|
Düsseldorf (ots) - Neue EU-Richtlinie für Cybersecurity stellt die Unternehmen
vor viele Herausforderungen: Meldepflichten, Erstellung von
Software-Stücklisten, Produktumstellungen auf "Secure by Design"
ONEKEY IoT & OT Cybersecurity Report 2025: "Es wird Zeit für den Endspurt in
Richtung CRA."
Die deutsche Wirtschaft misst dem EU Cyber Resilience Act (CRA) nicht die
Bedeutung bei, die angesichts der damit verbundenen Pflichten für Hersteller,
Importeure und Distributoren vernetzter Geräte, Maschinen und Anlagen angemessen
wäre. Zu diesem Ergebnis kommt der "IoT & OT Cybersecurity Report 2025" des
Düsseldorfer Cybersicherheitsunternehmens ONEKEY (http://www.onekey.com/) .
"Im Herbst 2026, also in rund einem Jahr, treten die im CRA festgelegten
Meldeplichten mit vollem Umfang in Kraft", erklärt ONEKEY-CEO Jan Wendenburg.
"Und ein Jahr weiter alle anderen Pflichten. Jetzt geht es folglich in den
Endspurt. Der Report zeigt, dass in der Wirtschaft davon aktuell noch zu wenig
zu spüren ist." Für den Report wurden 300 deutsche Industrieunternehmen nach
ihrem Stand und ihren Planungen bezüglich der Sicherheit von industriellen
Steuerungen (Operational Technology, OT) und in Geräten für das Internet der
Dinge (Internet of Things, IoT) befragt, um die es im Kern bei der
EU-Cybersicherheitsverordnung geht. Der Bericht steht auf der ONEKEY Website zum
Download zur Verfügung:
https://www.onekey.com/de/resource/iot-ot-cybersecurity-report-2025 .
Demnach ist nur ein knappes Drittel (32 Prozent) der Unternehmen mit den
Anforderungen des EU Cyber Resilience Act umfassend vertraut. Weitere 36 Prozent
haben sich zumindest schon damit befasst. Aber mehr als ein Viertel (27 Prozent)
haben sich dem Thema noch gar nicht zugewendet. Entsprechend zögerlich ist die
Umsetzung. Lediglich 14 Prozent (!) der befragten Firmen haben bereits
umfangreiche Maßnahmen eingeleitet, um die Einhaltung der CRA-Vorschriften bei
ihren vernetzten Geräten, Maschinen und Anlagen zu gewährleisten. Immerhin: 38
Prozent haben bereits erste Schritte dazu unternommen. Aber ebenso viele
Unternehmen haben laut "IoT & OT Cybersecurity Report 2025" bislang noch nichts
unternommen, um den neuen EU-Regularien zu genügen.
CRA erlegt umfassende Pflichten auf
Der ONEKEY-Report stuft die Zurückhaltung als "erstaunlich" ein, da die mit dem
EU Cyber Resilience Act auf die Unternehmen zukommenden Pflichten umfangreich
sind. Hersteller müssen ihre Produkte so entwickeln, dass sie von Anfang an
sicher sind (Security by Design) und während ihres gesamten Lebenszyklus den
Anforderungen des CRA entsprechen. Dies beinhaltet den Schutz vor unbefugtem
Zugriff, den Schutz der Datenintegrität und -vertraulichkeit sowie die
Gewährleistung der Verfügbarkeit der Funktionen. Zudem sind sie verpflichtet,
aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle, welche die
Sicherheit ihrer Produkte beeinträchtigen, innerhalb von 24 Stunden der
europäischen Cybersecurity-Behörde ENISA und dem zuständigen nationalen CSIRT
(Computer Security Incident Response Team) zu melden.
Die Anbieter müssen darüber hinaus regelmäßig Sicherheitsupdates bereitstellen,
um bekannte Schwachstellen zu beheben und die Sicherheit ihrer Produkte zu
gewährleisten. Dazu gehört auch eine umfassende Dokumentation aller Produkte,
einschließlich einer Software-Stückliste (Software Bill of Materials, SBOM), um
die Transparenz und Rückverfolgbarkeit von Komponenten zu gewährleisten. Jan
Wendenburg stellt klar: "Es genügt nicht, alle diese Anforderungen zu erfüllen.
Vielmehr muss die Konformität mit den CRA-Anforderungen auch dokumentiert und
nachgewiesen werden."
Herausforderungen in der Betriebspraxis
Mit welchen Herausforderungen in Bezug auf den Cyber Resilience Act die
Unternehmen in der Praxis zu kämpfen haben, wollte ONEKEY im Rahmen der Umfrage
herausfinden. Die Firmen durften dabei mehrere Aspekte nennen. An erster Stelle
steht demnach für 37 Prozent der Unternehmen die Meldepflicht bei
sicherheitskritischen Vorfällen innerhalb von 24 Stunden. Gleich darauf folgt
mit 35 Prozent die Einhaltung der Kriterien "Secure by Design" und "Secure by
Default". 29 Prozent der Befragten stufen die Erstellung einer Software Bill of
Materials (SBOM) - also einer Software-Stückliste - als größte Herausforderung
ein. Beinahe genauso viele Firmen sehen ein Hauptproblem darin, den Überblick
über die Verwaltung von Software-Schwachstellen zu behalten.
Jan Wendenburg von ONEKEY erläutert die Hintergründe: "Viele Hersteller
digitaler Geräte, Maschinen und Anlagen haben bislang vor allem die
Funktionalität ihrer Produkte in den Fokus gestellt, und die Angreifbarkeit
durch Cyberattacken weniger stark berücksichtigt. Mit dem Cyber Resilience Act
ist es nun zwingend erforderlich, beide Aspekte als gleichwertig einzustufen.
Dem einen oder anderen Unternehmen fällt diese Doppelfokussierung noch schwer."
Er verweist auf die "äußerst umfangreiche Palette von Produkten, die unter die
neue EU-Verordnung fallen". Das Spektrum erstreckt sich von digitalem Spielzeug
und Geräten für das Smart Home inklusive vernetzter weißer Ware über
Bezahlterminals, Ladestationen, IP-Kameras, medizinischen Geräten oder
Gebäudeautomatisierungssystemen bis hin zu industriellen Steuerungen,
CNC-Maschinen, Industrierobotern oder Produktionsanlagen mit Fernwartung, um nur
einige Beispiele aufzuzählen.
Umstellung in den Köpfen der Führungskräfte
"In vielen dieser Marktsegmente war Cybersicherheit bislang vor allem ein Thema
der Absicherung des eigenen Unternehmens gegen Angriffe, aber nicht des Schutzes
der Produkte vor Cyberattacken", sagt Jan Wendenburg. Er räumt ein: "Diese
Umstellung in den Köpfen der Führungskräfte hat begonnen, braucht naturgemäß
aber ihre Zeit." Zugleich weist er auf die weitreichenden Folgen hin, wenn die
Unternehmen dem Cyber Resilience Act nicht die gebotene Aufmerksamkeit widmen:
"Vernetzte Geräte, Maschinen und Anlagen, die nicht den Anforderungen des CRA
entsprechen, dürfen künftig in der EU nicht mehr verkauft oder betrieben werden.
Angesichts von Entwicklungszeiten von zwei bis drei Jahren ist daher höchste
Eile geboten."
Bei Verstößen gegen die EU-Verordnung drohen empfindliche Bußgelder von bis zu
15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes, je nachdem,
welcher Betrag höher ist. Hinzu kommt das Risiko der persönlichen Haftung von
Vorstand bzw. Geschäftsführung und/oder den Verantwortlichen.
Besorgniserregende Sicherheitslage, OT wird vernachlässigt
Die CRA-Konformität ist für die Unternehmen indes nicht nur wichtig, um den
Regulierungsvorschriften zu entsprechen, sondern auch, um sich und ihre Kunden
tatsächlich vor zunehmender Cyberkriminalität zu schützen. Behörden wie das
Bundesamt für Sicherheit in der Informationstechnik (BSI) und das
Bundeskriminalamt (BKA) gehen davon aus, dass sich die Bedrohungslage in den
nächsten Jahren weiter zuspitzen wird. Bereits im Jahr 2024 belief sich der
Gesamtschaden durch Cybercrime-Vorfälle aller Art in Deutschland auf geschätzte
178,6 Milliarden Euro - eine Steigerung um 30,4 Milliarden Euro gegenüber dem
Vorjahr.
Jan Wendenburg sagt: "In vielen Unternehmen steht der Schutz der Computersysteme
und Netzwerke im Vordergrund, während industrielle Steuerungen in Maschinen und
Anlagen bei Sicherheitsfragen häufig zu wenig Beachtung finden. Doch angesichts
der um sich greifenden digitalen Transformation industrieller Prozesse wächst
die Angriffsfläche für Cyberbedrohungen auf dem Shop Floor immer stärker. Daher
müssen in Werkshallen und Logistikzentren mindestens die gleichen hohen
Sicherheitsmaßstäbe angesetzt werden wie im Rechenzentrum."
ONEKEY hat eine Plattform entwickelt, die Unternehmen bei Kernfunktionen zur
IoT- und OT Cybersicherheit unterstützt, von der Schwachstellenerkennung über
die SBOM-Validierung bis hin zur Einhaltung gesetzlicher Vorschriften.
ONEKEY (https://www.onekey.com/) ist Europas führender Spezialist für Product
Cybersecurity & Compliance Management und Teil des Investmentportfolios von
PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination der
automatisierten ONEKEY Product Cybersecurity & Compliance Platform (OCP) mit
Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse,
Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und
Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum
End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware
werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch
im Binärcode identifiziert - ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch
die integrierte Erstellung von "Software Bill of Materials (SBOM)" können
Software-Lieferketten proaktiv überprüft werden. "Digital Cyber Twins"
ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach
dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte Compliance Wizard(TM) deckt bereits
heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2,
ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.
Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte,
automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit
bis zur Fehlerbehebung deutlich verkürzt.
International führende Unternehmen in Asien, Europa und Amerika profitieren
bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Platform
(OCP) und den ONEKEY Cybersecurity Experten.
Pressekontakt:
Weitere Informationen: ONEKEY GmbH,
Sara Fortmann, E-Mail: mailto:sara.fortmann@onekey.com,
Kaiserswerther Straße 45, 40477 Düsseldorf, Deutschland,
Web: http://www.onekey.com
PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
E-Mail: mailto:team@euromarcom.de, Web: http://www.euromarcom.de
Weiteres Material: http://presseportal.de/pm/151206/6110649
OTS: ONEKEY GmbH
|
