Sie sind hier: Startseite » IT Security » Security-Tipps, -Hintergründe und -Wissen

Schwachstellen in der IT-Sicherheit

Cyber Resilience Act: Nicht abwarten, sondern handeln
Der CRA ist die Reaktion der EU auf verschiedenste Sicherheitsbedrohungen, die sich durch die Vernetzung und Digitalisierung der Gesellschaft ergeben

Von Philip Asmuth, Team Lead Security Architecture & Evaluation, und Denis Bock, Sales Manager Cybersecurity, achelos GmbH

Mit dem Cyber Resilience Act (CRA) will die EU die wachsenden Risiken durch Cyberangriffe eindämmen und die Sicherheit digitaler Produkte auf ein einheitliches Niveau heben. Betroffen sind alle Hersteller von Hard- und Software mit digitalen Funktionen, die nun gefordert sind, die neuen Pflichten technisch wie organisatorisch umzusetzen. Spätestens im Dezember 2027 müssen die Vorgaben vollständig erfüllt sein. Die Umstellung wirkt auf den ersten Blick komplex – doch viele Anforderungen lassen sich mit etablierten Sicherheitsstandards und bewährten Verfahren erfüllen. Unternehmen können und sollten zeitnah damit beginnen.

Die Zeit drängt: Seit dem 11. September 2026 müssen Unternehmen Schwachstellen in der IT-Sicherheit melden, ab dem 11. Dezember 2027, 36 Monate nach Inkrafttreten, sind sie verpflichtet, alle Anforderungen des Cyber Resilience Act (CRA) zu erfüllen, um weiterhin im europäischen Wirtschaftsraum verkaufen zu dürfen. Der CRA ist die Reaktion der EU auf verschiedenste Sicherheitsbedrohungen, die sich durch die Vernetzung und Digitalisierung der Gesellschaft ergeben: Spektakuläre Cyberattacken wie WannaCry, NotPetya und SolarWinds ereignen sich nun seit fast 15 Jahren, betreffen weltweit Unternehmen wie Behörden und richten massiven Schaden an. Mit dem CRA will die EU Sicherheitsanforderungen für Produkte mit digitalen Elementen vereinheitlichen – mit dem Ziel, die Resilienz gegenüber Cyberattacken zu erhöhen. Der CRA ist eine Verordnung: Anders als eine Richtlinie gilt er in den EU-Mitgliedstaaten sofort ohne nationale Gesetzgebung. Er ist bereits am 11. Dezember 2024 in Kraft getreten.

Was der CRA für Hersteller bedeutet
Hersteller von Produkten mit digitalen Elementen müssen gemäß CRA Anforderungen erfüllen, die sowohl die Produktsicherheit als auch die Herstellerprozesse betreffen.

Die Vorgaben zur Produktsicherheit regeln sowohl technische Merkmale als auch den sicheren Betrieb und die Kommunikation von Produkten. Gefordert wird unter anderem, dass Daten vertraulich und unverändert verarbeitet werden, dass unbefugter Zugriff verhindert wird und dass zentrale Funktionen auch unter Angriffsszenarien funktionsfähig bleiben. Darüber hinaus sollen mögliche Angriffsvektoren reduziert, Protokollierungs- und Überwachungsmechanismen eingerichtet und Sicherheitsupdates zuverlässig umgesetzt werden. Hinsichtlich ihrer internen Abläufe müssen Unternehmen Strukturen etablieren, um Schwachstellen systematisch zu erfassen, koordiniert zu beheben und Meldungen an zuständige Stellen wie die ENISA fristgerecht weiterzugeben. Wichtig ist außerdem eine lückenlose Dokumentation der eingeführten Verfahren, da nur so die Erfüllung der Nachweispflichten möglich ist. Im Ergebnis reicht es also nicht aus, die reine Einhaltung formaler Vorgaben zu bestätigen – verlangt wird vielmehr der Nachweis funktionierender, in der Praxis gelebter Sicherheitsprozesse.

Die CRA-Regelung erfasst alle Produkte, die digitale Funktionen enthalten – unabhängig davon, ob es sich um Hardware oder Software handelt. Betroffen sind Systeme, die Daten elektronisch verarbeiten und in Netzwerke eingebunden werden können. Der Anwendungsbereich reicht dabei von Alltagsgeräten wie Smartphones oder Webbrowsern über industrielle Steuerungstechnologien bis hin zu besonders sensiblen Bausteinen wie Smartcards oder Hardware-Sicherheitsmodulen.

Unsicherheit bei der Umsetzung
So einfach lassen sich die CRA-Vorgaben aber nicht umsetzen: Viele Detailregeln fehlen noch oder werden erst kurz vor Beginn der verbindlichen Anwendung im Dezember 2027 erwartet. Hersteller müssen daher mit teils vagen und auslegungsbedürftigen Formulierungen arbeiten. So bleibt beispielsweise offen, wie genau die Integrität von Daten sicherzustellen ist oder welche Mechanismen für den Zugriffsschutz als ausreichend gelten. Der eigentliche Verordnungstext umfasst für diese Punkte kaum mehr als eine Seite, verweist aber auf noch zu erarbeitende harmonisierte Standards und Leitlinien der EU-Kommission.

Diese Standards werden in folgende Kategorien gemäß dem New Legislative Framework eingeteilt:

>> Typ A ("horizontale Frameworks") legen die übergreifenden Prinzipien und Begriffe fest, sind aber nicht produktspezifisch.
>> Typ B ("horizontale Standards") formulieren generische Anforderungen und Prozessvorgaben, die produktunabhängig gelten.
>> Typ C ("vertikale Standards") sind auf bestimmte Produktkategorien zugeschnitten, etwa Firewalls oder Steuerungssysteme, und sollen die Anforderungen vollständig abbilden.

Der Zeitplan sieht derzeit vor, dass ein erster Typ-A-Standard im August 2026 erscheint, gefolgt von 14 Typ-B-Standards zwischen September 2026 und Oktober 2027 sowie einem ersten Typ-C-Standard im Oktober 2026.

Auch die für die Auslegung entscheidenden Leitliniendokumente stehen noch aus. Lediglich ein Leitliniendokument zur Klassifizierung von Produkten hat bereits ein Veröffentlichungsdatum – den 11. Dezember 2025. In weiteren Papieren sollen noch Fragen geklärt werden wie: Welche Pflichten ergeben sich aus der Nutzung von Open-Source-Komponenten? Wann gilt ein Produkt als wesentlich verändert? Und nach welchen Kriterien ist eine Risikobewertung vorzunehmen?

Wie hoch der Konformitätsnachweis sein muss, hängt von der Risikoklasse des Produkts ab, ob es sich um Alltagsprodukte, Komponenten mit Cybersecurity-Bezug oder Anwendungen in kritischen Infrastrukturen handelt. Für erstere ist nur eine Selbsterklärung notwendig, letztere benötigen eine externe Prüfung durch unabhängige Dritte.

Handlungsempfehlung
Auch, wenn die Anforderungen auf den ersten Blick erschlagen: Unternehmen stehen beim CRA nicht völlig bei null. Zahlreiche technische wie organisatorische Vorgaben lassen sich durch bewährte Sicherheitsstandards und etablierte Vorgehensweisen abdecken – etwa durch die Normenreihe IEC 62443 oder branchenspezifische IoT-Standards. Wer sich frühzeitig an die Umsetzung macht, profitiert doppelt: Bestehende Prozesse können schon heute genutzt werden, und gleichzeitig werden spätere Engpässe bei Zeit und Kosten vermieden. Warten, bis sämtliche Leitlinien und Standards endgültig vorliegen, ist riskant – sinnvoller ist es, jetzt die Grundlagen für die Umsetzung zu legen und zu beginnen. Ein zentrales Element ist dabei die verpflichtende Risikoanalyse des Produkts. Sie legt offen, was konkret geschützt werden muss, welche realistischen Bedrohungen existieren und wo die größten Schwachstellen liegen. Darauf lassen sich Schutzmaßnahmen zielgerichtet aufbauen.

Auch bei den internen Abläufen lohnt sich ein früher Einstieg. Viele prozessuale Anforderungen des CRA – etwa das Management von Schwachstellen – können schon heute in bestehende Strukturen integriert und weiterentwickelt werden, sodass die Konformität rechtzeitig erreicht wird.

Fazit
Der Cyber Resilience Act wirkt auf den ersten Blick wie ein komplexes regulatorisches Labyrinth. Mit einer praxisnahen Herangehensweise lassen sich die Anforderungen jedoch gut meistern: Unternehmen können bestehende Standards und Best Practices nutzen und die Umsetzung aktiv angehen. Damit können sie nicht nur die Einhaltung der Vorschriften sicherstellen, sondern gleichzeitig ihre Widerstandsfähigkeit gegenüber den kontinuierlich wachsenden Cyberrisiken langfristig stärken. (achelos: ra)

eingetragen: 08.10.25

achelos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Security-Tipps und Background-Wissen

PKI-basiertes Zertifikat-Lifecycle-Management
Digitale Zertifikate spielen eine wichtige Rolle in vernetzten Produktionsanlagen. Sie ermöglichen beispielsweise die Authentifizierung von Geräten und Nutzern oder die Verschlüsselung von Kommunikation. Zertifikate sind daher ein zentraler Baustein für sichere, vertrauenswürdige und zukunftsfähige OT-Umgebungen. Um das Sicherheitsniveau hoch zu halten, müssen sie in regelmäßigen Abständen erneuert werden.
Nachverfolgung des Surfverhaltens
"Man löscht den Browserverlauf, leert den Cache, entfernt alle Cookies und glaubt, wieder unsichtbar zu surfen. Doch beim nächsten Besuch einer bekannten Webseite tauchen plötzlich personalisierte Inhalte oder gezielte Werbeanzeigen auf, als wäre nie etwas gelöscht worden. Hinter diesem Effekt steckt kein Zufall, sondern einige ausgefeilte Tracking-Methoden, wobei Zombie-Cookies eine besondere Herausforderung darstellen. Diese speziellen Cookies speichern Nutzerdaten nicht nur an einer, sondern gleich an mehreren auf dem Computer des Nutzers Stellen. Selbst wenn eine Kopie entfernt wird, rekonstruieren andere Speicherorte die Datei automatisch. So ‚erwacht' das Cookie wieder zum Leben, ohne Zustimmung, oft unbemerkt und mit gravierenden Folgen für den Datenschutz.
Täuschung der Sicherheitsfilter
Sicherheitsforscher warnen vor einer gezielten Welle von Spear-Phishing-Angriffen, die insbesondere Führungskräfte und leitende Angestellte in verschiedenen Branchen ins Visier nehmen. Die Angreifer tarnen ihre Nachrichten als Benachrichtigungen zur Freigabe von OneDrive-Dokumenten und versehen sie mit Betreffzeilen wie "Gehaltsänderung" oder "FIN_SALARY".

Täuschung der Sicherheitsfilter Spam- und Phishing-Kampagnen

Fachbeiträge: Hintergrund

Künstliche Intelligenz in der Cloud
Die Giganten der Tech-Branche planen in diesem Jahr mehr als 300 Milliarden US-Dollar auszugeben, um im KI-Wettrüsten wettbewerbsfähig zu bleiben. Allein Amazon hat über 100 Milliarden US-Dollar angekündigt, während Microsoft, Alphabet und Meta jeweils weitere Dutzende Milliarden für den Bau riesiger Rechenzentren, den Ausbau von GPU-Clustern und die Sicherung ihrer Dominanz im Bereich der Cloud-basierten KI ausgeben wollen. Investitionen in dieser Größenordnung sorgen für Schlagzeilen und viele Unternehmen, die selbst dabei sind, ihre KI-Strategie zu planen, sehen sich gezwungen, ihrerseits hohe Budgets einzuplanen. Für die meisten Unternehmen ist es jedoch weder praktikabel noch notwendig, den Plänen der Hyperscaler zu folgen. IT-Führungskräfte fragen sich deshalb zurecht, was für den Einsatz der KI im Unternehmen tatsächlich benötigt wird.
Tape hat ausgedient, Public Cloud ist verzichtbar
Zwei in der Datensicherung eingesetzte Technologien stehen derzeit bei vielen Unternehmen und Behörden auf dem Prüfstand. Bei Tape sind mit der Einführung von LTO-10 die Verbindungen zu Vorgängergenerationen komplett abgeschnitten worden, was eine vollständige Migration aller Systeme und Daten notwendig macht. Die Public Cloud entpuppt sich in vielen Fällen als wesentlich teurer als angenommen und zudem bestimmen rechtlichen Bedenken hinsichtlich Datenschutz und Datenhoheit die Diskussion.

Fachbeiträge: Grundlagen

Beispiel für die 3-2-1-Backup-Regel
Die 3-2-1-Backup-Regel ist ein einfacher, aber wirkungsvoller Ansatz zur Datensicherung. Diese Strategie gewährleistet, dass Daten unter nahezu allen Umständen sicher und wiederherstellbar sind. Sie minimiert Risiken und maximiert die Ausfallsicherheit, indem mehrere Kopien der Daten an verschiedenen Orten aufbewahrt werden. Interessant wird das Thema jedoch, wenn Cloud-Ressourcen bzw. Cloud-Tools mieteinbezogen werden.
Cloud-Repatriierung richtig planen
Lange galt die Cloud als Endpunkt der IT-Modernisierung. Doch mit dem Aufkommen rechenintensiver KI-Workloads, neuen regulatorischen Pflichten und intransparenten Kostenmodellen stellt sich für viele Unternehmen die Frage neu: Welche Workloads gehören wirklich in die Cloud und welche besser zurück ins eigene Rechenzentrum? Dieser Leitfaden gibt Orientierung für die Rückverlagerung geschäftskritischer Anwendungen.

IT Security

Paket-Lösung aus Hardware und Software
NCP und Rohde & Schwarz Cybersecurity gehen technologische Partnerschaft mit HP.Wie sich dies in der Praxis auswirkt, wird mit der "HP Sure Station" deutlich - einer Lösung, die ein ideales Zusammenspiel von Hardware und Software gewährleistet.
Warum die Chatkontrolle der falsche Weg ist
Der Verband der Internetwirtschaft e.V. eco warnt vor der im Zuge der EU-Verordnung zur Verhütung und Bekämpfung von sexuellem Kindesmissbrauch (CSAM-VO) geplanten Chatkontrolle und fordert die Bundesregierung und EU-Mitgliedstaaten auf, den Vorschlag der dänischen Ratspräsidentschaft abzulehnen.

IT Security - Angriffe & Lecks

Trügerisches Vertrauen in populäre Pakete
Open Source ist das Rückgrat der digitalen Infrastruktur, doch die jüngste Shai-Hulud-Angriff offenbart, wie fragil ihre Lieferkette tatsächlich ist. Das JFrog Security Research Team hat 164 kompromittierte npm-Pakete in 338 Versionen identifiziert, die darauf ausgelegt waren, Zugangsdaten von Entwickler-Rechnern und CI/CD-Umgebungen abzugreifen. Betroffen waren Tokens für AWS, GCP, GitHub und npm, die in von Angreifern kontrollierte GitHub-Repositories exfiltriert wurden.
Ransomware-as-a-Service (RaaS)-Kit
Die Security Operations Center (SOC)-Analysten von Barracuda Managed XDR haben kürzlich einen Ransomware-Angriff der Gruppe Akira erfolgreich abgewehrt - und dabei ein ungewöhnliches Vorgehen beobachtet.

IT Security - Fachbeiträge

DORA: Der Weckruf für den Finanzsektor
Es gibt nur wenige Branchen, die so stark reguliert sind wie der Finanzsektor. In regelmäßigen Abständen erscheinen neue Gesetzesrahmen und das aus gutem Grund: Finanzdienstleister gehören zum Rückgrat nationaler Infrastruktur und sind deshalb ein Hauptziel von Cyber-Angriffen und Betrugsmaschen. Jede neue Regulierung muss daher wasserdicht sein.
Infiltrationsmethoden von Hackern
"Sie hacken nicht mehr, sie loggen sich ein" ist ein oft zitierter Satz zu zeitgenössischen Infiltrationsmethoden von Hackern - und das mit Recht: Im Juni verkaufte ein Mitarbeiter eines Software-Dienstleisters für Banken seine Logindaten für 920 Dollar an Cyberkriminelle. Die Hacker wussten genau, wen sie bestechen mussten, denn mit seinen Zugangsdaten und der Verbindungen der Firma zu diversen Finanzhäusern waren sie in der Lage, sechs Banken auf einmal zu infiltrieren und dabei 140 Millionen Dollar zu entwenden. Ein lukratives Tauschgeschäft für die Drahtzieher, das keinen Bankraub mit Skimasken und Schusswaffen erforderte. Für den Raubzug selbst mussten sie kaum vor die Tür gehen; lediglich einmal, um den Mitarbeiter vor einer Bar abzufangen und ihn für den Coup einzuspannen.

IT Security - Tipps / Hintergrund / Wissen

Ransomware-Angriff auf Flughafen-Software
Jüngste Cyberangriffe auf europäische Flughäfen haben deutlich gemacht, wie verletzlich die digitale Infrastruktur des Luftverkehrs ist. Nach einem von der EU-Cybersicherheitsagentur ENISA bestätigten Ransomware-Angriff auf Flughafen-Software kam es zu massiven Störungen für Reisende. Am Berliner BER mussten Fluggäste stundenlang warten, Flüge verspäteten sich um mehr als eine Stunde, weil die Systeme nicht wiederhergestellt waren. In Brüssel fiel sogar die Hälfte aller Abflüge aus. Diese Vorfälle zeigen, wie schnell digitale Ausfälle den gesamten Betrieb lahmlegen können - und wie wichtig widerstandsfähige Sicherheitsstrategien für Flughäfen sind.
PKI-basiertes Zertifikat-Lifecycle-Management
Digitale Zertifikate spielen eine wichtige Rolle in vernetzten Produktionsanlagen. Sie ermöglichen beispielsweise die Authentifizierung von Geräten und Nutzern oder die Verschlüsselung von Kommunikation. Zertifikate sind daher ein zentraler Baustein für sichere, vertrauenswürdige und zukunftsfähige OT-Umgebungen. Um das Sicherheitsniveau hoch zu halten, müssen sie in regelmäßigen Abständen erneuert werden.