ONEKEY Report: Industrie mit Aufholbedarf bei Cybersecurity-Standards

ONEKEY IoT & OT Cybersecurity Report 2025: Über die Hälfte der Unternehmen hat Maßnahmen zur Erfüllung des EU Cyber Resilience Act eingeleitet, aber bei der Umsetzung besteht Nachholbedarf

Düsseldorf, 21. Oktober 2025 – Die Industrie bereitet sich auf das Ende der Übergangsfrist des EU Cyber Resilience Act (CRA) in den Jahren 2026/27 vor, sollte bei der Erfüllung der damit verbundenen technischen Standards jedoch noch an Fahrt gewinnen. Laut einer Industrieumfrage des Düsseldorfer Cybersicherheitsunternehmens ONEKEY haben bereits 38 Prozent der Unternehmen in Deutschland erste Schritte zur Erfüllung der EU-Verordnung eingeleitet, weitere 14 Prozent sogar schon umfangreiche Maßnahmen auf den Weg gebracht.

„Es ist erfreulich, dass mehr als die Hälfte der Unternehmen bereits Schritte zur Einhaltung der neuen EU-Verordnung unternommen hat“, erklärt Jan Wendenburg, der CEO von ONEKEY. Das Unter­nehmen stellt die Ergebnisse der Umfrage im „IoT & OT Cybersecurity Report 2025“ kostenfrei auf seiner Webseite zur Verfügung. Für den Report waren 300 Unternehmen nach ihrem aktuellen Stand und ihrer Strategie bei „Operational Technology“ (OT), also beispielsweise industriellen Steuerungssystemen, und „Internet of Things“ (IoT), von Geräten für das Smart Home bis zu Industrierobotern, befragt worden.

Von Industrie 4.0 bis zur IoT-Branche

Die im Jahr 2024 verabschiedete EU-Verordnung zur Stärkung der Cybersicherheit in Europa tritt stufenweise in Kraft und verlangt von der Wirtschaft ab 2026 bzw. 2027 umfangreiche Maßnahmen zur Abwehr von Hackerangriffen. Der Schwerpunkt liegt dabei über die zentralen Computer- und Netzwerksysteme der Unternehmen hinausgehend auf Geräten, Maschinen und Anlagen, die „eigentlich“ keine Computer sind, aber über digitale Komponenten und einen Internetzugang verfügen. „Das schließt den gesamten Themenkomplex Industrie 4.0 und die komplette IoT-Branche ein“, umreißt Jan Wendenburg die Dimension der neuen EU-Cybersicherheitsvorschriften für die Wirtschaft.

Die Umfrage zeigt trotz der bereits eingeleiteten Maßnahmen, dass ein Großteil der deutschen Industrie bei der Erfüllung der mit dem Cyber Resilience Act verbundenen Standards noch Luft nach oben hat.

‍

IEC 62443-4-2 wird wenig berücksichtigt

So berücksichtigen lediglich 27 Prozent der befragten Firmen die Norm IEC 62443-4-2, die technische Sicherheitsanforderungen für Komponenten industrieller Automatisierungs- und Steuerungssysteme (IACS) definiert. Der etablierte Standard IEC 62443-4-2 bietet etablierte Verfahren zur Erfüllung von technischen Cybersicherheitsanforderungen und hilft so wesentlich eine zukünftige CRA-Compliance zu erreichen.

Die Norm spezifiziert Anforderungen für die Cybersicherheit von Komponenten wie Embedded Systems, Netzwerkkomponenten, Host-Geräte und Softwareanwendungen, basierend auf sieben grundlegenden Anforderungen (Foundational Requirements): Identifikation und Authentifizierung, Nutzungskontrolle, Systemintegrität, Datenvertraulichkeit, eingeschränkter Datenfluss, zeitnahe Reaktion auf Ereignisse und Ressourcenverfügbarkeit. Diese werden in vier Sicherheitsstufen(Security Levels, SL 0-4) eingeteilt, die den Schutzgrad gegen verschiedene Angreiferklassen angeben, von unbeabsichtigtem Missbrauch (SL 1) bis zu intensiven Angriffen (SL 4). Ziel ist es, die Sicherheits­fähigkeiten von Komponenten(SL-C) so festzulegen, dass diese in der Lage sind Attacken ohne zusätzliche Gegenmaßnahmen abzuwehren.

ETSI EN 303 645 findet wenig Beachtung

Ein zweiter für die CRA-Compliance wesentlicher Standard – ETSI EN 303 645– findet laut ONEKEY-Report bei der Produktentwicklung ebenfalls wenig Beachtung. Nur ein Viertel der befragten Unternehmen berücksichtigen diese Norm ETSI EN 303 645, die Cybersicherheitsanforderungen für vernetzte Verbrauchergeräte festlegt, um grundlegenden Schutz vor Cyberangriffen zugewährleisten. Die Norm umfasst 13 Kernanforderungen, darunter sichere Standardkonfigurationen, Schutz personenbezogener Daten, Software-Updates und sichere Kommunikation. Sie ist eng mit dem EU Cyber Resilience Act verbunden, da sie als harmonisierte Norm dient, um CRA-Anforderungen für IoT-Geräte zu erfüllen, insbesondere für die sichere Entwicklung, das Schwachstellenmanagement und die Transparenz. Hersteller können durch Konformität mit ETSI EN 303 645 eine wesentliche Voraussetzung und Basis für die zukünftige CRA-Compliance schaffen, um damit auch die notwendige CE-Kennzeichnung für den EU-Markt zu erhalten.

Nachholbedarf bei Funknorm RED

Nachholbedarf hat die Industrie laut ONEKEY-Report auch beim Standard RED (EN18031). Diese Funkanlagenrichtlinie findet aktuell nur bei 16% der befragten Unternehmen Beachtung, ist jedoch von zentraler Bedeutung für vernetzte Geräte, Anlagen und Maschinen, da immer mehr industrielle Maschinen, Sensoren, Aktoren und andere Digitalprodukte über Funk vernetzt werden. Die Richtlinie soll sicherstellen, dass diese Geräte eine elektromagnetische Verträglichkeit gewährleisten, um Störungen im Funkverkehr zu vermeiden. Sie fordert von den Herstellern, dass ihre Produkte, sowie sie Funktechnologien nutzen, den wesentlichen Anforderungen entsprechen, bevor sie auf den europäischen Markt gebracht werden. Die Erfüllung der Anforderungen des RED-Standards ist ebenfalls ein wichtiger Baustein für die zukünftige Compliance mit dem Cyber Resilience Act.

Jan Wendenburg kommentiert: „Die EU hat mit dem Cyber Resilience Act ein sehr umfangreiches Regelwerk geschaffen, von technischen Normen bis hin zu Meldepflichten. Dem entsprechend hoch sind die Herausforderungen für die Industrie, den CRA vollumfänglich umzusetzen. Genau dies ist jedoch bald die Voraussetzung, um vernetzte Geräte, Systeme und Anlagen in der EU zu verkaufen,in Verkehr zu bringen oder zu betreiben.“

Hilfestellung durch Assessment-Workshops

ONEKEY unterstützt Unternehmen mit praxisnahen Assessment-Workshops (RED-Readiness und CRA-Readiness). In einführenden Sessions erfahren Teilnehmende, welche konkreten Auswirkungen RED und CRA auf ihren Betrieb haben und erhalten darauf basierend einen individuellen Bewertungsplan. Im Rahmen einer detaillierten Prozessüberprüfung werden zentrale Bereiche wie Softwareentwicklung und Schwachstellenmanagement analysiert. Darüber hinaus deckt eine GAP-Analyse bestehende Compliance-Lücken auf und zeigt Möglichkeiten zu deren Behebung. Am Ende des Workshops erhält jedes Unternehmen eine maßgeschneiderte Roadmap, die klar aufzeigt, wie sich die Anforderungen aus RED und CRA strukturiert und effizient umsetzen lassen.