Vom Risiko zur Resilienz: Wie wird die Technik CRA-fit?

Wie wichtig ist die Zusammenarbeit zwischen Herstellern, Zulieferern, Systemintegratoren, Forschungseinrichtungen und Betreibern bei der Umsetzung des CRA und wie lässt sie sich verbessern?

Simon Göggel, ADS-Tec: Die Umsetzung des CRA kann nicht isoliert von einzelnen Unternehmen bewältigt werden – es braucht eine enge Zusammenarbeit entlang der gesamten Wertschöpfungskette. Zulieferer müssen frühzeitig eingebunden werden, um Sicherheitslücken bereits auf Komponentenebene zu verhindern. Systemintegratoren sollten Sicherheitsmaßnahmen synchronisieren, während Betreiber für eine sichere Nutzung und Wartung der Systeme verantwortlich sind. Forschungseinrichtungen oder Brancheninitiativen wie VDMA, ZVEI und ENISA bieten wichtige Orientierung und Best Practices für eine koordinierte Umsetzung. Um die Zusammenarbeit zu verbessern, sollten Unternehmen auf bewährte Sicherheitsstandards wie IEC62443 oder ISO27001 setzen. Eine frühzeitige und transparente Kommunikation über Sicherheitsrisiken, Schwachstellen und Updates ist essenziell. Ebenso ist die Entwicklung gemeinsamer Richtlinien für Sicherheitsupdates und Bedrohungserkennung entscheidend, um Sicherheitslücken systematisch zu schließen.

Carsten Bokholt, Helmholz: Eine enge Zusammenarbeit und der kontinuierliche Austausch zwischen Hersteller, Maschinenbauer und Endanwender sind entscheidend, um potenzielle Risiken auf allen Ebenen zu identifizieren und zu bewerten. Ziel ist es, empfohlene Maßnahmen gezielt zu implementieren und damit diese Risiken wirksam zu minimieren. Wenn ein Maschinenbauer nicht weiß, welche sicherheitsrelevanten Funktionen in einem Gerät überhaupt vorhanden sind, kann er sie nicht absichern. Ein ständiger Austausch über neue aufkommende Bedrohungen in bestehenden Produkten und der Umgang damit ist über alle Ebenen hinweg notwendig. Leider sind bisher die Kommunikationswege hier meist noch nicht etabliert. Der Produkthersteller weiß nie, wo seine Produkte verbaut sind, und der Endkunde weiß manchmal nicht im Detail, was in der Maschine drin ist.

Frank Behnke, Hilscher: Es stehen für 2025 Zertifizierungen nach dem BSI-IT-Grundschutz und der ISO27001 an. Dieses Wissen teilen wir aktiv mit unseren Kunden, um Unternehmen durch unsere Expertise und Technologien dabei zu unterstützen, ihre Produkte und Anlagen sicher und CRA-konform zu machen.

Thierry Bieber, HMS: Infrastrukturen auf Feldebene bestehen aus einer Vielzahl unterschiedlichster Geräte, die über standardisierte Feldbusse nahtlos und leistungsfähig miteinander kommunizieren. Es ist essenziell, dass die Cybersecurity-Anforderungen in die entsprechenden industriellen Standards integriert werden, um für den Anwender einfach anwendbare Lösungen in Bezug auf Werkzeuge und das Ökosystem zu gewährleisten. Die Nutzerorganisationen haben bereits erste Rahmenwerke mit Sicherheitserweiterungen für traditionelle Protokolle entwickelt. Diese werden in den kommenden Jahren in Geräten implementiert, um ein benötigtes, konsistentes Ökosystem zu schaffen. Es ist jedoch zu erwarten, dass die Vielfalt technologischer Standards zu unterschiedlichen Security-Ansätzen führen wird. Bis ganzheitlich sichere Netzwerke umgesetzt werden können, behelfen sich Maschinenbauer und Anlagenbetreiber mit der Segmentierung kritischer Anlagenteile. Diese Maßnahmen werden durch industrielle Firewalls unterstützt, um die Sicherheit entscheidender Infrastrukturkomponenten zu gewährleisten.

Robert Mühlfellner, Neuron: Ähnlich einer Risikoanalyse für die CE-Konformität im Rahmen der Maschinensicherheit kommen auch bei der Cybersecurity Top-Down-Modelle zur Anwendung. Nur durch klare Anforderungen aus den einzelnen Schichten und das Runterbrechen durch alle Instanzen lassen sich Anforderungen an die Cybersecurity skalieren und die Kosten im Griff halten. Den Forschungsinstituten kommt dabei die Aufgabe zu, ständig in einem kontinuierlichen Prozess Schutzmaßnahmen zu entwickeln und den Markt auf potenzielle neue Bedrohungen zu beobachten. Dazu gehören auch geeignete Tools und Techniken für Simulation und Test, um bereits während der Entwicklung eines Produkts wie eine Continuous Integration vorgehen zu können. Adäquates gilt bei der Unterstützung qualifizierender Testprozeduren für die Konformitätsbewertung der Prüfstellen. Am Ende steht auch hier ein Prozess, der den Anforderungen an die funktionale Sicherheit ähnelt, jedoch mit seiner geforderten Dynamik eine Herausforderung an die Produktstabilität darstellt.

Dr.-Ing. Lutz Jänicke, Phoenix Contact: Hier ist es wichtig, Transparenz über die Security-Qualität und die Security-Funktionen von Produkten zu erlangen. Standards helfen eine gemeinsame Sprache zu finden in der sich diese Eigenschaften ausdrücken lassen. Genau dafür wurde die Normenreihe IEC62443 geschaffen. Sie bildet in den unterschiedlichen Normteilen die Sichten der Komponentenhersteller, Integratoren und Betreiber ab. Ein wesentlicher Bestandteil der Transparenz ist die ausführliche Dokumentation und Funktionsbeschreibung, die eine sichere Integration und einen sicheren Betrieb unterstützen. CRA und IEC62443 umfassen entsprechende Dokumentationsanforderungen.

Dr. Rodrigo do Carmo, Secunet: Insbesondere im Maschinen- und Anlagenbau sowie in der Prozessindustrie sind Systeme oft stark vernetzt und bestehen aus Komponenten verschiedener Hersteller. Eine fehlende Abstimmung zwischen diesen Akteuren kann zu Sicherheitslücken führen, die sich entlang der Lieferkette fortsetzen und im Betrieb schwer kontrollierbar sind. Hersteller und Zulieferer müssen daher frühzeitig gemeinsam Sicherheitsanforderungen definieren und sicherstellen, dass Komponenten mit dokumentierten Sicherheitsfunktionen geliefert werden. Systemintegratoren müssen diese Sicherheitsvorgaben weiterführen und sicherstellen, dass Sicherheitsmaßnahmen auch auf Systemebene umgesetzt werden. Betreiber sind letztlich für den sicheren Betrieb verantwortlich, benötigen aber klare Sicherheitskonzepte, Update-Strategien und Risikoanalysen, um ihre Systeme angemessen schützen zu können. Eine verbesserte Zusammenarbeit kann durch den Austausch von Bedrohungsinformationen, koordinierte Schwachstellenmanagement-Prozesse und klare Verantwortlichkeiten entlang der Lieferkette erreicht werden. Wir unterstützen dabei, Cybersecurity-Governance-Strukturen zu etablieren, Lieferkettenrisiken zu bewerten und branchenspezifische Sicherheitsstrategien zu entwickeln.

Stefan Bamberg, Wibu-Systems: Die CRA Compliance muss für alle Beteiligten einer solchen Wertschöpfungskette ein zentraler Punkt während des gesamten Produktlebenszyklus sein. Ganz wichtig ist dabei auch, dass Module von Drittanbietern, die in eigene Produkte integriert sind, ebenfalls CRA Compliant sein müssen und das auch entsprechend nachweisbar ist. Mit Sicherheit wird es zukünftig unterstützende Systeme geben, die den Aufwand für eine solche Nachweisbarkeit über die gesamte Wertschöpfungskette minimieren.

Wie planen Sie, Ihre Kunden bei der Einhaltung der CRA-Anforderungen zu unterstützen? Welche Empfehlungen geben Sie KMU zur Vorbereitung auf den CRA? Wie wollen Sie unterstützen? Welche Brancheninitiativen und Arbeitsgruppen empfehlen Sie für den Austausch?

Simon Göggel, ADS-Tec: Unsere Strategie zur Unterstützung unserer Kunden basiert auf drei Säulen. Erstens – Vorkonfigurierte Sicherheitslösungen: Wir bieten CRA-konforme Security-Produkte wie gehärtete Firewalls, VPN-Gateways und sichere Remote-Zugänge an. Unsere Produkte orientieren sich an den Anforderungen von IEC62443 und ISO27001 und gewährleisten eine sichere industrielle Kommunikation. Zweitens – Security-Guidelines und Best Practices: Wir stellen detaillierte Sicherheitsrichtlinien bereit, die unseren Kunden helfen, unsere Produkte zu konfigurieren. So stellen wir sicher, dass sie höchste Sicherheit mit bestmöglicher Usability kombinieren. Drittens – Brancheninitiativen und Standardisierung: Wir engagieren uns aktiv in Branchenverbänden und tragen zur Entwicklung neuer Sicherheitsstandards bei. Unternehmen, die sich diesen Netzwerken anschließen, profitieren von Best Practices und können gemeinsam Lösungen entwickeln.

Carsten Bokholt, Helmholz: Wir entwickeln bereits nach IEC62443-4-1 und werden in diesem Jahr voraussichtlich die TÜV-Zertifizierung hierfür erlangen. Unsere Produkte werden sukzessive um die neuen Security Features ergänzt und die Dokumentation für den Kunden erweitert. Wir bieten Schulungen und Webinare zum Verständnis der Verordnungen und dem sicheren Einsatz unserer Produkte an. Unser PSIRT-Team arbeitet schon seit längerem aktiv an der Überwachung von den vorhandenen Produkten auf Schwachstellen. Wir sind – neben vielen anderen deutschen Industrie-Unternehmen – Mitglied beim CERT@VDE zum gemeinsamen Austausch, Diskussion sowie zur Mitwirkung an den aktuellen und kommenden Normen und Verordnungen. Dazu gehört auch ein direkter Draht zum BSI. Des Weiteren sind wir aktives Mitglied im TeleTrusT (Bundesverband IT-Sicherheit). All diese Maßnahmen empfehlen wir auch anderen Herstellern, um im Thema Security Schritt halten zu können.

Frank Behnke, Hilscher: Unternehmen sollten sich in Brancheninitiativen und Arbeitsgruppen engagieren, um Best Practices und Erfahrungen auszutauschen. Derzeit gibt es mehrere Initiativen, in denen sich Unternehmen vernetzen und gemeinsame Lösungen für die CRA-Herausforderungen entwickeln. Der ZVEI, der VDMA oder auch Arbeitsgruppen zur IEC62443 bieten wertvolle Plattformen für den Austausch und praxisnahe Unterstützung bei der Umsetzung der neuen Anforderungen.

Thierry Bieber, HMS: Wir sind bereits nach IEC62443-4-1 zertifiziert und verstehen uns als Technologiepartner, der Gerätehersteller bei der Security Compliance und Pflege unterstützt. Gerätehersteller, die bereits ein Anybus Embedded Kommunikationsmodul von HMS für Profinet oder Ethernet/IP nutzen, können mit dem Anybus CompactCom IIoT Secure ihr eigenes Geräteportfolio mit deutlich reduziertem Aufwand auf ein höheres Sicherheitsniveau bringen. Es verfügt über eine sichere Zertifikatsverwaltung sowie einen dedizierten Sicherheits-Chip, um vertrauliche Daten zu speichern. Beim sicheren Booten wird geprüft und gewährleistet, dass nur signierte HMS-Software verwendet wird. Darüber hinaus verschlüsseln die Sicherheitsfunktionen des Moduls die IIoT-Datenverbindungen (OPC UA und MQTT) und unterstützen auch die Sicherheitsanforderungen der jeweiligen industrielle Protokolle. Damit nehmen wir KMU im Hinblick auf die CRA-Anforderungen einen großen Teil der Aufgaben ab und vereinfachen ihren Weg zur CRA-Konformität.

Robert Mühlfellner, Neuron: Um unsere Kunden bei der Einhaltung der CRA-Anforderungen zu unterstützen, erweitern wir unser Safety-Toolkit um Komponenten für die Cybersecurity. Das ermöglicht es unseren Kunden, bereits etablierte Sicherheitsstandards schnell und effizient umzusetzen. Zudem passen wir unseren Entwicklungsprozess gemäß der EN 62443-4-1 an, um sicherzustellen, dass unsere Produkte den etablierten Cybersecurity-Standards entsprechen. Gerade für KMU sind die zusätzlichen Aufwände in den Cybersecurity-Prozessen herausfordernd. Mit unserem Toolkit können sie auf vorzertifizierte Komponenten zurückzugreifen, um teure Eigenentwicklungen punktuell oder gesamtheitlich zu ersetzen. Damit können sie sich auf ihren Mehrwert in ihrer jeweiligen Domäne konzentrieren und die CRA-Anforderungen kosteneffizient erfüllen.

Dr.-Ing. Lutz Jänicke, Phoenix Contact: Wir arbeiten selbst in Richtung des CRA und werden die Security-Transparenz deutlich steigern. Unsere Kunden können auch auf unterstützende Dienstleistungen zurückgreifen. Dies umfasst sowohl konkrete Produkte ebenso wie Konzepte und deren Umsetzung. Die Verbände haben zum CRA verschiedene Initiativen gestartet. ZVEI und VDMA sind mit Handreichungen zum Thema beschäftigt. In Arbeitsgruppen können sich Unternehmen einbringen und austauschen. Hierzu sollten sich die Unternehmen an ihre Verbände wenden.

Dr. Rodrigo do Carmo, Secunet: Wir unterstützen unsere Kunden mit ganzheitlichen Beratungsansätzen, um sie gezielt auf die neuen regulatorischen Vorgaben vorzubereiten. Unser Angebot reicht von Gap-Analysen zur Bewertung des aktuellen Sicherheitsniveaus über die Entwicklung von Security-by-Design-Strategien bis hin zur Unterstützung bei der Implementierung sicherer Softwareentwicklungsprozesse und Schwachstellenmanagement-Systeme. Insbesondere KMU empfehlen wir eine schrittweise Herangehensweise, die mit einer Bestandsaufnahme und Reifegradbewertung beginnt. Dabei unterstützen wir dabei, bestehende Prozesse und Produkte mit den CRA-Vorgaben abzugleichen und priorisierte Maßnahmenpläne zu entwickeln. Gerade für kleinere Unternehmen, die nicht über umfassende Cybersicherheitsressourcen verfügen, ist es wichtig, Synergien mit bestehenden Standards wie IEC62443 oder ISO27001 zu nutzen, um den Aufwand zu minimieren. Zudem beraten wir zu effizienten Patch-Management- und Update-Strategien. Durch unsere Kombination aus technischer Expertise, regulatorischer Beratung und Branchenvernetzung helfen wir Unternehmen, sich nicht nur auf den CRA vorzubereiten, sondern diesen als Chance zu nutzen, um ihre Sicherheitsstrategien zukunftssicher aufzustellen.

Stefan Bamberg, Wibu-Systems: Unsere Softwareschutz- und Lizenzierungslösung CodeMeter unterstützt Hersteller, sodass die CRA Compliance wiederhergestellt werden kann. Es gibt einen Zugriffsschutz und die Vertraulichkeit und Integrität der Daten sind gewährleistet. Beispielsweise wissen die Hersteller jederzeit, welche Lizenzen sich im Feld befinden, um sie bei Bedarf zu entziehen oder zu ersetzen. Lizenzen können länderspezifisch oder für verschiedene Softwareversionen ausgerollt werden. Verbände wie Bitkom und VDMA widmen sich dem CRA, z.B. mit Veranstaltungen oder Bewertungen, sodass Unternehmen Informationen und Empfehlungen erhalten können.

((Kasten))