Skip to main content

Drei Jahre erscheinen sehr lange. Bis der Cyber Resilience Act (CRA) am 1. Januar 2027 in Kraft tritt, wird es einen neuen Fußball-Weltmeister geben, Matthias Schweighöfer wird in mindestens zehn weiteren Filmen oder Serien zu sehen sein und die lettische Stadt Liepāja wird europäische Kulturhauptstadt. Bedenkt man jedoch die langen Entwicklungszyklen insbesondere im Maschinenbau, wird deutlich, dass drei Jahre schnell vergehen können. Deshalb sollten sich Unternehmen schon jetzt Gedanken darüber machen, wie das Gesetz ihre Branche verändern wird, um so bereits jetzt die nötigen Weichen zu stellen.

Der Cyber Resilience Act ist eine Verordnung der Europäischen Union, die die Cybersicherheit von Produkten mit digitalen Elementen erhöhen soll. Der CRA gilt für alle Produkte, die in der EU in Verkehr gebracht werden, unabhängig davon, ob sie für Verbraucher oder Unternehmen bestimmt sind. Für den Maschinenbau hat der CRA weitreichende Folgen: Maschinen und Anlagen sind in der Regel mit digitalen Elementen ausgestattet, wie z. B. Steuerungen, Sensoren oder Datennetzen. Diese digitalen Elemente können ein potenzielles Ziel für Cyberangriffe sein, insbesondere, da Maschinen und Anlagen im industriellen Umfeld immer stärker mit dem Internet verbunden sind. Entsprechend müssen die Hersteller die Cybersicherheit ihrer Produkte gewährleisten und dazu eine Reihe von Sicherheitsmaßnahmen implementieren.

Die neuen Anforderungen umfassen unter anderem:

  • Eine Risikoanalyse, um die potenziellen Cybersicherheitsrisiken der Produkte zu ermitteln.
  • Maßnahmen zur Absicherung dieser Risiken, wie zum Beispiel die Verwendung von sicheren Verschlüsselungsverfahren und die Implementierung von Patches und Updates.
  • Dokumentation der getroffenen Maßnahmen.

Die Einhaltung der CRA-Vorschriften wird durch die EU-Kommission und die nationalen Behörden überwacht. Verstöße können mit Geldbußen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden.

Herausforderungen für den Maschinenbau

Neben der Risikoanalyse stellen vor allem Maßnahmen zur Absicherung der Risiken eine Herausforderung dar. Dies gilt insbesondere für die Implementierung von Patches und Updates. Es stellt einen enormer Aufwand dar, den entsprechenden Kunden innerhalb der geforderten Zeit die richtigen Patches zur Verfügung zu stellen. Warnt beispielsweise ein Hersteller vor einer Schwachstelle in einer seiner Steuerungen, so müssen Anlagenbauer schnell und zuverlässig feststellen, wo sie diese Steuerung verbaut haben. Ohne ein zentrales, automatisch aktualisierendes und umfassendes Asset Management ist dies nahezu unmöglich. Es reicht jedoch nicht aus, nur zu wissen, ob eine bestimmte Steuerung verbaut wurde. Vielmehr müssen die Anlagenbauer wissen, welche Software-Version auf ihr läuft und ob es für diese einen Patch gibt bzw. einen Patch braucht. Deshalb muss das Inventar auch weitere Informationen zu Hersteller, Modell und Firmware-Version beinhalten. Nur wenn man genau weiß, wo welche Geräte in welcher Version im Einsatz sind, ist man in der Lage, diese auch effektiv zu schützen.

Um den Anforderungen an das Patch-Management gerecht zu werden, sind dringend mehr Wartungsfenster und ein sicherer Fernzugriff erforderlich. Kein Hersteller ist in der Lage, innerhalb einer sinnvollen Frist, hunderte von Kunden aufzusuchen, um dort Updates zu installieren. Deshalb müssen sie in der Lage sein, diese in Abstimmung mit dem Betreiber remote aufzuspielen. Wichtig sind dabei sichere Lösungen, die speziell für diesen Einsatz konzipiert und entwickelt wurden, um nicht einen weiteren potenziellen Angriffspfad zu eröffnen.

Fazit

Für den Maschinenbau bedeutet der Cyber Resilience Act eine Reihe von Herausforderungen, aber auch Chancen. So können Anbieter die Cybersicherheit von Maschinen und Anlagen erhöhen und damit nicht nur die Sicherheit von Menschen, Unternehmen und der öffentlichen Ordnung, sondern auch ihre Marktpositionierung verbessern. Und das nicht erst in drei Jahren: Hersteller, die ihren Kunden schon heute dieses Plus an Service und Sicherheit bieten können, haben im harten Wettbewerb die Nase vorn. Denn Ausfälle, etwa durch ausgenutzte Schwachstellen, verursachen im industriellen Umfeld schnell Kosten in Millionenhöhe. Sind Maschinenbauer in der Lage, das Risiko der Betreiber zu minimieren und deren Resilienz zu stärken, zahlt sich dies für alle Seiten aus.

Max Gilg

Max Gilg ist seit mehr als 15 Jahren im IT-Bereich tätig und ist ein Experte für die Sicherheit industrieller Anlagen und den Schutz kritischer Infrastrukturen (KRITIS).

Der Artikel hat dir gefallen? Gib uns einen Kaffee aus!

Leave a Reply