientes Compliance- und Risikomanagement ist essenziell, um nicht nur die Anforderungen des CRA zu erfüllen, sondern auch Synergien mit anderen regulatorischen Vorgaben wie NIS2 oder dem kommenden Cybersecurity Act (CSA) zu nutzen. Wir bieten hierzu gezielte Beratungsleistungen an.

Stefan Bamberg, Wibu-Systems: Grundsätzlich sollte mit einer ausführlichen Bestandsaufnahme aller Produkte im Unternehmen mit digitalen Komponenten hinsichtlich der CRA Compliance begonnen werden. Für jedes der betroffenen Produkte wird dann eine Risikoanalyse bezüglich potenzieller Sicherheitsrisiken und Schwachstellen durchgeführt. Wichtige Punkte sind dabei regelmäßige Sicherheitsupdates, ein etabliertes Schwachstellenmanagement und eine sichere Installation und Konfiguration. Bezüglich der Anforderungen der Produktsicherheit bieten wir zum Download auf unserer Homepage eine Orientierung auf Basis des offiziellen CRA-Papiers an.

Teil 1 der Umfrage zum Cyber Resilience Act ist in der vorigen Ausgabe nachzulesen. Hier geht es u.a. darum, wie sich die Anforderungen des CRA in Produkten und Prozessen effektiv umsetzen lassen. In Ausgabe 6 folgt Teil 3. Dort geht es u.a. um Empfehlungen für KMU zur Vorbereitung auf den CRA und welche Hilfestellungen es gibt.