{"id":1867,"date":"2026-04-23T14:50:16","date_gmt":"2026-04-23T14:50:16","guid":{"rendered":"https:\/\/www.pickplace.de\/?page_id=1867"},"modified":"2026-06-29T12:34:10","modified_gmt":"2026-06-29T12:34:10","slug":"cyber-resilience-act","status":"publish","type":"projekt","link":"https:\/\/www.pickplace.de\/de\/projekte\/cyber-resilience-act\/","title":{"rendered":"Cyber Resilience Act"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Der Cyber Resilience Act (<a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/?uri=CELEX%3A32024R2847\" target=\"_blank\" rel=\"noopener\">CRA<\/a>) verpflichtet Unternehmen mit Hardware, Embedded Software, industrieller Elektronik, vernetzter Sensorik oder eigenst\u00e4ndigen Softwareprodukten zu operativen \u00c4nderungen im Engineering. Anforderungen an Entwicklung, Dokumentation, Wartung und Schwachstellenmanagement werden Bestandteil des regul\u00e4ren Produktgesch\u00e4fts. Besonders relevant ist das f\u00fcr Branchen mit langen Lebenszyklen, technischen Variantenst\u00e4nden und komplexen Lieferketten. Die Verordnung richtet sich an Hersteller, Importeure und weitere Wirtschaftsakteure, die Produkte mit digitalen Elementen auf dem europ\u00e4ischen Markt bereitstellen. Damit wird Cybersicherheit nicht mehr als separates IT-Thema behandelt, sondern als feste Eigenschaft eines Produkts.<\/p>\n\n\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Inhalt<\/h2><nav><ul><li class=\"\"><a href=\"#u\">Umfang<\/a><ul><li class=\"\"><a href=\"#was-ist-der-cyber-resilience-act\">Produkte mit digitalen Elementen<\/a><\/li><li class=\"\"><a href=\"#cybersicherheit-wird-teil-der-entwicklungsdisziplin\">Cybersicherheit als Teil der Entwicklungsdisziplin<\/a><\/li><li class=\"\"><a href=\"#schwachstellenmanagement-endet-nicht-mit-dem-serienstart\">Schwachstellenmanagement gem\u00e4\u00df Cyber Resilience Act<\/a><\/li><li class=\"\"><a href=\"#dokumentation-wird-zum-technischen-nachweis\">Dokumentation und Nachweisf\u00e4higkeit<\/a><\/li><li class=\"\"><a href=\"#auswirkungen-auf-lieferketten-und-zukaufkomponenten\">Lieferketten und Zukaufkomponenten<\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#bedeutung-fur-industrielle-elektronik-und-maschinenbau\">Bedeutung f\u00fcr industrielle Elektronik und Maschinenbau<\/a><\/li><li class=\"\"><a href=\"#organisatorische-folgen-im-unternehmen\">Organisatorische Folgen im Unternehmen<\/a><\/li><li class=\"\"><a href=\"#der-cra-als-engineering-thema\">Secure Engineering und Security By Design<\/a><\/li><li class=\"\"><a href=\"#ausgangspunkt-netzwerkfahige-elektronik-ist-ein-angreifbares-system\">Ma\u00dfnahmen f\u00fcr die Elektronik-Entwicklung<\/a><ul><li class=\"\"><a href=\"#tara-als-pflichtinstrument-der-technischen-bewertung\">TARA: Threat And Risk Assessment<\/a><\/li><li class=\"\"><a href=\"#security-by-design-als-architekturprinzip\">Security by Design<\/a><\/li><li class=\"\"><a href=\"#anforderungen-an-hardware-und-software-getrennt-betrachten\">Anforderungen Hardware und Software<\/a><\/li><li class=\"\"><a href=\"#penetration-testing-als-nachweis-technischer-wirksamkeit\">Penetration Testing<\/a><\/li><li class=\"\"><a href=\"#regelmassiger-prozess-statt-einmalprojekt\">Regelm\u00e4\u00dfiger Prozess<\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#fazit\">Cyber Resilience Act Summary<\/a><\/li><\/ul><\/nav><\/div>\n\n\n\n<h2 id=\"u\" class=\"wp-block-heading\">Umfang<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Unternehmen fragen sich zurecht: Was ist der Cyber Resilience Act? Es handelt sich hierbei um eine EU-Verordnung, die einheitliche Cybersicherheitsanforderungen f\u00fcr Produkte mit digitalen Elementen festlegt, also f\u00fcr Hardware, Software und vernetzte Ger\u00e4te. F\u00fcr Elektronik bedeutet das: Ger\u00e4te wie IoT-Produkte, Steuerungen, Router, Sensoren, Smart-Home-Ger\u00e4te oder embedded Systeme m\u00fcssen schon beim Design sicher entwickelt werden. Hersteller m\u00fcssen Schwachstellen behandeln, Sicherheitsupdates bereitstellen und dokumentieren, wie das Produkt gegen Cyberangriffe gesch\u00fctzt ist. Auch Importeure und H\u00e4ndler sind betroffen, wenn sie solche Produkte auf dem EU-Markt bereitstellen. Praktisch f\u00fchrt der CRA in der Elektronik zu mehr Aufwand bei Entwicklung, Firmware-Updates, Risikobewertung, CE-Konformit\u00e4t und Produktpflege \u00fcber den Lebenszyklus.<\/p>\n\n\n\n<h3 id=\"was-ist-der-cyber-resilience-act\" class=\"wp-block-heading\">Produkte mit digitalen Elementen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Der CRA verwendet den Begriff \u201eProdukte mit digitalen Elementen\u201c. Gemeint sind Produkte, deren Funktion ganz oder teilweise durch Software, Firmware, Datenverarbeitung oder Vernetzung gepr\u00e4gt ist. Darunter fallen klassische Konsumprodukte ebenso wie industrielle Systeme, Maschinenkomponenten, Steuerger\u00e4te, Kommunikationsmodule oder softwarebasierte Anwendungen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr die Industrie ist entscheidend, dass viele etablierte Produkte heute digitale Elemente enthalten, auch wenn sie historisch als reine Elektronik- oder Maschinenprodukte verstanden wurden. Ein Steuerger\u00e4t mit Ethernet-Schnittstelle, ein Diagnosezugang \u00fcber USB, eine Weboberfl\u00e4che f\u00fcr Parametrierung oder ein cloudf\u00e4higes Gateway f\u00fchren ein Produkt in einen Bereich, in dem Cybersicherheit regulatorisch relevant wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die praktische Folge ist eine Neubewertung des Portfolios. Unternehmen m\u00fcssen nicht nur neue Produkte betrachten, sondern auch bestehende Plattformen, Variantenfamilien und Serienprodukte. Viele Organisationen werden feststellen, dass ein erheblicher Teil des Angebots unter den CRA f\u00e4llt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der CRA unterscheidet zwischen allgemeinen Produkten mit digitalen Elementen und besonders relevanten Produktgruppen mit erh\u00f6hten Anforderungen. Ein gro\u00dfer Teil der Produkte f\u00e4llt in den Bereich der regul\u00e4ren Konformit\u00e4tsbewertung mit interner Herstellerverantwortung. Dazu z\u00e4hlen zahlreiche Standardprodukte aus dem Software- und Consumer-Umfeld.<\/p>\n\n\n\n<div class=\"wp-block-stackable-image stk-block-image stk-block stk-3801cb0\" data-block-id=\"3801cb0\"><style>.stk-3801cb0 .stk-img-figcaption{text-align:center !important;font-style:italic !important;}.stk-3801cb0 .stk-img-wrapper{width:50% !important;}@media screen and (max-width:689px){.stk-3801cb0 .stk-img-wrapper{width:100% !important;}}<\/style><figure><span class=\"stk-img-wrapper stk-image--shape-stretch\"><img loading=\"lazy\" decoding=\"async\" class=\"stk-img wp-image-1870\" src=\"https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/produkt-kategorien-cyber-resilience-act.jpg\" width=\"1812\" height=\"1595\" alt=\"Infografik zur Produktklassifizierung: Cyber Resilience Act: Selbstbewertung, Class I\/II, 90% der Produkte, Third-Party-Assessment.\"\/><\/span><figcaption class=\"stk-img-figcaption\">Produktklassifizierung gem\u00e4\u00df Cyber Resilience Act<\/figcaption><\/figure><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr definierte Produktgruppen aus Annex III gelten strengere Anforderungen. Diese Produkte sind in Class I und Class II unterteilt. Ma\u00dfgeblich sind technische Funktion, Einsatzbereich und potenzieller Einfluss auf Sicherheit und Infrastruktur.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Class I umfasst unter anderem Produkte wie Netzwerkinterfaces, Firewalls oder bestimmte Mikrocontroller-Plattformen. Hier erfolgt die Bewertung typischerweise \u00fcber harmonisierte Standards oder geeignete Pr\u00fcfverfahren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Class II betrifft besonders sensible oder systemrelevante Komponenten wie Prozessoren, Secure Elements, Betriebssysteme oder industrielle Firewalls. In diesen F\u00e4llen steigt die regulatorische Pr\u00fcftiefe, h\u00e4ufig unter Einbindung externer Stellen.<\/p>\n\n\n\n<h3 id=\"cybersicherheit-wird-teil-der-entwicklungsdisziplin\" class=\"wp-block-heading\">Cybersicherheit als Teil der Entwicklungsdisziplin<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Der CRA verankert Cybersicherheit in der Entstehung des Produkts. Konstruktion, Elektronikentwicklung, Softwareentwicklung und Systemarchitektur m\u00fcssen Sicherheitsanforderungen fr\u00fchzeitig ber\u00fccksichtigen. Das betrifft nicht nur sichtbare Sicherheitsfunktionen, sondern grundlegende Designentscheidungen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Eine Architektur mit unn\u00f6tig offenen Schnittstellen, ungesch\u00fctzten Servicezug\u00e4ngen oder fehlender Trennung von Vertrauensbereichen erzeugt Risiken, die sich sp\u00e4ter nur mit hohem Aufwand korrigieren lassen. Der CRA erh\u00f6ht daher die Bedeutung fr\u00fcher Architekturentscheidungen. Sicherheitsaspekte geh\u00f6ren in Anforderungsmanagement, Systemdesign, Schnittstellendefinition, Auswahl von Komponenten und Integrationskonzepte.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In Embedded-Systemen betrifft das regelm\u00e4\u00dfig Themen wie sichere Bootketten, Schutz von Debug-Zug\u00e4ngen, Integrit\u00e4t von Firmware, Rechtekonzepte f\u00fcr Wartungsfunktionen, sichere Kommunikationskan\u00e4le und kontrollierte Update-Mechanismen. Auch Speicher- und Laufzeitschutz durch MPU, TrustZone oder vergleichbare Mechanismen gewinnt an Bedeutung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Unternehmen mit etablierten Entwicklungsprozessen k\u00f6nnen diese Anforderungen strukturiert integrieren. Organisationen ohne klar definierte Engineering-Gates werden st\u00e4rker nachsteuern m\u00fcssen, weil Sicherheit nachvollziehbar geplant und umgesetzt werden muss.<\/p>\n\n\n\n<h3 id=\"schwachstellenmanagement-endet-nicht-mit-dem-serienstart\" class=\"wp-block-heading\">Schwachstellenmanagement gem\u00e4\u00df Cyber Resilience Act<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ein zentrales Element des CRA ist die fortlaufende Verantwortung nach dem Inverkehrbringen. Produkte bleiben auch nach Auslieferung sicherheitsrelevant. Hersteller ben\u00f6tigen Prozesse, mit denen Schwachstellen aufgenommen, bewertet, priorisiert und behoben werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das ver\u00e4ndert die klassische Sicht vieler Produktunternehmen. In zahlreichen Industriebereichen galt der Serienstart lange als \u00dcbergang von Entwicklung in Support. Der CRA verschiebt dieses Modell. Sicherheitsarbeit l\u00e4uft \u00fcber den Lebenszyklus weiter. Dazu geh\u00f6ren Meldestrukturen f\u00fcr externe Hinweise, interne Bewertung technischer Risiken, Entwicklung von Korrekturma\u00dfnahmen, Test neuer Softwarest\u00e4nde und geregelte Bereitstellung von Updates.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Produkte im Feld stellt sich damit unmittelbar die Frage nach technischer Updatef\u00e4higkeit. Systeme ohne sichere Updatefunktion verursachen im Fall einer Schwachstelle hohe operative Kosten, weil Serviceeins\u00e4tze, manuelle Nacharbeiten oder Hardwaretausch erforderlich werden k\u00f6nnen. Bereits deshalb ist Updatef\u00e4higkeit nicht nur ein Compliance-Thema, sondern ein wirtschaftlicher Faktor.<\/p>\n\n\n\n<h3 id=\"dokumentation-wird-zum-technischen-nachweis\" class=\"wp-block-heading\">Dokumentation und Nachweisf\u00e4higkeit<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Der CRA verlangt Nachweisf\u00e4higkeit. Unternehmen m\u00fcssen zeigen k\u00f6nnen, wie Sicherheitsanforderungen umgesetzt wurden. Das betrifft technische Dokumentation ebenso wie interne Prozesse und Konformit\u00e4tsunterlagen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In der Praxis reicht eine allgemeine Produktbeschreibung daf\u00fcr nicht aus. Erforderlich sind nachvollziehbare Informationen zu Architektur, digitalen Funktionen, eingesetzten Komponenten, relevanten Schnittstellen, Sicherheitsmechanismen, Updatekonzepten und Prozessen zum Umgang mit Schwachstellen. Auch Pr\u00fcfungen, Validierungen und Freigaben gewinnen an Gewicht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Viele Unternehmen besitzen umfangreiche Entwicklungsdaten, jedoch keine strukturierte Security-Dokumentation. Der CRA f\u00fchrt daher h\u00e4ufig nicht zu v\u00f6llig neuen T\u00e4tigkeiten, sondern zur Notwendigkeit, vorhandene technische Arbeit systematisch dokumentierbar zu machen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Engineering-Organisationen ist das ein wichtiger Punkt: Wer Architekturentscheidungen, Tests und Freigaben sauber f\u00fchrt, reduziert sp\u00e4teren Aufwand bei Nachweisen erheblich.<\/p>\n\n\n\n<h3 id=\"auswirkungen-auf-lieferketten-und-zukaufkomponenten\" class=\"wp-block-heading\">Lieferketten und Zukaufkomponenten<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Digitale Produkte bestehen selten nur aus Eigenentwicklung. Betriebssysteme, Middleware, Funkmodule, Bibliotheken, Open-Source-Komponenten, Halbleiterplattformen und externe Softwarebausteine sind Standard. Der CRA erh\u00f6ht damit automatisch die Relevanz des Lieferantenmanagements.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Hersteller muss wissen, welche Komponenten im Produkt verwendet werden, welche Abh\u00e4ngigkeiten bestehen und wie Sicherheitsupdates aus der Lieferkette verf\u00fcgbar werden. Besonders kritisch sind Bausteine ohne langfristige Pflege, nicht dokumentierte Fremdsoftware oder Plattformen mit unklarer Security-Roadmap.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Im Embedded-Umfeld betrifft das beispielsweise Mikrocontroller-SDKs, Linux-Distributionen, Kommunikationsstacks, Wireless-Module oder propriet\u00e4re Drittbibliotheken. Fehlt Transparenz, entstehen Risiken bei Wartbarkeit und Nachweisf\u00fchrung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Deshalb wird St\u00fccklistenlogik im Softwarebereich wichtiger. Software Bill of Materials, Versionskontrolle und geregelte Freigaben werden f\u00fcr viele Hersteller zum Standardwerkzeug.<\/p>\n\n\n\n<h2 id=\"bedeutung-fur-industrielle-elektronik-und-maschinenbau\" class=\"wp-block-heading\">Bedeutung f\u00fcr industrielle Elektronik und Maschinenbau<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der CRA wird h\u00e4ufig mit Consumer-IoT verbunden. F\u00fcr den industriellen Bereich ist er ebenso relevant. Moderne Maschinen, Steuerungen und Anlagen enthalten Netzwerktechnik, Fernwartung, Datenlogging, Feldbus-Gateways und servicef\u00e4hige Embedded-Systeme. Damit entstehen dieselben Grundfragen wie in anderen digitalen Produkten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In industriellen Umgebungen kommen zus\u00e4tzliche Anforderungen hinzu. Lebenszyklen sind l\u00e4nger, Freigabeprozesse strenger, \u00c4nderungen im Feld aufwendiger und Stillstandszeiten teuer. Ein Sicherheitsupdate kann hier nicht isoliert betrachtet werden, sondern muss mit Betrieb, Validierung und Produktionsrealit\u00e4t zusammenpassen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das verlangt robuste Engineering-Prozesse. Unternehmen ben\u00f6tigen klare Strategien, wie Security-Updates gepr\u00fcft, freigegeben und ausgerollt werden, ohne die Verf\u00fcgbarkeit technischer Systeme zu gef\u00e4hrden.<\/p>\n\n\n\n<h2 id=\"organisatorische-folgen-im-unternehmen\" class=\"wp-block-heading\">Organisatorische Folgen im Unternehmen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der CRA ist nicht Aufgabe einzelner Security-Spezialisten. Betroffen sind Produktmanagement, Entwicklung, Qualit\u00e4t, Einkauf, Service, Dokumentation und Gesch\u00e4ftsleitung. Rollen und Verantwortlichkeiten m\u00fcssen eindeutig sein.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Produktmanagement muss Anforderungen und Marktverantwortung steuern. Entwicklung muss technische Ma\u00dfnahmen umsetzen. Einkauf muss Lieferantenf\u00e4higkeit bewerten. Service ben\u00f6tigt Prozesse f\u00fcr Feldma\u00dfnahmen. Qualit\u00e4t und Management brauchen Transparenz \u00fcber Risiken, Reifegrad und Nachweise.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In vielen mittelst\u00e4ndischen Unternehmen wird dadurch erstmals eine formalisierte Product-Security-Struktur entstehen. Das kann durch dedizierte Rollen, klare Freigabemechanismen oder integrierte Verantwortlichkeiten im bestehenden Qualit\u00e4tsmanagement erfolgen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Cybersicherheit wird also bei Produkten mit digitalen Elementen ein durchg\u00e4ngiger Entwicklungsprozess von Anforderungen, Architektur und Implementierung bis zu Verifikation, Penetration Testing, Updates und Schwachstellenmanagement. Der CRA st\u00e4rkt genau diesen Lifecycle-Ansatz, bei dem TARA, Security Requirements und regelm\u00e4\u00dfige Re-Assessment-Zyklen fester Bestandteil der Produktpflege werden.<\/p>\n\n\n\n<div class=\"wp-block-stackable-image stk-block-image stk-block stk-e3147c5\" data-block-id=\"e3147c5\"><style>.stk-e3147c5 .stk-img-figcaption{text-align:center !important;font-style:italic !important;}.stk-e3147c5 .stk-img-wrapper{width:50% !important;}@media screen and (max-width:689px){.stk-e3147c5 .stk-img-wrapper{width:100% !important;}}<\/style><figure><span class=\"stk-img-wrapper stk-image--shape-stretch\"><img loading=\"lazy\" decoding=\"async\" class=\"stk-img wp-image-1871\" src=\"https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/cyber-resilience-act-prozess-cyber-security-v-modell.jpg\" width=\"2391\" height=\"1881\" alt=\"CRA Diagramm: Sicherheitsziele, Funktionen und Tests \u2013 Fokus auf embedded software und funktionale Sicherheit.\" srcset=\"https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/cyber-resilience-act-prozess-cyber-security-v-modell.jpg 2391w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/cyber-resilience-act-prozess-cyber-security-v-modell-300x236.jpg 300w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/cyber-resilience-act-prozess-cyber-security-v-modell-1024x806.jpg 1024w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/cyber-resilience-act-prozess-cyber-security-v-modell-768x604.jpg 768w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/cyber-resilience-act-prozess-cyber-security-v-modell-1536x1208.jpg 1536w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/cyber-resilience-act-prozess-cyber-security-v-modell-2048x1611.jpg 2048w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/cyber-resilience-act-prozess-cyber-security-v-modell-15x12.jpg 15w\" sizes=\"auto, (max-width: 2391px) 100vw, 2391px\" \/><\/span><figcaption class=\"stk-img-figcaption\">CRA: Sicherheitsziele, Funktionen und Tests werden Prozess<\/figcaption><\/figure><\/div>\n\n\n\n<h2 id=\"der-cra-als-engineering-thema\" class=\"wp-block-heading\">Secure Engineering und Security By Design<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Unternehmen, die den CRA ausschlie\u00dflich juristisch betrachten, greifen zu kurz. Die eigentliche Arbeit liegt im Engineering. Sicherheitsarchitektur, Updatef\u00e4higkeit, Komponentenstrategie, Testbarkeit und technische Dokumentation entscheiden dar\u00fcber, wie aufwendig Compliance tats\u00e4chlich wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wer Produkte mit modularer Softwarestruktur, sauberer Schnittstellentrennung und nachvollziehbarer Konfiguration entwickelt, schafft g\u00fcnstigere Voraussetzungen. Wer historisch gewachsene Plattformen mit ungepflegten Altkomponenten betreibt, wird h\u00f6here Aufw\u00e4nde sehen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Deshalb ist der CRA auch ein Modernisierungstreiber. Viele notwendige Ma\u00dfnahmen verbessern nicht nur regulatorische Lage, sondern auch Wartbarkeit, Produktqualit\u00e4t und Beherrschbarkeit komplexer Systeme.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sobald Elektronik durch Firmware oder Software gesteuert wird und zus\u00e4tzlich Schnittstellen zu Netzwerken, Serviceger\u00e4ten oder anderen Teilnehmern besitzt, entsteht eine Angriffsfl\u00e4che. Genau an dieser Stelle setzt der CRA an. Die Verordnung fordert nicht einzelne isolierte Sicherheitsfunktionen, sondern einen nachvollziehbaren Sicherheitsansatz \u00fcber den gesamten Produktlebenszyklus.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Unternehmen bedeutet das: Sicherheit muss als technischer Entwicklungsprozess organisiert werden.<\/p>\n\n\n\n<h2 id=\"ausgangspunkt-netzwerkfahige-elektronik-ist-ein-angreifbares-system\" class=\"wp-block-heading\">Ma\u00dfnahmen f\u00fcr die Elektronik-Entwicklung<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Ger\u00e4t mit Ethernet, WLAN, Bluetooth, CAN-over-IP, Mobilfunk, USB-Serviceport, Webinterface, Fernwartung oder Datenaustausch mit anderen Teilnehmern ist aus Sicht des CRA ein relevantes digitales Produkt. Auch interne Netzwerke in Maschinen, Anlagen oder Fahrzeugen sind technisch bedeutsam, weil Kommunikation immer potenzielle Angriffsvektoren er\u00f6ffnet. Der Begriff des Netzwerks ist dabei bewusst sehr weit <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Mikrocontroller ohne klassische Internetverbindung kann betroffen sein, wenn er \u00fcber ein Gateway erreichbar ist, Diagnosedaten austauscht oder Teil eines gr\u00f6\u00dferen vernetzten Systems ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Daraus folgt eine zentrale Interpretation: Nicht die Branche entscheidet \u00fcber die Relevanz, sondern die technische Exponierung des Produkts.<\/p>\n\n\n\n<div class=\"wp-block-stackable-columns stk-block-columns stk-block stk-f980141 stk-block-background stk--has-background-overlay\" data-block-id=\"f980141\"><style>.stk-f980141 {background-image:url(https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/cyber-resilience-act-cra-elektronik-1200.jpg) !important;border-top-left-radius:var(--stk--preset--border-radius--xx-large, 32px) !important;border-top-right-radius:var(--stk--preset--border-radius--xx-large, 32px) !important;border-bottom-right-radius:var(--stk--preset--border-radius--xx-large, 32px) !important;border-bottom-left-radius:var(--stk--preset--border-radius--xx-large, 32px) !important;overflow:hidden !important;}<\/style><div class=\"stk-row stk-inner-blocks stk-block-content stk-content-align stk-f980141-column\">\n<div class=\"wp-block-stackable-column stk-block-column stk-column stk-block stk-3eb05d6\" data-v=\"4\" data-block-id=\"3eb05d6\"><style>.stk-3eb05d6 {border-top-width:0px !important;border-right-width:0px !important;border-bottom-width:0px !important;border-left-width:0px !important;}.stk-3eb05d6-container{padding-top:var(--stk--preset--spacing--60, 2.25rem) !important;padding-right:var(--stk--preset--spacing--60, 2.25rem) !important;padding-bottom:var(--stk--preset--spacing--60, 2.25rem) !important;padding-left:var(--stk--preset--spacing--60, 2.25rem) !important;}<\/style><div class=\"stk-column-wrapper stk-block-column__content stk-container stk-3eb05d6-container stk--no-background stk--no-padding\"><div class=\"stk-block-content stk-inner-blocks stk-3eb05d6-inner-blocks\">\n<div class=\"wp-block-stackable-heading stk-block-heading stk-block-heading--v2 stk-block stk-61c3574\" id=\"heading-placeholder\" data-block-id=\"61c3574\"><style>.stk-61c3574 {align-items:center !important;max-width:500px !important;min-width:auto !important;display:flex !important;}<\/style><h2 class=\"stk-block-heading__text\"><span style=\"color: #ffffff;\" class=\"stk-highlight\">Cyber Security f\u00fcr Embedded Systems <\/span><\/h2><\/div>\n\n\n\n<div class=\"wp-block-stackable-text stk-block-text stk-block stk-628a190\" data-block-id=\"628a190\"><p class=\"stk-block-text__text\"><span style=\"color: #ffffff;\" class=\"stk-highlight\"><strong>Entwickeln Sie mit PICKPLACE robuste und cybersichere Elektronik.<\/strong><\/span> <br><span style=\"color: #ffffff;\" class=\"stk-highlight\"><strong>Jetzt Projekt anfragen und Ihr elektronisches System effizient in die Umsetzung bringen.<\/strong><\/span><\/p><\/div>\n\n\n\n<div class=\"wp-block-stackable-button-group stk-block-button-group stk-block stk-f2b9581\" data-block-id=\"f2b9581\"><div class=\"stk-row stk-inner-blocks stk-block-content stk-button-group\">\n<div class=\"wp-block-stackable-button stk-block-button stk-block stk-027953f\" data-block-id=\"027953f\"><a class=\"stk-link stk-button stk--hover-effect-darken\" href=\"https:\/\/www.pickplace.de\/embedded-systems-cyber-security\/\"><span class=\"stk-button__inner-text\">Mehr <\/span><\/a><\/div>\n<\/div><\/div>\n<\/div><\/div><\/div>\n<\/div><\/div>\n\n\n\n<h3 id=\"tara-als-pflichtinstrument-der-technischen-bewertung\" class=\"wp-block-heading\">TARA: Threat And Risk Assessment<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ein zentrales Werkzeug zur praktischen Umsetzung ist die <a href=\"https:\/\/www.pickplace.de\/threat-and-risk-assessment\/\" data-type=\"page\" data-id=\"1298\">Threat Analysis and Risk Assessment<\/a> (TARA). Der CRA verwendet nicht den Begriff TARA, verlangt jedoch inhaltlich genau diesen Denkansatz: Risiken erkennen, Bedrohungen bewerten, Schutzma\u00dfnahmen ableiten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Elektronik mit Software bedeutet das, dass zun\u00e4chst die Systemarchitektur verstanden werden muss. Danach werden Assets identifiziert. Dazu z\u00e4hlen Firmware, Bootloader, Schl\u00fcsselmaterial, Konfigurationsdaten, Kommunikationskan\u00e4le, Messwerte, Aktorik, Safety-Funktionen oder Produktionsparameter.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Im n\u00e4chsten Schritt werden Bedrohungen untersucht. Typische Beispiele sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Manipulation von Firmware<\/li>\n\n\n\n<li>unautorisierter Zugriff auf Wartungsfunktionen<\/li>\n\n\n\n<li>Netzwerkangriffe auf Dienste und Ports<\/li>\n\n\n\n<li>Denial of Service gegen Steuerfunktionen<\/li>\n\n\n\n<li>Diebstahl kryptografischer Schl\u00fcssel<\/li>\n\n\n\n<li>Replay- oder Spoofing-Angriffe<\/li>\n\n\n\n<li>Rechteausweitung \u00fcber Softwarefehler<\/li>\n\n\n\n<li>Missbrauch unsicherer Updatepfade<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Aus dieser Analyse entstehen technische Anforderungen. Ohne TARA fehlt die belastbare Grundlage, welche Schutzma\u00dfnahmen tats\u00e4chlich notwendig sind.<\/p>\n\n\n\n<h3 id=\"security-by-design-als-architekturprinzip\" class=\"wp-block-heading\">Security by Design<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Der CRA verlangt, dass Sicherheit nicht nachtr\u00e4glich aufgesetzt wird. F\u00fcr Elektronikprodukte hei\u00dft das, dass <a href=\"https:\/\/www.pickplace.de\/embedded-systems-cyber-security\/\" data-type=\"page\" data-id=\"954\">Security<\/a> bereits in Architektur, Hardwareauswahl und Softwarestruktur verankert werden muss.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein typisches Embedded-System sollte daher bereits in der Konzeptphase folgende Fragen beantworten:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Wie wird Vertrauen im System aufgebaut?<br>Welche Komponente startet zuerst?<br>Wie wird Firmware gepr\u00fcft?<br>Welche Schnittstellen sind im Feld aktiv?<br>Welche Rechte hat ein Service-Techniker?<br>Wie werden Schl\u00fcssel gespeichert?<br>Wie werden Logs erzeugt?<br>Wie kann ein Update sicher eingespielt werden?<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Security by Design f\u00fchrt regelm\u00e4\u00dfig zu Ma\u00dfnahmen wie Secure Boot, signierten Images, deaktivierten Debug-Schnittstellen im Feld, Segmentierung interner Funktionen, rollenbasierten Zug\u00e4ngen und geh\u00e4rteten Kommunikationsprotokollen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wird dies erst sp\u00e4t ber\u00fccksichtigt, steigen Aufwand, Kosten und technische Risiken erheblich.<\/p>\n\n\n\n<h3 id=\"anforderungen-an-hardware-und-software-getrennt-betrachten\" class=\"wp-block-heading\">Anforderungen Hardware und Software<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Viele Unternehmen betrachten Security prim\u00e4r als Softwarethema. Bei vernetzter Elektronik greift das zu kurz. Der CRA betrifft das Gesamtsystem. Deshalb m\u00fcssen Hardware- und Softwareanforderungen getrennt und gemeinsam betrachtet werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Auf Hardwareseite sind h\u00e4ufig relevant:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Secure Elements oder HSM<\/li>\n\n\n\n<li>gesch\u00fctzte Schl\u00fcsselablage<\/li>\n\n\n\n<li>Debug-Port-Kontrolle<\/li>\n\n\n\n<li>MPU \/ Memory Protection<\/li>\n\n\n\n<li>TrustZone oder vergleichbare Isolation<\/li>\n\n\n\n<li>physische Manipulationsresistenz je nach Produktklasse<\/li>\n\n\n\n<li>sichere Reset- und Recovery-Pfade<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Auf Softwareseite sind regelm\u00e4\u00dfig erforderlich:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>sichere Authentisierung<\/li>\n\n\n\n<li>Rollen- und Rechtekonzepte<\/li>\n\n\n\n<li>H\u00e4rtung von Netzwerkdiensten<\/li>\n\n\n\n<li>Input Validation<\/li>\n\n\n\n<li>Speicherfehlervermeidung<\/li>\n\n\n\n<li>Update- und Rollback-Konzepte<\/li>\n\n\n\n<li>Logging sicherheitsrelevanter Ereignisse<\/li>\n\n\n\n<li>sichere Konfiguration im Auslieferzustand<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Erst das Zusammenspiel beider Ebenen ergibt ein belastbares Sicherheitsniveau.<\/p>\n\n\n\n<h3 id=\"penetration-testing-als-nachweis-technischer-wirksamkeit\" class=\"wp-block-heading\">Penetration Testing<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Der CRA verlangt wirksame Sicherheitsma\u00dfnahmen. In der Praxis reicht eine reine Dokumentation daf\u00fcr nicht aus. Unternehmen m\u00fcssen pr\u00fcfen, ob Schutzma\u00dfnahmen tats\u00e4chlich funktionieren. Penetration Testing ist daf\u00fcr ein zentrales Instrument.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bei Embedded-Produkten umfasst das typischerweise:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Netzwerkscans und Serviceanalyse<\/li>\n\n\n\n<li>Authentisierungspr\u00fcfungen<\/li>\n\n\n\n<li>Test unsicherer Standardzug\u00e4nge<\/li>\n\n\n\n<li>Update-Manipulationsversuche<\/li>\n\n\n\n<li>Webinterface-Tests<\/li>\n\n\n\n<li>API-Tests<\/li>\n\n\n\n<li>Protokollfuzzing<\/li>\n\n\n\n<li>Hardwarezugriff \u00fcber UART, JTAG, SWD oder \u00e4hnliche Schnittstellen<\/li>\n\n\n\n<li>Extraktion von Firmware und Secrets<\/li>\n\n\n\n<li>Pr\u00fcfung von Rechteeskalationen<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Penetration Testing sollte risikobasiert geplant werden. Kritische Funktionen, externe Schnittstellen und privilegierte Zug\u00e4nge erhalten Priorit\u00e4t.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr viele Unternehmen ist dies der \u00dcbergang von theoretischer Security zu messbarer Produktsicherheit.<\/p>\n\n\n\n<h3 id=\"regelmassiger-prozess-statt-einmalprojekt\" class=\"wp-block-heading\">Regelm\u00e4\u00dfiger Prozess<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die vielleicht wichtigste Interpretation des CRA lautet: Cybersicherheit ist kein Projekt mit Enddatum. Sie ist ein laufender Prozess.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Produkt, das heute freigegeben wurde, kann morgen durch neue Schwachstellen, neue Angriffsmethoden oder neue Abh\u00e4ngigkeiten betroffen sein. Deshalb m\u00fcssen Hersteller wiederkehrende Abl\u00e4ufe etablieren:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>regelm\u00e4\u00dfige Neubewertung der TARA<\/li>\n\n\n\n<li>Schwachstellenmonitoring f\u00fcr eingesetzte Komponenten<\/li>\n\n\n\n<li>Pflege von Open-Source-Abh\u00e4ngigkeiten<\/li>\n\n\n\n<li>Security Regression Tests<\/li>\n\n\n\n<li>erneute Penetration Tests bei gr\u00f6\u00dferen Releases<\/li>\n\n\n\n<li>Patch- und Updateprozesse<\/li>\n\n\n\n<li>Incident Handling<\/li>\n\n\n\n<li>Dokumentationspflege<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Besonders bei Produkten mit langen Feldlaufzeiten entscheidet dieser Prozess \u00fcber die tats\u00e4chliche Compliance.<\/p>\n\n\n\n<h2 id=\"fazit\" class=\"wp-block-heading\">Cyber Resilience Act Summary<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Cyber Resilience Act macht Cybersicherheit zu einer verbindlichen Produkteigenschaft im europ\u00e4ischen Markt. F\u00fcr Hersteller digitaler Produkte entsteht eine dauerhafte Verantwortung von der Architekturentscheidung bis zum Ende des Supportzeitraums. Besonders in Embedded-Systemen, industrieller Elektronik und vernetzten Ger\u00e4ten verschiebt sich der Schwerpunkt auf saubere technische Strukturen, dokumentierte Prozesse und wartbare Plattformen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Unternehmen, die fr\u00fchzeitig Engineering, Lieferkette und Lifecycle-Management auf diese Anforderungen ausrichten, schaffen belastbare Voraussetzungen f\u00fcr k\u00fcnftige Produktgenerationen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Mit dem Cyber Resilience Act (CRA) hat die Europ\u00e4ische Union einen regulatorischen Rahmen geschaffen, der Cybersicherheit direkt in die Produktverantwortung \u00fcberf\u00fchrt. <\/p>\n","protected":false},"featured_media":0,"template":"","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-1867","projekt","type-projekt","status-publish","hentry"],"blocksy_meta":[],"_links":{"self":[{"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/projekt\/1867","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/projekt"}],"about":[{"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/types\/projekt"}],"version-history":[{"count":9,"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/projekt\/1867\/revisions"}],"predecessor-version":[{"id":2661,"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/projekt\/1867\/revisions\/2661"}],"wp:attachment":[{"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/media?parent=1867"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/categories?post=1867"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/tags?post=1867"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}