Mit dem EU Cyber Resilience Act (CRA) müssen Hersteller, Importeure und Distributoren strenge Auflagen an die Sicherheit von IoT-Geräten erfüllen. Bei der Anschaffung neuer oder Erweiterung bestehender Steuerungssysteme – auch Anlagen, die CAD-Datensätze verarbeiten und Werkstücke produzieren – sollte die Industrie auf transparente Software- Lieferketten achten.
(Quelle: putilov_denis/stock.adobe.com)
Cyber-Resilienz in der Praxis: Hacker nutzen alle möglichen Einfallstore, um Unternehmen und Organisationen anzugreifen. Einen besonderen Stellenwert nehmen dabei industrielle Steuerungssysteme in Betrieben und Konzernen mit eigener Produktion ein. Gleichzeitig sind diese Systeme durch die Vielzahl unterschiedlicher Geräte und Technologien schwer abzusichern – eine gefährliche Lücke, die Hacker längst erkannt haben und ausnutzen.
Cyber-Resilienz: Den Betrieb am Laufen halten
Als wesentlicher Bestandteil von Energieversorgungs- und Fertigungsanlagen sowie anderen industriellen Betrieben werden industrielle Steuerungssysteme (Industrial Control Systems, ICS) zur Überwachung und Steuerung industrieller Prozesse über IT-OT-Netzwerke hinweg eingesetzt. Gelangt Ransomware oder andere Schadsoftware in diese Systeme, kann dies den Betrieb für Tage oder Wochen lahmlegen und das Risiko erhöhen, dass Pläne, Programme und andere sensible Dokumente aus dem Unternehmen entwendet werden. Neben dem Abfluss von geistigem Eigentum stellt auch die bloße Unterbrechung von Produktionsprozessen, der Produktionsstillstand, ein sehr hohes Risikopotenzial dar, da bereits wenige Tage zur drohenden Zahlungsunfähigkeit und damit zur Insolvenz eines Unternehmens führen können.
Verzögerungen in der Time-to-Market
Alle Produkte mit digitalen Komponenten – auch in modernen Industrieanlagen – sollen zukünftig nach der EU-Kommission keine Cyber-Risiken mehr darstellen. Das fordert der Cyber Resilience Act – ein Gesetz zur „Cyber-Widerstandsfähigkeit“ oder auch Cyber-Resilienz. Künftig müssen diese Anlagen und Produkte während des gesamten Produktlebenszyklus vor Schwachstellen geschützt werden, die von Hackern ausgenutzt werden könnten. Das Gesetz ist nicht nur streng, sondern enthält auch zahlreiche Auflagen für Unternehmen, die solche Steuerungen in Verkehr bringen. Hinzu kommt das Bestandsrisiko von bestehenden Anlagen, die bereits in Nutzung sind. Hier gewährt die EU-Kommission einen Bestandsschutz – werden diese Anlagen jedoch erweitert oder aktualisiert, besteht auch dort Handlungsbedarf nach kommenden Gesetzesvorlagen.
Bei Produktneuentwicklungen ist zu beachten, dass die Time-to-Market in den kommenden Monaten unter der Verordnung leiden wird – Hersteller von ICS-Anlagen müssen automatisierte Analyse- und Prüfroutinen entwickeln, um die EU-Verordnung einhalten zu können. Spezialisierte Softwareanbieter wie zum Beispiel das Europäische Unternehmen Onekey unterstützen die Industrie mit automatisierten Prüfroutinen für die Firmware von IoT- und ICS-Anlagen. Mit dieser Technologie lassen sich ganz ohne Quellcodezugriff nicht nur Schwachstellen bis hin zu den besonders gefährlichen Zero-Day-Schwachstellen aufspüren, sondern auch eine umfassende Software Bill of Materials erstellen, die eine genaue Auflistung aller enthaltenen Softwarekomponenten, auch von Drittanbietern oder Lieferanten, ermöglicht.
SBOM löst viele Probleme
Bislang wissen in der Regel weder Anwender noch Hersteller oder Inverkehrbringer, aus welchen „Zutaten“ Produkte mit digitalen Komponenten und Netzwerkanbindung bestehen. Dies ist jedoch ein Problem, da die Verwendung von Code von Drittanbietern außer Kontrolle gerät – und generell der Einsatz von Open-Source-Software (OSS) in der Industrie weiter zunehmen wird.
OSS wird bereits eingesetzt, um Entwicklungskosten zu senken und Zeit zu sparen. Die Herausforderung besteht darin, dass der Code im OSS-Repository oder eine Komponente mit eigener Firmware Malware, Bugs oder andere Schwachstellen enthalten kann, von denen der Entwickler nichts weiß.
(Spezialisierte Softwareanbieter wie zum Beispiel das Europäische Unternehmen Onekey unterstützen die Industrie mit automatisierten Prüfroutinen für die Firmware von IoT- und ICS-Anlagen. Bild: Onekey)
Industrielle Steuerungssysteme mit langer Lebensdauer
Die EU-Gesetzgebung sieht zudem vor, dass Hersteller für einen Zeitraum von fünf Jahren oder die geplante Lebensdauer für die Sicherheit und Integrität der Komponenten oder Produkte und Anlagen einstehen müssen. Kritisch dabei: Es zählt der kürzere Zeitraum. IoT- und ICS-Anlagen sind in der Industrie – in Fabriken, im Service und in der Produktion – wesentlich länger im Einsatz. Die nutzenden Unternehmen sollten im Hinterkopf behalten, dass der Schutz des EU-Gesetzes irgendwann endet. Unternehmen sollten sich daher in Eigenverantwortung auch danach um den Schutz der Anlagen und ihrer Firmware kümmern – denn auch nach Jahren des Einsatzes besteht die Chance auf eine Zero-Day-Schwachstelle, eine bisher unerkannte Schwachstelle, die auch vorhandene Sicherheitseinrichtungen und Analysetools verborgen geblieben sein kann. Auch das Inverkehrbringen von Produkten mit bekannten Schwachstellen ist künftig verboten. Damit wird zumindest dem Copy-Paste-Engineering mancher Hersteller ein Riegel vorgeschoben, die für die Firmware neuer Produkte auf bereits entwickelte Softwarecodes zurückgreifen und damit häufig unerkannte oder auch bekannte Schwachstellen reproduzieren.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Cyber-Resilienz: Deutschland besonders gefährdet
Nach Berichten der Sicherheitsspezialisten des japanischen Unternehmens TrendMicro standen in den letzten Jahren vor allem Mal- und Greyware ICS-Anlagen im Fokus. Dazu zählen Varianten der Malware-Familien Ryuk, Nefilim, Sodinokibi und LockBit, die allein im Jahr 2020 für mehr als 50 Prozent der ICS-Ransomware-Infektionen verantwortlich waren. Deutschland gehört zu den zehn Ländern weltweit, mit den meisten IT/OT-Netzwerken mit ICS-Endpunkten. Dabei infizieren Hacker überdurchschnittlich häufig ICS-Endpunkte mit ungepatchten für EternalBlue anfälligen Betriebssystemen, um Kryptowährung zu schürfen – ohne dass der Systembetreiber davon weiß. EternalBlue bezeichnet eine Schwachstelle im Server-Message-Block-Protokoll von Windows-Netzwerken, die auch von der WannaCry-Ransomware ausgenutzt wurde, um Netzwerke zu infizieren.
Eine Untersuchung von Cyberangriffen auf die Automobilindustrie ergab zudem, dass vor allem die Bereiche entlang der Produktions- und Lieferkette betroffen waren. Besonders hart traf es die Zulieferer, die in 67 Prozent der untersuchten Vorfälle betroffen waren. Kleinere Zulieferer sind in der Regel schlechter gegen Cyberangriffe geschützt. Die Auswirkungen sind oft immens und führen zu Produktionsverzögerungen oder gar -ausfällen. Das größte Risiko stellen derzeit Ransomware-Attacken dar: Im Zeitraum der VicOne-Studie wurden 43 Unternehmen aus der Automobilindustrie Opfer solcher Angriffe.
Für einen wirksamen Schutz und mehr Cyber-Resilienz sollten daher bei neuen Anlagengenerationen und Erweiterung, bzw. Aktualisierung bestehender Anlagen zunächst– die Hersteller sorgen, wie es auch der Cyber Resilience Act vorsieht. Dies entbindet die Betreiber jedoch nicht von der Pflicht, für Altanlagen und ICS-Systeme, die nicht mehr vom Hersteller betreut werden, durch regelmäßige Analysen Vorsorge zu treffen.
2,5 Prozent des Umsatzes
Für Hersteller, Distributoren und Importeure von IoT- und ICS-Anlagen sieht die EU-Kommission zudem empfindliche Strafen vor, wenn Sicherheitslücken in Geräten entdeckt und nicht ordnungsgemäß gemeldet und geschlossen werden: 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes des Vorjahres – je nachdem, welcher Wert höher ist. Hersteller und Inverkehrbringer solcher Anlagen sind zudem verpflichtet, innerhalb von 24 Stunden ENISA – die Agentur der Europäischen Union für Cybersicherheit – zu informieren, wenn sie von einer ausnutzbaren Sicherheitslücke für eines ihrer Produkte erfahren. Eine Überschreitung der Meldefristen ist bereits sanktionierbar. Hinzu kommt auch eine unverzügliche Informationspflicht der Nutzer. Hier sind die einzelnen IT-Abteilungen in den Unternehmen gefordert, schnellstmöglich zu reagieren.
:quality(80)/p7i.vogel.de/wcms/98/65/9865bb37efa18f890ba0381f5f1ebc1c/flexcompute-cadence-03-20-2026-01-3000x1687v1.jpeg "Symbolbild. (Bild: © ArtemisDiana/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/5a/905ad3ef4029c4f561e92e350a2d01c1/vertiv-ki-fabriken-03-20-2026-01-2560x1439v1.jpeg "KI-Fabriken: Simulationsfähige Modelle für Stromversorgungs- und Kühlungsinfrastruktur beschleunigen die Bereitstellung und minimieren Ausführungsrisiken. (Bild: Vertiv)")
:quality(80)/p7i.vogel.de/wcms/32/3c/323c6832bf58859c693be5be2c2ee783/uds-qiapo-3621x2035v1.jpeg "Der Physiker Peter P. Orth (links) und der Informatiker Markus Bläser erforschen im gemeinsamen Projekt QIAPO mit den Industriepartnern Infineon und BMW sowie dem Quanten-Start-up planqc, wie sich die Vorteile von klassischen Rechnern und Quantencomputern zusammenführen lassen. (Bild: © Thorsten Mohr/UdS)")
:quality(80)/p7i.vogel.de/wcms/30/80/30802bdfc6fec5aeec13c4e7685b9ac6/hexagon-geomagic-03-18-2026-01-1029x579v1.jpeg "Individuell angepasste Einlagen, erstellt mit Geomagic Freeform. (Bild: Mit freundlicher Genehmigung von Advanced 3D, via Hexagon.)")
:quality(80)/p7i.vogel.de/wcms/3a/68/3a68517c209ad45a524cd141cfdf4301/cadfem-antriebstechnik-experten-teaser-03-17-2026-01-1260x709v1.jpeg "Das Systemmodell bildet die Abstrahlleistung über den Hochlauf realitätsnah ab und nutzt dafür reduzierte elektromagnetische und mechanische Modelle. Der Workflow ist modular und lässt sich um Regelung, Applikation und weitere Komponenten erweitern. (Bild: Cadfem)")
:quality(80)/p7i.vogel.de/wcms/fb/ea/fbea636d89f7d81c23fbb4960b81d762/dn-20solutions-asc-03-04-2026-01-3228x1814v1.jpeg "DN Solutions eröffnet das neue Additive Solutions Center Europe in Gütersloh. Abgebildet sind v.l.n.r.: Markus Kottmann (Erster stellvertretender Bürgermeister der Stadt Gütersloh, CDU), Soonhyo Kwon (Leiterin Additive Manufacturing Korea bei DN Solutions) und Dr.-Ing. Vino Suntharakumaran (Vice President Additive Solutions bei DN Solutions). (Bild: DN Solutions)")
:quality(80)/p7i.vogel.de/wcms/59/10/5910b32f2a5f3dc2576866f20048c08f/machineering-iphysics-03-02-2026-01-2487x1400v1.jpeg "Das iPhysics Release 3.6 bietet zahlreiche Neuheiten. (Bild: vanitjan, machineering)")
:quality(80)/p7i.vogel.de/wcms/28/3e/283e08f9b812c4a452ab9f5bd0918680/mum-ai-20act-02-25-2026-01-2729x1536v1.jpeg "KI-generierter Werkzeugkoffer. In bestimmten Anwendungsfällen schreibt der EU AI Act Transparenzpflichten für KI-generierte Inhalte vor. Das Online-Seminar „KI für Einsteiger“ vermittelt grundlegendes Wissen zum Einsatz von KI-Tools, zum verantwortungsvollen Umgang mit KI-Systemen sowie zu den Anforderungen des EU AI Acts. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/86/f7/86f7fdf2dbe51a57f811ed8b4ba140ac/acm-2026-01-201-03-1536x864v1.jpeg "Mit Digitalisierung wächst der Bedarf an Rechenzentren. Drees & Sommer nutzt Autodesk Forma in den frühen Projektphasen. (Bild: Drees & Sommer)")
:quality(80)/p7i.vogel.de/wcms/99/01/99013d36d6a1a4d6998c15e1e1e2a36a/adobestock-1325405458-5760x3238v1.jpeg "Datengrundlagen, Schnittstellen zwischen Planung und Controlling sowie Prozesse neu denken. (Bild: AdobeStock/AndiAzis)")
:quality(80)/p7i.vogel.de/wcms/ad/2d/ad2d6ae5e023dcfffb245544095d0f7d/contelos-intergeo2025-08-18-2025-01-3000x1687v1.jpeg "Symbolbild. (Bild: © Harsha/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/55/9e55e665d8208b9ee44af7c6c13f8abb/esri-autodesk-20forma-06-26-2025-01-3000x1687v1.jpeg "Symbolbild: GIS-Anwendungen (Bild: © Harsha/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/7c/407cafe8eceed4900fad5ad5a47e0137/autodesk-forma-bmw-03-18-2026-02-2599x1463v1.jpeg "BIM-Planungsmodell der Energiezentrale im BMW Group Werk Irlbach-Straßkirchen, erstellt mithilfe von Autodesk Forma (10/2025). (Bild: BMW Group)")
:quality(80)/p7i.vogel.de/wcms/43/c0/43c07790623cb4556720682ef3d758d1/crm-whitepaper-vegefox-02-04-2026-01-3000x1687v1.jpeg "(Bild: © vegefox.com/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/25/9b25d3e3eb0a08d218c55e71ff32aa56/aveva-nvidia-ki-fabriken-03-17-2026-01-3111x1748v1.jpeg "Symbolbild. (Bild: © Grispb/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/e0/b7e06d0e5ef551e347582acbaba61856/bild1-841x473v1.jpeg "Die neue RINGSPANN-Kupplung GHF (li.) ist beidseitig verzahnt, eignet sich für Nenndrehmomente bis 304.538 Nm und gleicht Winkelverlagerungen von bis zu 3,50° aus. Die einseitig verzahnte Variante GHR (re.) überträgt bis zu 116.750 Nm und gleicht Winkelversätze bis 1,75° aus. (Bild: RINGSPANN)")
:quality(80)/p7i.vogel.de/wcms/56/05/56052a8e605cbbec5c42efb31d63f45a/synopsys-edt-platform-03-13-2026-01-1600x899v1.jpeg "(Bild: Synopsys)")
:quality(80)/p7i.vogel.de/wcms/0f/33/0f338f76e17bc7bea4f85a4ed3345520/stratasys-partnerprogrammv1.jpeg "Von links: Industrieller 3D-Drucker Stratasys F900 und automatisiertes FDM-Stützentfernungssystem PostProcess BASE. (Bild: Stratasys)")
:quality(80)/p7i.vogel.de/wcms/bb/ff/bbffd89f72a1f367a68ec0bbd9bf9a94/luft-raumfahrt-grl-andrey-20popov-1576883584-2811x1582v1.jpeg "Symbolbild. (Bild: © Andrey Popov/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/07/3e078c3466d132c4194edd5ec46c3ef2/hm25-13-000704-4000x2250v1.jpeg "(Bild: Deutsche Messe AG)")
:quality(80)/p7i.vogel.de/wcms/ef/68/ef68cf62fcc009cb9ea0f1c7c199036d/ametek-faro-05-07-2025-01-3558x2003v1.jpeg "Symbolbild. (Bild: © oatawa/stock.adobe.com))")
:quality(80)/p7i.vogel.de/wcms/c0/cf/c0cfa4401f981f4b03aa1fbb092a7a41/visualcomponents-omniverse-screencap1-1920x1079v1.jpeg "Das neue Visual Components Omni Experience Add-on bietet Herstellern und Systemintegratoren fotorealistische Echtzeit-Visualisierungen in einem integrierten Viewport. (Bild: Visual Components)")
:quality(80)/p7i.vogel.de/wcms/b6/d5/b6d55bdbbe36dc6f1e33b293226b127b/moblurf-09-19-2025-01-1456x818v1.jpeg "Forschende haben MoBluRF entwickelt: ein zweistufiges Framework, das die Erstellung genauer, scharfer 4D-NeRFs (dynamisches 3D) aus unscharfen Videos ermöglicht, die mit alltäglichen Handheld-Geräten aufgenommen wurden. (Bild: Chung-Ang University)")
:quality(80)/p7i.vogel.de/wcms/1a/b7/1ab75c184a78d2cdaa605b61721c9a48/reichelt-20elektronik-reinwald-08-06-2025-01-3000x1687v1.jpeg "Christian Reinwald, Head of Product Management & Marketing bei Reichelt Elektronik. (Bild: Reichelt Elektronik)")
:fill(fff,0)/p7i.vogel.de/companies/69/b2/69b2e05867134/logo-heidrive-allient-rgb.png "logo-heidrive-allient-rgb (Heidrive GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/15/0d/150d6d229bb1e9cd950df97a4aa8af6f/cra-onekey-02-05-2026-01-3553x2000v1.jpeg "Symbolbild. (Bild: © PX Media)")
:quality(80)/p7i.vogel.de/wcms/de/cf/decf5083a694c93df2dcb7dbcbbb1d88/bosch-20rexroth-ctrlx-20os-10-07-2025-01-2727x1535v1.jpeg "Das Linux-basierte Betriebssystem ctrlX OS bietet zahlreiche Neuerungen. (Bild: Bosch Rexroth AG)")