ONEKEY: Vulnerability Management und SBOM-Generierung sind Key beim CRA

• Cyber Resilience Act: Effektives Vulnerability Management und automatisierte Erstellung einer Software Bill of Materials werden zentrale Erfolgsfaktoren für die Hersteller vernetzter Produkte
• Gewinner des renommierten „Best in Show Award“ auf der Fachmesse „Embedded Worl

‍Düsseldorf, 16. April 2026 – Mit dem Cyber Resilience Act (CRA) hat die Europäische Union erstmals einen verbindlichen Rechtsrahmen für die Cybersicherheit digitaler Produkte geschaffen. Für die Hersteller vernetzter Geräte, Maschinen und Anlagen rückt damit ein Thema besonders in den Mittelpunkt: das systematische Management von Sicherheitslücken über den gesamten Produktlebenszyklus hinweg. Das Düsseldorfer Cybersicherheits­unternehmen ONEKEY bietet eine Lösung für ein effektives Vulnerability Management einschließlich der automatisierten Generierung einer Software-Stückliste (Software Bill of Materials) an.

Während viele Unternehmen bislang vor allem auf klassische IT-Sicherheitsmaßnahmen gesetzt haben, verlangt der CRA eine deutlich umfassendere Herangehensweise. Hersteller müssen künftig in der Lage sein, Schwachstellen frühzeitig zu erkennen, ihre Risiken zu bewerten, Sicherheitsupdates bereitzustellen und diese Prozesse transparent zu dokumentieren.

Vulnerability Management wird regulatorische Pflicht

Im Zentrum der neuen Anforderungen steht ein strukturiertes Vulnerability Management. Unternehmen müssen kontinuierlich überprüfen, ob ihre Produkte bekannte oder neu entdeckte Sicherheitslücken enthalten. Dazu gehört auch die Analyse aller Software-Komponenten, aus denen moderne Geräte und Anwendungen bestehen.

Besonders relevant ist dabei die zunehmende Komplexität heutiger Software-Lieferketten. Viele Produkte enthalten hunderte oder sogar tausende Open-Source- und Drittanbieter-Komponenten. Jede einzelne dieser Komponenten kann potenziell Sicherheitslücken enthalten, die sich auf das gesamte Produkt auswirken.

Automatisierte Analyse von Firmware und Software-Komponenten

Moderne Sicherheitsplattformen setzen daher verstärkt auf automatisierte Analysen, um Risiken frühzeitig zu erkennen. So ermöglicht es die ONEKEY Product Cybersecurity & Compliance Platform Herstellern, Geräte-Firmware automatisiert zu untersuchen und bekannte Schwachstellen innerhalb weniger Minuten zu identifizieren.

Ein besonderer Vorteil liegt darin, dass die Analyse auch ohne Zugriff auf den Quellcode möglich ist. Stattdessen werden Binärdateien direkt untersucht, wodurch Sicherheits­probleme selbst in komplexen Embedded-Systemen erkannt werden können.

Parallel dazu unterstützt ein automatisiertes Vulnerability Management Unternehmen dabei, Software-Komponenten transparent zu dokumentieren und Risiken systematisch zu priorisieren. Sicherheitsverantwortliche erhalten dadurch einen klaren Überblick darüber, welche Schwachstellen tatsächlich kritisch sind und welche Maßnahmen zur Behebung daher priorisiert umgesetzt werden sollten.

Dazu gehört eine Funktion, um sogenannte angereicherte SBOMS zu erzeugen. Die stark erweiterten Software-Stücklisten enthalten alle relevanten Informationen zu Schwachstellen und die damit erzeugten SBOMS erfüllen alle Anforderungen der Branche und der Aufsichtsbehörden voll­umfäng­lich. Sie enthalten nicht nur die Schwachstellen mit Risikoeinordnung, sondern stellen auch die Nachweise und Begründungen in einer einzigen leicht handhabbaren Datei bereit. Damit wird die SBOM von der bloßen Stückliste zu einem Sicherheitspass mit integrierter Risikobewertung und allen regulatorisch konformen Nachweisen.

Kontinuierliche Überwachung über den gesamten Produktlebenszyklus

Die neuen Funktionen sind Teil des Programms „CRA Fast Start“ von ONEKEY, mit dem die Hersteller vernetzter Geräte, Maschinen und Anlagen ihre Produkte strukturiert und ohne Vorlaufzeiten auf Compliance in Bezug auf den neuen EU-Sicherheitsstandard Cyber Resilience Act überprüfen können. Das Programm basiert auf mehreren Säulen: CRA Readiness Assessment, Erstellung von Software-Stücklisten (SBOMs) als solide Grundlage für eine permanente CRA Compliance, systematisches Vulnerability-Management und kontinuierliches Monitoring.  

Beim strukturierten CRA-Readiness-Assessment wird der Reifegrad eines Unternehmens in Bezug auf die CRA-Anforderungen analysiert. Auf dieser Basis lassen sich Compliance-Lücken identifizieren und priorisierte Handlungsschritte definieren. Im nächsten Schritt dienen ein kontinuierliches Vulnerability Management und ein kontinuierliches Monitoring dazu, Schwachstellen aufzudecken und für Softwarelieferketten Transparenz (durch SBOMs) zu schaffen. Neue Schwachstellen, betroffene Bibliotheken und sicherheitsrelevante Änderungen werden fortlaufend erfasst. Dies unterstützt die Einhaltung der CRA-Pflichten sowie der dazu erforderlichen Governance- und Risikomanagementprozesse

Strategische Bedeutung für Unternehmen

Für Hersteller vernetzter Produkte hat der CRA damit weitreichende Folgen. Unternehmen müssen ihre Entwicklungsprozesse stärker auf Sicherheit ausrichten und neue organisatorische Strukturen schaffen, um die regulatorischen Anforderungen zu erfüllen.

Ein professionelles Vulnerability Management wird damit zu einem zentralen Baustein für die CRA-Compliance. Wer frühzeitig in automatisierte Sicherheitsanalysen und strukturierte Prozesse investiert, kann nicht nur regulatorische Risiken reduzieren, sondern auch das Vertrauen von Kunden und Partnern stärken.

„Der Cyber Resilience Act wird die Produktentwicklung in Europa nachhaltig verändern“, sagt Jan Wendenburg, CEO von ONEKEY, „Cybersicherheit wird künftig nicht mehr als Zusatzfunktion betrachtet, sondern als grundlegende Voraussetzung für digitale Produkte im europäischen Markt.“

‍