ZÖGERLICHEUMSETZUNG

Dementsprechend zögerlich ist die Umsetzung. Lediglich 14 Prozent (!) der befragten Firmen haben bereits umfangreiche Maßnahmen eingeleitet, um für die Einhaltung der CRA-Vorschriften bei ihren vernetzten Geräten, Maschinen und Anlagen zu sorgen. Immerhin: 38 Prozent sind bereits erste Schritte in Richtung CRA-Compliance gegangen. Allerdings haben ebenso viele Unternehmen bislang noch nichts unternommen, um den neuen EU-Regularien zu genügen.

BEDROHUNGSLAGE VERSCHÄRFT SICH WEITER

Diese Zurückhaltung ist nicht nur wegen der strengen gesetzlichen Anforderungen und der drohenden Konsequenzen bei Nichteinhaltung problematisch, sondern auch angesichts einer zunehmenden Bedrohung durch Hacker und des möglichen Schadens. Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundeskriminalamt (BKA) gehen davon aus, dass sich die Sicherheitslage in den nächsten Jahren weiter zuspitzen wird. Bereits 2024 belief sich der Gesamtschaden durch Cybercrime-Vorfälle in Deutschland auf geschätzte 178,6 Milliarden Euro – ein Anstieg von 30,4 Milliarden Euro gegenüber dem Vorjahr.

SBOM bereitet 29 Prozent der Firmen SORGEN

Als größte Herausforderung beim Cyber Resilience Act stufen 37 Prozent der von ONEKEY befragten Unternehmen die Meldepflicht binnen 24 Stunden ein. An zweiter Stelle steht die Erfüllung der Prinzipien „Secure by Design“ und „Secure by Default“ (35 Prozent). 29 Prozent bereitet die Erstellung einer Software Bill of Materials (SBOM) und die damit verbundene Pflicht, die Übersicht über alle Software-Komponenten und deren Schwachstellen zu behalten, Sorgen.

Eine Software Bill of Materials (SBOM) ist eine strukturierte Auflistung aller Softwarekomponenten, die in einem digitalen Produkt enthalten sind – inklusive Bibliotheken, Abhängigkeiten und Versionen. Sie fungiert gewissermaßen als „Stückliste“ für Software. Die SBOM ist von zentraler Bedeutung: Sie ermöglicht Transparenz, beschleunigt das Schwachstellenmanagement und ist Voraussetzung für eine schnelle Reaktion bei Sicherheitsvorfällen. Ohne SBOM bleibt unklar, ob eine Sicherheitslücke das eigene Produkt betrifft – mit potenziell gravierenden Folgen für Hersteller, Inverkehrbringer und Kunden. Die Etablierung standardisierter SBOM-Prozesse ist daher ein entscheidender Schritt hin zu resilenter Software-Sicherheit, insbesondere in Produktionsumgebungen.

„Der CRA verlangt eine detaillierte Auflistung aller Programme, Bibliotheken und Abhängigkeiten mit genauen Versionsnummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen und einen dokumentierten Überblick inklusive Einschätzung über alle bekannten Schwachstellen und Sicherheitslücken.“ – Jan Wendenburg, CEO, ONEKEY

Die Umfrage hat ergeben, dass 44 Prozent der Unternehmen mit der Erstellung einer SBOM für ihre Produktpalette begonnen haben. Jedoch haben nur 12 Prozent (!) dies für alle Produkte abgeschlossen, während bei 32 Prozent bislang lediglich einzelne Produkte berücksichtigt wurden. Ein Viertel hat noch gar nicht gestartet, ein weiteres Viertel fühlt sich nicht betroffen oder ist unsicher diesbezüglich.

SBOM: VIELE UNTERNEHMEN TAPPEN NOCH IM DUNKELN

Trotz der eindeutigen Vorgabe des CRA, eine Software Bill of Materials (SBOM) vorzuhalten, hat etwa die Hälfte der Unternehmen in diesem Bereich noch keinen klaren Überblick. Das ist umso bemerkenswerter, als Transparenz über eingesetzte Softwarekomponenten und strukturierte Sicherheitsprozesse zu den zentralen Bausteinen moderner Cyberresilienz zählen – bislang jedoch in vielen Betrieben noch nicht ausreichend verankert sind.

RICHTUNG STIMMT, SPEED MUSS ERHÖHT WERDEN

Obgleich noch viele Unzulänglichkeiten und Lücken bestehen, zeigt der Report, dass sich viele Unternehmen auf den Weg in Richtung CRA-Compliance gemacht haben. 40 Prozent führen laut Umfrage regelmäßige Firmware- und Software-Updates durch. 27 Prozent setzen automatisierte Tools zur Cybersicherheitsprüfung ein. 16 Prozent verlassen sich auf Audits und Zertifizierungen von dritter Seite.

SPEZIFISCHE CRA‑COMPLIANCE BISLANG DIE AUSNAHME

Allerdings verfügen lediglich 15 Prozent der Firmen über CRA-spezifische Compliance-Vorschriften. Aber mehr als ein Drittel (34 Prozent) decken nach eigener Einschätzung die CRA-Vorgaben im Rahmen ihrer allgemeinen Cybersicherheitsrichtlinien ab. 21 Prozent haben den Cyber Resilience Act noch nicht in ihrer Compliance berücksichtigt.

KNAPPES DRITTEL HAT MIT CRA-SCHULUNGEN BEGONNEN

Ein knappes Drittel (32 Prozent) der befragten Unternehmen hat damit begonnen, ihre Belegschaft gezielt mit Schulungen auf die CRA-Anforderungen vorzubereiten. 30 Prozent führen regelmäßig – mindestens einmal im Jahr – entsprechende Weiterbildungsmaßnahmen durch. Weitere 28 Prozent geben an, gelegentlich CRA-Qualifizierungen anzubieten (alle zwei bis drei Jahre). Beinahe ein Fünftel (19 Prozent) verzichtet auf Know-how-Transfer in Sachen Cyber Resilience Act.

VERANTWORTUNGSFRAGE WIRD UNTERSCHIEDLICH BEANTWORTET

Die Frage, wer und welche Abteilung für die Erfüllung der CRARichtlinie verantwortlich zeichnet, beantworten die Unternehmen sehr unterschiedlich. Bei 46 Prozent der Firmen ist die IT-Sicherheit zuständig, bei 21 Prozent die Compliance, bei 16 Prozent die Rechtsabteilung. Bei 18 Prozent kümmert sich die Geschäftsführung persönlich darum, 15 Prozent haben die Zuständigkeit an die Produktentwicklung abgetreten. Es ist wohl davon auszugehen, dass in vielen Fällen die Verantwortung für die CRA-Compliance über mehrere Abteilungen hinweg verteilt ist.

„Die EU hat mit dem Cyber Resilience Act ein sehr umfangreiches Regelwerk geschaffen, von technischen Normen bis hin zuMeldepflichten. Dementsprechend hoch sind die Herausforderungen für die Industrie, den CRA vollumfänglich umzusetzen.“— Jan Wendenburg, CEO, ONEKEY

‍

DIFFUSE LAGE BEIDEN ZUSTÄNDIGENPOSITIONEN

Dementsprechend diffus stellt sich die Lage bei den verantwortlichen Positionen dar. 18 Prozent der Firmen weisen die Zuständigkeit für die CRA-Compliance dem Produktmanager zu, 17Prozent dem Compliance-Manager, 15 Prozent dem Chief Information Security Officer (CISO), 11 Prozent dem CyberrsecurityAnalysten und 8 Prozent dem Leiter der Softwareentwicklung.Auch hier ist sicherlich in vielen Fällen von überlappenden Verantwortungen auszugehen.

Tatsächlich haben 28 Prozent der befragtenUnternehmen eine Arbeitsgruppe aus verschiedenen Abteilungen zusammengestellt, um die Firma„CRA-fit“ zu machen. In 14 Prozent der Firmen ist eineigenes Team im Einsatz, das sich dezidiert der Erfüllung der CRA-Normen widmet. Die häufigste Teamstärke liegt bei vier bis zehn Personen (in 18 Prozentaller Fälle). Ein knappes Drittel (32 Prozent) haben keineArbeitsgruppe für den Cyber Resilience Act eingerichtet.

HANDLUNGSEMPFEHLUNGEN

Auf Basis der Studienergebnisse ergeben sich für Unternehmen folgende zentrale Empfehlungen:

1. Secure by Design/Secure by Default als Basis:

konsequente Ausrichtung aller Produktentwicklungen bei vernetzten Geräten, Maschinen und Anlagen an den Grundsätzen der Cybersicherheit in allen Design-, Entwicklungs-, Produktions- und Wartungsphasen?

2. Transparenz schaffen:

Nur die Einführung lückenloser SBOMs, regelmäßige Schwachstellen-Scans und klare Produktdokumentationen schaffen die vom CRA zwingend vorgeschriebene Transparenz.

3. Automatisierte Sicherheits- und Compliance-Prüfungen:

Um den CRA-Pflichten nachzukommen – insbesondere der Meldepflicht und der Gewährleistung der Cybersicherheit über den gesamten Produktlebenszyklus hinweg – ist eine regelmäßige, idealerweise automatisierte, Überprüfung der bekannten und neu gemeldeten Schwachstellen unerlässlich. Dazu gehört auch die Beurteilung zur Relevanz und deren Dokumentation.

4. Verantwortung klären:

Es empfiehlt sich die Benennung eines Produktsicherheitsbeauftragten mit OT-/IoT-Kompetenz. Ebenso sinnvoll sind abgestimmte Rollen zwischen IT, OT und Entwicklung in Bezug auf den CRA.

5. Kompetenz aufbauen – auch mit externen Partnern.

Schulungen, Weiterbildung und Partnerschaften mit spezialisierten Dienstleistern sind essenziell – auch zur Kompensation des Fachkräftemangels. Ohne externe Unterstützung und den Einsatz automatisierter Lösungen – insbesondere zur Erstellung und permanenten Pflege lückenloser Software Bills of Materials und zur Überwachung der bekannten und neuen Schwachstellen in allen digitalen Produkten – wird die CRA-Compliance kaum zu erreichen sein.

TIME TO ACT!

Rund zwei Drittel der Unternehmen sind mit dem Cyber Resilience Act vertraut, die Hälfte davon allerdings nur teilweise. Höchste Zeit für alle Firmen, sich auf den CRA einzustellen!

Gut die Hälfte aller befragten Firmen hat bereits erste Maßnahmen eingeleitet, um dem CRA zu genügen; aber nur 15 Prozent sind dabei schon weit fortgeschritten. Tempo bei der Umsetzung beschleunigen!

Das Sicherheitsprinzip „Secure by Design/Default“ stellt die größte Herausforderung dar, gefolgt von der Erstellung einer SBOM. Ein knappes Drittel besitzt zumindest für einige Produkte eine SBOM; aber nicht einmal 15 Prozent haben eine SBOM für ihre gesamte Produktpalette. Dringend handeln: Engineering auf „Secure by Design/Default“ einstellen und schnellstmöglich eine SBOM für alle vernetzten Produkte generieren!

In knapp der Hälfte der Unternehmen liegen CRA-bezogene Compliance-Vorschriften vor, überwiegend allerdings nur allgemein gefasst. CRA-Compliance zur Top-Priorität erklären!

40 Prozent führen regelmäßig Firmware- und Software-Updates durch. 27 Prozent setzen automatische Tools zur Überprüfung der Cybersicherheit ein. Auf automatisierte Lösungen umstellen – andernfalls ist CRA-Compliance nicht zu erreichen!

Ein Drittel schult ihre Belegschaft in Bezug auf CRA-Compliance. Mehr Schulung ist angesagt!

Mehr als ein Drittel der Unternehmen hat Sicherheitsvorfälle aufgrund der Nichteinhaltung von CRA-Vorschriften erlebt. Die Verantwortung für die Einhaltung der CRA-Anforderungen liegt in fast der Hälfte der Firmen bei der IT-Abteilung. CRA-Compliance betrifft nicht nur die IT – alle betroffenen Abteilungen einbeziehen.