Neue EU-Vorgaben zur Cybersicherheit stellen Unternehmen vor erhebliche Herausforderungen: Verpflichtungen zur Meldung, Erstellung von Software-Listen und Anpassungen an „Secure by Design“-Standards
ONEKEY IoT & OT Cybersecurity Report 2025: „Es ist Zeit für den Endspurt in Richtung CRA.“
Die deutsche Industrie erkennt die Relevanz des EU Cyber Resilience Act (CRA) nicht in dem Maße an, das angesichts der damit verbundenen Anforderungen für Hersteller, Importeure und Vertriebsunternehmen vernetzter Geräte, Maschinen und Systeme notwendig wäre. Dies geht aus dem „IoT & OT Cybersecurity Report 2025“ des Düsseldorfer Unternehmens ONEKEY hervor.
„Im Herbst 2026 werden die im CRA festgelegten Meldepflichten vollständig wirksam“, erklärt Jan Wendenburg, CEO von ONEKEY. „Ein Jahr später treten dann alle anderen Verpflichtungen in Kraft. Daher befinden wir uns jetzt im Endspurt. Der Bericht zeigt jedoch, dass dies in der Wirtschaft bisher kaum spürbar ist.“ Für den Bericht wurden 300 deutsche Industriefirmen zu ihrem Status und ihren Planungen bezüglich der Sicherheit industrieller Steuerungssysteme (Operational Technology, OT) sowie IoT-Geräten befragt – die zentralen Themen der EU-Cybersicherheitsverordnung. Der vollständige Bericht kann auf der Website von ONEKEY heruntergeladen werden: https://www.onekey.com/de/resource/iot-ot-cybersecurity-report-2025.
Laut den Ergebnissen sind lediglich etwa ein Drittel (32 Prozent) der Unternehmen mit den Anforderungen des EU Cyber Resilience Act umfassend vertraut. Weitere 36 Prozent haben sich zumindest bereits damit beschäftigt. Allerdings haben mehr als ein Viertel (27 Prozent) das Thema bislang ignoriert. Die Umsetzung erfolgt entsprechend zögerlich; nur 14 Prozent (!) der befragten Firmen haben bereits umfassende Maßnahmen ergriffen, um die Einhaltung der CRA-Vorgaben bei ihren vernetzten Geräten sicherzustellen. Immerhin haben 38 Prozent erste Schritte unternommen – jedoch ebenso viele Unternehmen berichten laut dem „IoT & OT Cybersecurity Report 2025“, dass sie noch nichts unternommen haben.
Umfangreiche Pflichten durch CRA
Der ONEKEY-Bericht stuft diese Zurückhaltung als „erstaunlich“ ein; schließlich sind die Verpflichtungen des EU Cyber Resilience Act weitreichend. Hersteller müssen ihre Produkte so gestalten, dass sie von Anfang an sicher sind („Security by Design“) und während ihres gesamten Lebenszyklus den Anforderungen des CRA entsprechen können. Dazu gehört auch Schutz vor unbefugtem Zugriff sowie Gewährleistung von Datenintegrität und -vertraulichkeit sowie Verfügbarkeit aller Funktionen. Zudem müssen aktiv ausgenutzte Schwachstellen oder schwerwiegende Vorfälle innerhalb von 24 Stunden an die europäische Cybersicherheitsbehörde ENISA sowie das zuständige nationale CSIRT gemeldet werden.
Zudem sind Anbieter verpflichtet, regelmäßig Sicherheitsupdates bereitzustellen, um bekannte Schwachstellen zu beheben und somit die Sicherheit ihrer Produkte zu gewährleisten; dazu zählt auch eine umfassende Dokumentation aller Produkte einschließlich einer Software-Stückliste (Software Bill of Materials), um Transparenz über Komponenten herzustellen.
Jan Wendenburg betont: „Es reicht nicht aus, alle diese Vorgaben zu erfüllen; vielmehr muss auch nachgewiesen werden können, dass man mit den Anforderungen des CRA konform ist.“
Praktische Herausforderungen für Unternehmen
Im Rahmen einer Umfrage wollte ONEKEY herausfinden , welche praktischen Herausforderungen Unternehmen im Zusammenhang mit dem Cyber Resilience Act bewältigen müssen . Die Firmen konnten dabei mehrere Aspekte benennen . An erster Stelle steht für insgesamt 37 % dieser Betriebe die Pflicht zur Meldung sicherheitskritischer Vorfälle innerhalb eines Zeitraums von nur 24 Stunden . Darauf folgt mit einem Anteil von ebenfalls hohen35 %die Einhaltung der Kriterien „Secure by Design“und„Secure by Default“.29 %der Befragten sehen zudem bei Erstellung einer Software-Stückliste(SBOM )die größte Herausforderung.Darüber hinaus empfinden fast ebenso viele Firmen Schwierigkeiten darin , einen Überblick über ihre Verwaltungsoftware-Schwachstellenzu behalten .
Jan Wendenburg erläutert dazu :„Viele Hersteller digitaler Geräte , Maschinenund Anlagenkonzentrierten sich bislang hauptsächlich auf deren Funktionalität , ohne dabei ausreichend auf mögliche Angriffsflächen durchCyberattackenzu achten.DurchdenCyberResilienceActist es nun zwingend erforderlich,dass beide Aspekte gleichwertig behandeltwerden.Doch vielenUnternehmen fällt es schwer,dieseDoppelfokussierungzu erreichen.“Er weist darauf hin,dass eine Vielzahlvon Produktenunterdieser neuenEU-Verordnungfallen,wobei diesesSpektrumvon digitalen SpielzeugenundSmartHome-Gerätenbis hin zu industriellen Steuerungsanlagenreicht.
Wandel im Denken bei Führungskräften
„In vielen Marktsegmenten war Cybersicherheit bis dato primär darauf ausgelegt,sich gegen Angriffe abzusichern,währendderSchutzderProduktevorCyberangriffennurwenigBeachtungfand“,sagt JanWendenburg.Er räumt ein :„Dieser WandelinDenkenbeiFührungskräften hat begonnen,naturgemäß benötigt er aber seine Zeit.“Gleichzeitig weist er aufdie weitreichenden Konsequenzen hin,wennUnternehmendemCyberResilienceActnicht ausreichend Aufmerksamkeit schenken : „VernetzteGeräte,MaschinenundAnlagen,diedenenAnforderungendesCRA nicht genügen,können künftiginEU-nichtmehr verkauftoder betriebenwerden.WegenEntwicklungszeitenvon zwei bis drei Jahren besteht daher höchste Eile.“
BeiVerstößengegenEU-Vorschriften drohen empfindliche Geldstrafenvon biszuv15 Millionen Euro oder2,.%des weltweiten Jahresumsatzes – je nachdem welcher Betrag höherist.Zusätzlich bestehtdasRisiko persönlicher HaftungfürVorstandoder Geschäftsführung bzw.die Verantwortlichen.
Besorgniserregende Sicherheitslage -OT wird vernachlässigt
Die Konformität zumCRAistfürUnternehmennichtnur wichtigumRegulierungsanforderunge nzu erfüllen,sondernauchumsichselbst-undihrekundenwirksamvorsteigendemCy berkriminalität zuschützen.BBehörden wiedasBundesamtfürSicherheitinderInformationstechnik(BSI)unddasBundeskriminalamt(BKA)gehen davon aus,dass sichdieBedrohungslageinZukunftweiter verschärfenwird.BereitsimJahr2024 belief sichder Gesamtschaden durchalle Artenvonkcybercrime-vorfällenindeutschlandaufgeschätzte1786MilliardenEuro-eineSteigerungum304 MilliardenEuro gegenüberdemVorjahr.
Jan Wendenburg sagt hierzu:“InvielenUnternehmensstehtderschutzderComputersystemeundNetzwerkeimVordergrund,währendindustrielleSteuerungsystemeinMaschinenunde AnlagenbeisicherheitsfragenhäufigwenigBeachtung finden.AberangesichtsderdigitalenTransformationindustriellerProzesse wächstdiedAngriffsflächefürCy berbedrohungenaufShopFloorimmerweiter.DeshalbmüssenWerkshallenundsLogistikzentrenmindestens dieselbenhohenSicherheitsstandardswieRechenzentreneinhalten.“
ONEKEY hat eine Plattform entwickelt,hielfdemUnternehmeneinenKernfunktionenzurIoT-undOT-Cybersicherheitunterstützen,zurSchwachstellenerkennung,biszurSBOM-Validierung,einhaltunggesetzlicherVorschriften.
ONEKEY giltalsführenderSpezialist füProduct-Cybersecurit y&ComplianceManagementinEuropaudistTeildesInvestmentportfoliosvonPricewaterhouseCoopersGermany(PwC).DieeinzigartigeKombinationausautomatisierterONEKE YProduct-Cybersecurity&CompliancePlatform(OCP)miterfahrenemExpertiseundzusaätzlichenBeratungsdienstleistungenermöglichteine schnellesummfassendesAnalysieren,SchnellhilfeUndManagementzurVerbesserungerProduktcy bersicherheit-undCompliancevomEinkaufüberDesign,bishinzumEnd-of-Life.
Kritische Sicherheitslücken sowiedieEinhaltungsvorschriftensindmitKI-basierterTechnologieinnerhalbkurzerZeitvollautomatischidentifizierbar-ohneQuellcode,ZugriffaufinGeräteoderNetze.SomitkannmitintegrierterErstellungvonSoftware-BillofMaterials(SBOM )proaktiv überprüftwerden.“
DigitalCyberTwins“ermöglichenautomatisierteÜberwachungdersicherenUmgebungauchnachReleaseüberdenkomplettenProduktlebenszyklus.“
DerzumPatentangemeldeteintegrierteComplianceWizard(TM)e decktbereitsheuteEU-RichtlinienwieCRA,BestimmungennachIEC62443-4 -2ETSIEN303645UNECER155 u.v.m.ab.
DasProduct-Security-IncidentResponse-Team(PSIRT )wirddurchintegrierteAutomatisierungbeiPriorisierung vonschwächenwirksamunterstützt sodassFehlerbehebung erheblich beschleunigt wird .
InternationaleMarktführerindenBereichenAsien,Eropaun dAmerikaprofitierebereits erfolgreichvondederO NEKYProductcy bersafety&Complianc ePlatform(OCP)
unnddenExpertenausdemTeam
.ONEKY
Für weitere Informationen wenden Sie sich bitte an:
Sara Fortmann,
E-Mail:sara.fortmann@onekey.com,
Kaiserswerther Straße45,
40477 Düsseldorf,Germany
Web:www.onekey.com
PR-Agentur:euromarcom public relations GmbH,
Mühlhohle2,
65205 Wiesbaden,Germany,
E-Mail:team@euromarcom.de,
Web:www.euromarcom.de