
Illustration Absmeier foto magnific
Am 11. Dezember 2024 trat der Cyber Resilience Act (CRA) der EU in Kraft. Exakt drei Jahre später müssen alle Unternehmen, die Produkte mit digitalen Elementen anbieten, vollständige Compliance gemäß der neuen Verordnung beweisen. Cycode erklärt, warum der 11. September 2026 jedoch das wichtigere Datum ist.
Bis zum letzten Augenblick zu warten, um eine CRA-Strategie umzusetzen, könnte fatal sein. Denn bereits am 11. September 2026 treten die Meldepflichten für Schwachstellen und Sicherheitsvorfälle im Rahmen des CRA in Kraft: Ab diesem Datum müssen Unternehmen innerhalb von 24 Stunden nach Kenntnisnahme einer aktiv ausgenutzten Schwachstelle oder eines schwerwiegenden Sicherheitsvorfalls eine Frühwarnung an die ENISA (European Network and Information Security Agency) und das zuständige CSIRT (Computer Security Incident Response Team) – CERT-Bund (Computer Emergency Response Team) in Deutschland – übermitteln, innerhalb von 72 Stunden eine vollständige Meldung an die Behörden einreichen und innerhalb von 14 Tagen nach Bereitstellung einer Korrekturmaßnahme (beziehungsweise innerhalb eines Monats bei schwerwiegenden Vorfällen) einen Abschlussbericht vorlegen.
Wer diesen Fristen nicht gerecht wird, dem drohen horrende Kosten. Bei schwerwiegenden Verstößen sind Höchststrafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist) vorgesehen.
Die vier häufigsten Lücken
Doch auf diese Anforderungen sind die wenigsten Unternehmen Stand heute vorbereitet. Sicherheits- und Produktverantwortliche, die sich auf die Frist im September vorbereiten, sehen sich in der Regel vier zentralen Lücken gegenüber, die sie schließen müssen.
Lücke 1 – Ungeklärte Verantwortlichkeiten und kein Eskalationspfad
In vielen Unternehmen ist nicht klar, wer die Meldung an die ENISA und das CSIRT tatsächlich einreicht. Auch eine Vertretung für den Krankheits- oder Urlaubsfall der verantwortlichen Person fehlt in der Regel. Ungeklärt ist zudem häufig, wer überhaupt befugt ist, darüber zu entscheiden, ob ein Hinweis eines AppSec-Systems zu einer Schwachstelle als »aktiv ausgenutzt« einzustufen ist. Da in den meisten Unternehmen diese Überlegungen erst im akuten Notfall geklärt werden sollen, drohen Verstöße gegen den CRA durch verpasste Fristen und in zweiter Instanz Bußgelder.
Lücke 2 – Verzerrtes Zeitgefühl
Die durchschnittliche Zeit bis zum Erkennen einer aktiv ausgenutzten Schwachstelle im eigenen Produkt ist nicht mit der MTTR (Mean Time To Repair) eines SIEM-Alarms gleichzusetzen. Sie hängt von Kundenmeldungen, der Einbindung von Threat Intelligence und davon ab, wie schnell ein Triage-Call einberufen werden kann. Die meisten Teams haben den vollständigen Ablauf nie gemessen. Viele Unternehmen stellen dann bei einem Testlauf fest, dass 24 Stunden mit ihrer aktuellen Strategie gar nicht realistisch einzuhalten sind.
Lücke 3 – Kein sauberes Inventar potenziell betroffener Produkte
Die Meldepflicht gilt für jedes Produkt, das auf dem EU-Markt bereitgestellt wird. Viele Unternehmen haben ein großes Produktportfolio, wissen aber gar nicht, auf welche davon die Vorschriften des CRA anzuwenden sind. Oft herrscht auch Unkenntnis darüber, welche Versionen noch unterstützt werden, welche Komponenten gemeinsam genutzt werden und welche Kunden in der EU ansässig sind. Ohne dieses Wissen können sie unter dem Zeitdruck bei einem tatsächlichen Notfall nicht einmal den nötigen Umfang einer Meldung an die ENISA und das CSIRT definieren.
Lücke 4 – Kein holistisches Monitoring des gesamten Software Development Lifecycle
Eine Schwachstelle, die eine Meldung auslöst, kann im eigenen Code vorkommen. Sie kann allerdings auch aus einer Dependency zu einem Produkt eines Drittanbieters, einer Open-Source-Bibliothek, einer kompromittierten CI/CD-Pipeline, einem offengelegten Secret oder aus KI-generiertem Code stammen. Je schneller Unternehmen Warnsignale mit ihren jeweiligen Produkten, den Auswirkungen auf die Kunden und möglichen Behebungs- oder Korrekturmaßnahmen korrelieren können, desto schneller erfolgt die Frühwarnung. Teams, die mit fragmentierten Scannern und voneinander getrennten ASPM (Application Security Posture Management)-Dashboards arbeiten, verlieren Stunden durch die manuelle Korrelation.
Die richtige Strategie wird zum wichtigsten Faktor
Unternehmen sollten zunächst vollständige Transparenz über alle Produkte mit digitalen Elementen schaffen und diese hinsichtlich ihres Supportstatus sowie ihrer regulatorischen Relevanz erfassen. Ebenso erforderlich sind klar definierte Verantwortlichkeiten für die Bewertung, Eskalation und Meldung von Sicherheitsvorfällen sowie aktiv ausgenutzten Schwachstellen. Neben klar definierten Ansprechpartnern und Vertretungsregelungen müssen sie auch Entscheidungswege, Rufbereitschaften sowie die Einbindung von Rechtsabteilung und Management festlegen. Es gilt sicherzustellen, dass Verantwortliche im Ernstfall innerhalb kürzester Zeit nachvollziehbar entscheiden können, ob ein Ereignis meldepflichtig ist und wer die erforderlichen Schritte veranlasst.
»Darüber hinaus müssen technische und organisatorische Prozesse etabliert werden, die eine schnelle Erkennung, Bewertung und Einordnung von Sicherheitsrisiken ermöglichen«, betont Jochen Koehler, Vice President of EMEA Sales bei Cycode. »Dazu gehört kontinuierliches Monitoring selbst entwickelter Software und Code-Basen, Open-Source-Komponenten, Drittanbieter-Abhängigkeiten, CI/CD-Umgebungen, Infrastruktur, Container, Secrets und KI-Komponenten. Ergänzend sind standardisierte Melde- und Freigabeprozesse, vorbereitete Vorlagen für regulatorische Meldungen, dokumentierte Runbooks sowie regelmäßige Übungen unter realistischen Bedingungen erforderlich.«
924 Artikel zu „CRA“
News | IT-Security | Services
Vulnerability Management und SBOM-Generierung sind Key beim CRA
CRA macht Vulnerability Management zur Pflicht: Hersteller vernetzter Produkte müssen Sicherheitslücken über den gesamten Produktlebenszyklus hinweg erkennen, bewerten, beheben und dokumentieren. Komplexe Software‑Lieferketten erhöhen das Risiko: Moderne Geräte enthalten hunderte bis tausende Komponenten; jede einzelne kann Schwachstellen einbringen, die das gesamte Produkt gefährden. Automatisierte Firmware‑ und Komponentenanalysen werden essenziell: Plattformen wie ONEKEY analysieren Binärdateien ohne…
News | Trends 2025 | Trends Security | Trends Infrastruktur | Trends Kommunikation | Infrastruktur | Kommunikation | Künstliche Intelligenz
KI-Crawler machen 80 Prozent des KI-Bot-Traffics aus
Meta führt beim Crawling, während ChatGPT den Echtzeit-Webverkehr dominiert Mehr Content-Scraping und Systembelastung: KI-Bots greifen in großem Umfang auf Inhalte zu und erhöhen die Serverlast spürbar. Neue Risiken durch fehlende Bot-Verifizierung: Ungeprüfter Automatisierungs-Traffic erschwert die Unterscheidung zwischen legitimen und potenziell schädlichen Zugriffen. Die Edge-Cloud-Plattform Fastly Inc., ein Unternehmen für Content Delivery, Compute- und Sicherheitslösungen,…
News | Business | Digitalisierung
Welche Auswirkungen hat der neueste Crash auf das Bitcoin-Mining?
Im April dieses Jahres erreicht der Bitcoin ein Allzeit-Hoch. Investoren, Anleger und Krypto-Fans waren begeistert. Allerdings hielt die Freude nicht lang an, denn nachdem Tesla verkündet hatte, Bitcoin nicht mehr als Zahlungsmittel akzeptieren zu wollen und auch die chinesische Regierung den Druck auf Mining-Unternehmen weiter erhöhte, fiel der Kurs der Kryptowährung zwischenzeitlich um mehr als -30 %.
News | Infrastruktur | Lösungen | Ausgabe 1-2-2020
IT-Outsourcing bei den Stadtwerken Crailsheim – Eine Frage der Kernkompetenz
Kommunale Energieversorger gelten als Kritische Infrastruktur nach § 2 der BSI-KRITIS-Verordnung. Dies bringt hohe Anforderungen und Kostenrisiken mit sich, denen man sich mit eigenem Personal und Kapazitäten stellen kann. Oder man macht es wie die Stadtwerke Crailsheim, die als KRITIS-Betreiber ihre Infrastruktur an einen entsprechend zertifizierten IT-Dienstleister ausgelagert haben.
News | Business | Trends Wirtschaft | Trends 2019
Economist Democracy Index: Der Stand der Demokratie
https://de.statista.com/infografik/20599/economist-democracy-index/ Wie es um die Demokratie weltweit steht, ermittelt jährlich der Democracy Index vom Economist – im vergangenen Jahr verschlechterte sich der Indexwert leicht von 5,48 auf 5,44 Punkte. In der aktuellen Ausgabe für das Jahr 2019 werden 22 Länder als »vollständige Demokratien« eingestuft, darunter auch Deutschland. Allerdings schafft es die Bundesrepublik nicht auf den Spitzenwert, wie die Grafik…
News | Business | Business Process Management | Geschäftsprozesse | Infrastruktur | IT-Security | Lösungen | Online-Artikel | Services | Strategien
Crashtest für die IT-Sicherheit
Warum Zulieferer für die Automobilbranche ihre Business-Continuity- und Disaster-Recovery-Lösungen aufrüsten müssen, um ein höheres Maß an IT-Resilience zu erreichen. Im Jahr 2016 stoppten zwei Automobilzulieferer die Belieferung ihres Kunden Volkswagen. Dies führte bei Volkswagen zu erheblichen Verzögerungen in der Produktion und führte zu Verlusten von schätzungsweise 100 Millionen Euro. Diese damals sehr öffentliche Konfrontation…
Business Intelligence | Top-Thema | Ausgabe 9-10-2016
Business Intelligence und »Data Democracy« – Wo viele mitdenken, entstehen mehr Ideen
Infrastruktur | Advertorial | Ausgabe 7-8-2016
Backup- und Disaster Recovery – StorageCraft verstärkt Aktivitäten im deutschen Markt
News | Favoriten der Redaktion | IT-Security | Künstliche Intelligenz | Tipps
Mehr Zeit beim EU AI Act: Das 16-Monate-Paradoxon für Unternehmen
Die Fristverlängerung für Hochrisiko-KI-Systeme nach Anhang III auf den 2. Dezember 2027 verschafft Unternehmen mehr Zeit, ändert aber weder die Anforderungen noch das Sanktionsrisiko. Unternehmen sollten die zusätzlichen 16 Monate nicht als Aufschub, sondern als Umsetzungsfenster für belastbare KI-Governance, Risikomanagement und technische Nachweisfähigkeit nutzen. Die größten Herausforderungen liegen weniger in der Technologie als in Organisation,…
News | Infrastruktur | Künstliche Intelligenz | Produktmeldung | Rechenzentrum
KAYTUS präsentiert mit »KSManage Ultra« eine intelligente KI-Managementplattform im Rack-Maßstab
Die Plattform bietet umfassende Transparenz, integriertes In-Band- und Out-of-Band-Systemmanagement, minimiert Leistungsengpässe und maximiert die Effizienz von KI-Fabriken. Im Vergleich zu traditionellen Rechenzentren weisen KI-Rechenzentren eine deutlich höhere Komplexität auf, wie etwa die aufwändige Verwaltung von KI-Systemen im Rack-Maßstab, komplexe Netzwerktopologien, schwierige Fehlererkennung sowie strikte Sicherheitsanforderungen an die Flüssigkeitskühlung. KAYTUS, ein Anbieter von KI-Infrastruktur, zeigt…
Trends 2026 | News | Trends Kommunikation | Kommunikation | Tipps
Deutschland bei der Internetkonnektivität unter den weltweit besten Ländern
Deutschland belegt weltweit Platz 12 – das zeigt der neue Internet Connectivity Index der Reise-eSIM-App Saily [1]. Angeführt wird das Ranking von Estland, gefolgt von Litauen, Dänemark, Portugal und Frankreich. Bereits zum zweiten Jahr in Folge bewertete der Index 97 Länder in den Bereichen Cybersicherheit, Qualität, Erschwinglichkeit und Freiheit des Internets. Gemeinsam vereinen diese verschiedene detaillierte Merkmale,…
News | Business | Digitalisierung | Favoriten der Redaktion | IT-Security | Rechenzentrum | Strategien
Sicherheitschip »Made in Germany« dient als Vertrauensanker für vernetzte Geräte
Management Summary Fraunhofer IIS, AISEC und EMFT stellen ein RISC-V Secure Element vor, das als vertrauenswürdiger Sicherheitsanker für vernetzte Geräte dient. Der Chip wurde vollständig in Deutschland designt und gefertigt und stärkt damit Transparenz, technologische Souveränität und Vertrauen entlang der Wertschöpfungskette. Die Open-Source-Hardware-Basis OpenTitan ermöglicht überprüfbare Sicherheit, langfristige Verfügbarkeit und flexible Anpassbarkeit an unterschiedliche Geräteklassen.…
News | Cloud Computing | IT-Security | Kommentar | Services | Tipps
Cloud-Migration ist kein Sicherheits-Audit
Ein Kommentar von André Dube, Director of Cyber Security Center bei Skaylink Wer Systeme in die Cloud hebt, macht sie schneller, skalierbarer und oft günstiger. Was dabei häufig vergessen wird: schneller, skalierbarer und günstiger gilt auch für Angreifer – wenn die Daten, die migriert wurden, niemand mehr auf dem Schirm hat. Genau das ist…
News | Business | Cloud Computing | Künstliche Intelligenz | Services | Strategien
Lokale KI-Assistenten: Der nächste Schritt zur souveränen, sicheren und effizienten Unternehmens-KI
Management Summary Lokale KI-Assistenten bieten Unternehmen eine strategische Alternative zu Cloud-basierten KI-Lösungen, indem sie Daten innerhalb der eigenen Infrastruktur verarbeiten und so Datensouveränität und Kontrolle stärken. Besonders für Organisationen mit sensiblen Daten oder regulatorischen Anforderungen schaffen lokale KI-Systeme klare Vorteile bei Datenschutz, Sicherheit und Compliance. Durch den Wegfall nutzungsabhängiger Cloud-Kosten und die Verlagerung auf planbare…
News | Business | Digitalisierung | Favoriten der Redaktion | Kommentar | New Work | Strategien
Droht ein massiver Stellenabbau durch KI?
Management Summary Die Bonner Wirtschafts-Akademie warnt vor einem massiven Beschäftigungsabbau in Deutschland durch die gleichzeitige Wirkung von Energiekrise, KI-Einsatz und strukturellem Wandel. KI wird aus Sicht der BWA nicht nur Büroarbeitsplätze verändern, sondern über humanoide Roboter künftig auch industrielle Tätigkeiten zunehmend automatisieren. Internationale CEO-Befragungen deuten auf deutliche Personaleinschnitte hin; BWA-Geschäftsführer Harald Müller erwartet vergleichbare…
Trends 2026 | News | Business Process Management | Digitalisierung | Trends Services | New Work | Services
KI-Code wird im Review gelobt – bis zum Go-live
Der »2026 State of AI Coding Report« von New Relic zeigt: KI-generierter Code wird im Moment der Überprüfung als qualitativ hochwertiger eingestuft und liefert messbar schlechtere Ergebnisse, sobald er in die Produktion gelangt. Der »2026 State of AI Coding Report« deckt einen zentralen Widerspruch der Vibe-Coding-Ära auf: Während beim Review 94 Prozent der befragten…
Trends 2026 | News | Trends Security | Trends Kommunikation | Trends Services | Internet der Dinge | IT-Security | Kommunikation | Services
KI-Bots: Jede fünfte Webanfrage erfolgt mittlerweile automatisiert
KI-Bots verändern die Vorstellungen von guter Cybersicherheit. Bunny.net analysiert 42,5 Milliarden Anfragen und deckt auf, dass KI-Crawler mittlerweile mit Suchmaschinen konkurrieren und rekordverdächtige Angriffe auf Anwendungsebene verzeichnen. Jede fünfte Anfrage, die bei Websites eingeht, ist mittlerweile automatisiert, da KI-gestützte Bots, KI-Crawler und API-gesteuerter Datenverkehr die Art und Weise, wie Unternehmen mit dem Internet…
News | Cloud Computing | Effizienz | Infrastruktur | Künstliche Intelligenz | Nachhaltigkeit | Rechenzentrum
JUPITER: Exascale-Supercomputer mit höchster Effizienz
JUPITER am Forschungszentrum Jülich zählt weiter zu den leistungsstärksten Rechnern der Welt. In der aktuellen TOP500-Liste der schnellsten Supercomputer belegt JUPITER Platz 5 weltweit und ist zugleich der energieeffizienteste Rechner der Exascale-Klasse. Blick zwischen die Racks von JUPITER. Copyright: Forschungszentrum Jülich / Sascha Kreklau Laut aktueller TOP500-Liste, die im Rahmen der internationalen Supercomputing-Konferenz ISC 2026…
Trends 2026 | News | Trends Services | Trends E-Commerce | Marketing | Services
Gen Z sorgt für Schlagzeilen – doch Gen X könnte die eigentliche Kaufkraft in den sozialen Medien haben
Eine Analyse der Social-Media-Marketingagentur Sociallyin zeigt: Gen X gehört zu den wertvollsten, zugleich aber am häufigsten übersehenen Zielgruppen in sozialen Medien. Während jüngere Nutzerinnen und Nutzer oft Trends setzen, bringt Gen X andere Stärken mit – hohe Aufmerksamkeit, Plattformtreue und erhebliche Kaufkraft. Wichtige Erkenntnisse Gen X verbringt im Durchschnitt 1,9 Stunden pro Tag in…
Ausgabe 5-6-2026 | News | Business | Geschäftsprozesse | Künstliche Intelligenz | Strategien
Konsequente Integration als Erfolgsfaktor für KI-Anwendungen – Raus aus dem Piloten, rein in die Kernprozesse
KI-Investitionen erzielen oft nur begrenzten Nutzen, weil KI-Tools nicht tief in Kernprozesse und Unternehmenssysteme integriert wurden. Eine konsequente Integration erfordert gemeinsames Sicherheits- und Rollenmanagement, einheitliche Datenzugriffe, Aktionsfähigkeit der KI mit eingebetteten Compliance- und Kontrollmechanismen sowie Privacy-by-Design-Architekturen, damit Präzision, Datenschutz und Auditierbarkeit gewährleistet sind. Durch kontextualisierte KI in vertrauten Systemen lassen sich repetitive HR- und Finance-Aufgaben automatisieren, Supportanfragen reduzieren, Entscheidungsprozesse beschleunigen und messbare betriebliche Effekte erzielen, sofern Führung, Governance und Change-Management die verantwortungsvolle Einführung begleiten.

