Illustration Absmeier foto freepik

IoT & OT Cybersecurity Report 2025: Der Cyber Resilience Act (CRA) stellt Unternehmen mit seiner abteilungs- und funktionsübergreifenden Wirkung vor Herausforderungen, wenn es um die Verantwortlichkeiten geht.

Der EU Cyber Resilience Act (CRA) verlangt von der Industrie ab diesem Jahr umfangreiche Maßnahmen bei der Entwicklung und Überwachung von sicheren Produkten zur Abwehr von Hackerangriffen. Doch die Frage der Zuständigkeit für die Einhaltung der EU-Verordnung zur Stärkung der Produkt-Cybersicherheit ist in der Industrie noch weitgehend ungeklärt. Dies geht aus dem aktuellen »IoT & OT Cybersecurity Report« des Düsseldorfer Cybersicherheitsunternehmens Onekey hervor [1]. Für die Untersuchung waren 300 Unternehmen nach ihrer CRA-Strategie bei »Operational Technology« (OT), also beispielsweise industriellen Steuerungssystemen, und »Internet of Things« (IoT), vom Smart Building bis zu Industrierobotern, befragt worden.

CRA deckt breites Themenspektrum ab

Demnach liegt die Hauptverantwortung für die Erfüllung des Cyber Resilience Act in 46 Prozent der Unternehmen bei der IT-Sicherheit. Bei gut einem Fünftel (21 Prozent) trägt in erster Linie die Compliance-Abteilung die Verantwortung. In 18 Prozent aller Fälle ist die Geschäftsleitung zuständig, in 16 Prozent die Rechtsabteilung und in 15 Prozent der befragten Firmen die Produktentwicklung. »Die Zuständigkeiten sollten noch klarer gebündelt und definiert werden«, analysiert Jan Wendenburg, CEO von ONEKEY, die Ergebnisse. Er erklärt: »Die große Bandbreite der CRA-Verantwortungsträger in der Industrie hängt damit zusammen, dass die Verordnung selbst ein breites Spektrum an Themen berührt.«

So müssen die Hersteller vernetzter Produkte ihre Geräte, Maschinen und Anlagen von Grund auf so entwickeln, dass sie von Anfang an sicher sind (Security by Design) und während ihres gesamten Lebenszyklus den Anforderungen des CRA entsprechen. »Das ist zweifellos eine Anforderung, bei der Engineering und Produktentwicklung gefragt sind«, sagt Jan Wendenburg. Darüber hinaus sind die Anbieter verpflichtet, aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle, die die Sicherheit ihrer Produkte beeinträchtigen, innerhalb von 24 Stunden der europäischen Cybersecurity-Behörde ENISA und dem zuständigen nationalen CSIRT (Computer Security Incident Response Team) zu melden. »Das berührt in der Regel die IT-Sicherheitsabteilung«, ordnet Jan Wendenburg zu.

Zudem sind die Anbieter verpflichtet, in regelmäßigen Abständen Sicherheitsupdates bereitzustellen, um bekannte Schwachstellen zu schließen und die Produktsicherheit zu gewährleisten. Ebenso erforderlich ist eine vollständige Dokumentation sämtlicher Produkte, einschließlich einer Softwarestückliste (Software Bill of Materials, SBOM), die Transparenz und Rückverfolgbarkeit der eingesetzten Komponenten ermöglicht. »Diese Aufgaben fallen in der Regel in die Verantwortung von Entwicklung und Produktion.«, sagt Jan Wendenburg.

Die dazugehörige Dokumentation als Nachweis der Konformität mit den CRA-Anforderungen stuft der Onekey-CEO hingegen primär als Verantwortungsbereich des Produkt Managements in Zusammenarbeit mit der Compliance-Abteilung ein. Bei Verstößen gegen die EU-Verordnung drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist – ein Fall für die Juristen im Unternehmen. Und schließlich ist auch das Risiko der persönlichen Haftung von Vorstand bzw. Geschäftsführung nicht zu übersehen – insofern ist es verständlich, wenn die oberste Führungsebene sich ebenfalls in die betriebliche Umsetzung des Cyber Resilience Act involviert.

Jan Wendenburg stellt klar: »Der Cyber Resilience Act ist tatsächlich so abteilungs- und funktionsübergreifend, dass die Zuständigkeit im Unternehmen nicht auf der Hand liegt. Was auf den ersten Blick wie Verantwortungs-Wirrwarr aussieht, ist bei genauerem Hinsehen also nachvollziehbar. Die Herausforderung für die Industrie besteht darin, der EU-Verordnung in ihrer gesamten Breite gerecht zu werden.«

Softwareentwicklung kaum gefragt, obwohl SBOM kritisch ist

Entsprechend breit ist auch das Spektrum der Positionen, die mit dem Thema CRA befasst sind, wie der Report zutage gefördert hat. In 18 Prozent aller Unternehmen ist der Produktmanager zuständig, in 17 Prozent der Compliance-Verantwortliche, in 15 Prozent der Chief Information Security Officer (CISO) und in 11 Prozent ein Cybersecurity-Analyst. Der Leiter Softwareentwicklung steht lediglich bei 8 Prozent der Firmen in der Verantwortung für den Cyber Resilience Act, obgleich die Softwarestückliste, die Software Bill of Materials (SBOM), den wichtigsten Schlüssel zur Erfüllung der CRA-Verordnung darstellt. Der Cyber Resilience Act verpflichtet alle Hersteller, die vernetzte Produkte in die EU liefern, im Rahmen der technischen Dokumentation eine SBOM bereitzustellen. Diese hat ausführliche Angaben zu den einzelnen Softwarekomponenten zu enthalten.

»Die SBOM ist das schwächste Glied in der Compliance-Kette für den Cyber Resilience Act«, sagt Jan Wendenburg. Er erläutert: »Der CRA schreibt eine präzise Auflistung sämtlicher Komponenten, Bibliotheken, Frameworks und Abhängigkeiten vor – einschließlich exakter Versionsnummern, Informationen zu den jeweiligen Lizenzen, sowie einer Übersicht aller bekannten Schwachstellen und Sicherheitslücken. Wenn sich auch nur in einer dieser Komponenten ein Einfallstor für Hacker befindet, das nachweislich bereits irgendwo schon ausgenutzt wurde, darf das Produkt oder die Softwareversion nicht auf den Markt gebracht werden. Bei bestehenden Produkten müssen die Behörden innerhalb von 24 Stunden informiert werden. Angesicht von durchschnittlich über 2.000 neuen Schwachstellen in Softwareprodukten pro Monat ist das keine leichte Aufgabe und ohne eine automatisierte Prüfung im Grunde nicht zu erfüllen.«

CRA-spezifische Organisation bei über 40 Prozent der Firmen

Tragen die Unternehmen dem funktions- und abteilungsübergreifenden Handlungsbedarf zur Erfüllung des Cyber Resilience Act durch eine interdisziplinäre Zusammenarbeit im Betrieb Rechnung, wollte Onekey im Rahmen der Industrieumfrage wissen. Die Antwort: Bei 28 Prozent der Firmen existiert eine Arbeitsgruppe aus verschiedenen Abteilungen, bei 13 Prozent gibt es sogar ein dediziertes CRA-Team. Knapp ein Drittel (32 Prozent) hat indes keine spezifische Teamstruktur für die EU-Verordnung aufgebaut.

Bei 18 Prozent der Unternehmen sind vier bis zehn Personen in der Arbeitsgruppe oder im Team für den CRA engagiert; bei 15 Prozent sind es bis zu drei Personen. Bei knapp einem Zehntel (8 Prozent) der befragten Firmen kümmern sich sogar mehr als zehn Beschäftigte um die Umsetzung des Cyber Resilience Act, von der Produktentwicklung über die Erstellung und Pflege einer Software Bill of Materials bis hin zu Compliance-Aspekten.

»Es ist gut, dass sich mehr als 40 Prozent der Unternehmen der Umsetzung des CRA mit einer wie auch immer gearteten eigenen Organisationsstruktur widmen«, betont Jan Wendenburg. Er stellt klar: »Letztlich geht es beim Thema Cybersicherheit nicht primär um die Erfüllung lästiger regulatorischer Vorschriften, sondern um die Absicherung des Unternehmens vor immer ausgefeilteren Hackerangriffen mit potenziell dramatischen Folgen.«

[1] https://www.onekey.com/de/resource/iot-ot-cybersecurity-report-2025

ONEKEY bietet eine vollautomatisierte Product & Cybersecurity Compliance Plattform, die für Unternehmen die SBOM Erstellung, Schwachstellenmanagement und Compliance Prüfung automatisiert und so viel Zeit, Kosten und Nerven spart.

Für Einsteiger bietet ONEKEY auch einen praxisnahen CRA Readiness Assessment-Workshop. In einführenden Sessions erfahren Teilnehmende, welche konkreten Auswirkungen der CRA auf ihren Betrieb hat und erhalten darauf basierend einen individuellen Bewertungsplan. Im Rahmen einer detaillierten Prozessüberprüfung werden zentrale Bereiche wie Softwareentwicklung und Schwachstellenmanagement analysiert. Darüber hinaus deckt eine GAP-Analyse bestehende Compliance-Lücken auf und zeigt Möglichkeiten zu deren Behebung. Am Ende des Workshops erhält jedes Unternehmen eine maßgeschneiderte Roadmap, die klar aufzeigt, wie sich die Anforderungen des CRA strukturiert und effizient umsetzen lassen.

2698 Artikel zu „Cybersecurity“

News | Digitalisierung | Effizienz | IT-Security | Künstliche Intelligenz | Tipps

Welche Maßnahmen sollten ergriffen werden, bevor man KI-Agenten in der Cybersecurity einsetzt?

13. November 2025

In der heutigen digitalen Welt sind KI-Agenten zu einem unverzichtbaren Werkzeug in der Cybersecurity geworden. Doch bevor man diese mächtigen Helfer einsetzt, ist es entscheidend, die richtigen Maßnahmen zu ergreifen, um ihre Sicherheit und Effektivität zu gewährleisten. Von der Sicherung ihrer Identitäten bis hin zur Integration menschlicher Freigaben für kritische Aktionen – jeder Schritt zählt.…