|
Düsseldorf (ots) - ONEKEY IoT & OT Cybersecurity Report 2025: Über die Hälfte
der Unternehmen hat Maßnahmen zur Erfüllung des EU Cyber Resilience Act
eingeleitet, aber bei der Umsetzung besteht Nachholbedarf
Die Industrie bereitet sich auf das Ende der Übergangsfrist des EU Cyber
Resilience Act (CRA) in den Jahren 2026/27 vor, sollte bei der Erfüllung der
damit verbundenen technischen Standards jedoch noch an Fahrt gewinnen. Laut
einer Industrieumfrage des Düsseldorfer Cybersicherheitsunternehmens ONEKEY
(http://www.onekey.com/) haben bereits 38 Prozent der Unternehmen in Deutschland
erste Schritte zur Erfüllung der EU-Verordnung eingeleitet, weitere 14 Prozent
sogar schon umfangreiche Maßnahmen auf den Weg gebracht.
"Es ist erfreulich, dass mehr als die Hälfte der Unternehmen bereits Schritte
zur Einhaltung der neuen EU-Verordnung unternommen hat", erklärt Jan Wendenburg,
der CEO von ONEKEY. Das Unternehmen stellt die Ergebnisse der Umfrage im "IoT &
OT Cybersecurity Report 2025" kostenfrei auf seiner Webseite zur Verfügung:
https://www.onekey.com/de/resource/iot-ot-cybersecurity-report-2025 . Für den
Report waren 300 Unternehmen nach ihrem aktuellen Stand und ihrer Strategie bei
"Operational Technology" (OT), also beispielsweise industriellen
Steuerungssystemen, und "Internet of Things" (IoT), von Geräten für das Smart
Home bis zu Industrierobotern, befragt worden.
Von Industrie 4.0 bis zur IoT-Branche
Die im Jahr 2024 verabschiedete EU-Verordnung zur Stärkung der Cybersicherheit
in Europa tritt stufenweise in Kraft und verlangt von der Wirtschaft ab 2026
bzw. 2027 umfangreiche Maßnahmen zur Abwehr von Hackerangriffen. Der Schwerpunkt
liegt dabei über die zentralen Computer- und Netzwerksysteme der Unternehmen
hinausgehend auf Geräten, Maschinen und Anlagen, die "eigentlich" keine Computer
sind, aber über digitale Komponenten und einen Internetzugang verfügen. "Das
schließt den gesamten Themenkomplex Industrie 4.0 und die komplette IoT-Branche
ein", umreißt Jan Wendenburg die Dimension der neuen
EU-Cybersicherheitsvorschriften für die Wirtschaft.
Die Umfrage zeigt trotz der bereits eingeleiteten Maßnahmen, dass ein Großteil
der deutschen Industrie bei der Erfüllung der mit dem Cyber Resilience Act
verbundenen Standards noch Luft nach oben hat.
IEC 62443-4-2 wird wenig berücksichtigt
So berücksichtigen lediglich 27 Prozent der befragten Firmen die Norm IEC
62443-4-2, die technische Sicherheitsanforderungen für Komponenten industrieller
Automatisierungs- und Steuerungssysteme (IACS) definiert. Der etablierte
Standard IEC 62443-4-2 bietet etablierte Verfahren zur Erfüllung von technischen
Cybersicherheitsanforderungen und hilft so wesentlich eine zukünftige
CRA-Compliance zu erreichen.
Die Norm spezifiziert Anforderungen für die Cybersicherheit von Komponenten wie
Embedded Systems, Netzwerkkomponenten, Host-Geräte und Softwareanwendungen,
basierend auf sieben grundlegenden Anforderungen (Foundational Requirements):
Identifikation und Authentifizierung, Nutzungskontrolle, Systemintegrität,
Datenvertraulichkeit, eingeschränkter Datenfluss, zeitnahe Reaktion auf
Ereignisse und Ressourcenverfügbarkeit. Diese werden in vier Sicherheitsstufen
(Security Levels, SL 0-4) eingeteilt, die den Schutzgrad gegen verschiedene
Angreiferklassen angeben, von unbeabsichtigtem Missbrauch (SL 1) bis zu
intensiven Angriffen (SL 4). Ziel ist es, die Sicherheitsfähigkeiten von
Komponenten (SL-C) so festzulegen, dass diese in der Lage sind Attacken ohne
zusätzliche Gegenmaßnahmen abzuwehren.
ETSI EN 303 645 findet wenig Beachtung
Ein zweiter für die CRA-Compliance wesentlicher Standard - ETSI EN 303 645 -
findet laut ONEKEY-Report bei der Produktentwicklung ebenfalls wenig Beachtung.
Nur ein Viertel der befragten Unternehmen berücksichtigen diese Norm ETSI EN 303
645, die Cybersicherheitsanforderungen für vernetzte Verbrauchergeräte festlegt,
um grundlegenden Schutz vor Cyberangriffen zu gewährleisten.
Die Norm umfasst 13 Kernanforderungen, darunter sichere Standardkonfigurationen,
Schutz personenbezogener Daten, Software-Updates und sichere Kommunikation. Sie
ist eng mit dem EU Cyber Resilience Act verbunden, da sie als harmonisierte Norm
dient, um CRA-Anforderungen für IoT-Geräte zu erfüllen, insbesondere für die
sichere Entwicklung, das Schwachstellenmanagement und die Transparenz.
Hersteller können durch Konformität mit ETSI EN 303 645 eine wesentliche
Voraussetzung und Basis für die zukünftige CRA-Compliance schaffen, um damit
auch die notwendige CE-Kennzeichnung für den EU-Markt zu erhalten.
Nachholbedarf bei Funknorm RED
Nachholbedarf hat die Industrie laut ONEKEY-Report auch beim Standard RED
(EN18031). Diese Funkanlagenrichtlinie findet aktuell nur bei 16% der befragten
Unternehmen Beachtung, ist jedoch von zentraler Bedeutung für vernetzte Geräte,
Anlagen und Maschinen, da immer mehr industrielle Maschinen, Sensoren, Aktoren
und andere Digitalprodukte über Funk vernetzt werden. Die Richtlinie soll
sicherstellen, dass diese Geräte eine elektromagnetische Verträglichkeit
gewährleisten, um Störungen im Funkverkehr zu vermeiden. Sie fordert von den
Herstellern, dass ihre Produkte, sowie sie Funktechnologien nutzen, den
wesentlichen Anforderungen entsprechen, bevor sie auf den europäischen Markt
gebracht werden. Die Erfüllung der Anforderungen des RED-Standards ist ebenfalls
ein wichtiger Baustein für die zukünftige Compliance mit dem Cyber Resilience
Act.
Jan Wendenburg kommentiert: "Die EU hat mit dem Cyber Resilience Act ein sehr
umfangreiches Regelwerk geschaffen, von technischen Normen bis hin zu
Meldepflichten. Dem entsprechend hoch sind die Herausforderungen für die
Industrie, den CRA vollumfänglich umzusetzen. Genau dies ist jedoch bald die
Voraussetzung, um vernetzte Geräte, Systeme und Anlagen in der EU zu verkaufen,
in Verkehr zu bringen oder zu betreiben."
Hilfestellung durch Assessment-Workshops
ONEKEY unterstützt Unternehmen mit praxisnahen Assessment-Workshops (
RED-Readiness (https://ots.de/wHkWdK) und CRA-Readiness (https://ots.de/sU18Ql)
). In einführenden Sessions erfahren Teilnehmende, welche konkreten Auswirkungen
RED und CRA auf ihren Betrieb haben und erhalten darauf basierend einen
individuellen Bewertungsplan.
Im Rahmen einer detaillierten Prozessüberprüfung werden zentrale Bereiche wie
Softwareentwicklung und Schwachstellenmanagement analysiert. Darüber hinaus
deckt eine GAP-Analyse bestehende Compliance-Lücken auf und zeigt Möglichkeiten
zu deren Behebung.
Am Ende des Workshops erhält jedes Unternehmen eine maßgeschneiderte Roadmap,
die klar aufzeigt, wie sich die Anforderungen aus RED und CRA strukturiert und
effizient umsetzen lassen.
ONEKEY (https://www.onekey.com/) ist Europas führender Spezialist für Product
Cybersecurity & Compliance Management und Teil des Investmentportfolios von
PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination der
automatisierten ONEKEY Product Cybersecurity & Compliance Platform (OCP) mit
Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse,
Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und
Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum
End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware
werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch
im Binärcode identifiziert - ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch
die integrierte Erstellung von "Software Bills of Materials (SBOMs)" können
Software-Lieferketten proaktiv überprüft werden. "Digital Cyber Twins"
ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach
dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte ONEKEY Compliance Wizard deckt bereits
heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2,
ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.
Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte,
automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit
bis zur Fehlerbehebung deutlich verkürzt.
International führende Unternehmen in Asien, Europa und Amerika profitieren
bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Platform
(OCP) und den ONEKEY Cybersecurity Experten.
Pressekontakt:
Weitere Informationen: ONEKEY GmbH,
Sara Fortmann, E-Mail: mailto:sara.fortmann@onekey.com,
Toulouser Allee 19A, 40211 Düsseldorf, Deutschland,
Web: https://onekey.com
PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
E-Mail: mailto:team@euromarcom.de, Web: http://www.euromarcom.de
Weiteres Material: http://presseportal.de/pm/151206/6141900
OTS: ONEKEY GmbH
|
