Illustration Absmeier foto freepik

CRA macht Vulnerability Management zur Pflicht: Hersteller vernetzter Produkte müssen Sicherheitslücken über den gesamten Produktlebenszyklus hinweg erkennen, bewerten, beheben und dokumentieren.
Komplexe Software‑Lieferketten erhöhen das Risiko: Moderne Geräte enthalten hunderte bis tausende Komponenten; jede einzelne kann Schwachstellen einbringen, die das gesamte Produkt gefährden.
Automatisierte Firmware‑ und Komponentenanalysen werden essenziell: Plattformen wie ONEKEY analysieren Binärdateien ohne Quellcodezugriff, identifizieren Schwachstellen in Minuten und erzeugen vollständige, angereicherte SBOMs.
SBOMs werden zum Sicherheitspass: Erweiterte SBOMs enthalten Risikobewertungen, Nachweise und regulatorisch relevante Informationen in einer einzigen Datei – ein zentraler Baustein für CRA‑Compliance.
Kontinuierliches Monitoring über den Lebenszyklus hinweg: CRA‑Readiness‑Assessments, permanentes Vulnerability Management und laufende Überwachung schaffen Transparenz und sichern die Einhaltung der neuen EU‑Vorgaben.

Cyber Resilience Act: Effektives Vulnerability Management und automatisierte Erstellung einer Software Bill of Materials werden zentrale Erfolgsfaktoren für die Hersteller vernetzter Produkte.

Mit dem Cyber Resilience Act (CRA) hat die Europäische Union erstmals einen verbindlichen Rechtsrahmen für die Cybersicherheit digitaler Produkte geschaffen. Für die Hersteller vernetzter Geräte, Maschinen und Anlagen rückt damit ein Thema besonders in den Mittelpunkt: das systematische Management von Sicherheitslücken über den gesamten Produktlebenszyklus hinweg. Das Düsseldorfer Cybersicherheitsunternehmen ONEKEY bietet eine Lösung für ein effektives Vulnerability Management einschließlich der automatisierten Generierung einer Software-Stückliste (Software Bill of Materials) an.

Während viele Unternehmen bislang vor allem auf klassische IT-Sicherheitsmaßnahmen gesetzt haben, verlangt der CRA eine deutlich umfassendere Herangehensweise. Hersteller müssen künftig in der Lage sein, Schwachstellen frühzeitig zu erkennen, ihre Risiken zu bewerten, Sicherheitsupdates bereitzustellen und diese Prozesse transparent zu dokumentieren.

Vulnerability Management wird regulatorische Pflicht

Im Zentrum der neuen Anforderungen steht ein strukturiertes Vulnerability Management. Unternehmen müssen kontinuierlich überprüfen, ob ihre Produkte bekannte oder neu entdeckte Sicherheitslücken enthalten. Dazu gehört auch die Analyse aller Software-Komponenten, aus denen moderne Geräte und Anwendungen bestehen.

Besonders relevant ist dabei die zunehmende Komplexität heutiger Software-Lieferketten. Viele Produkte enthalten hunderte oder sogar tausende Open-Source- und Drittanbieter-Komponenten. Jede einzelne dieser Komponenten kann potenziell Sicherheitslücken enthalten, die sich auf das gesamte Produkt auswirken.

Automatisierte Analyse von Firmware und Software-Komponenten

Moderne Sicherheitsplattformen setzen daher verstärkt auf automatisierte Analysen, um Risiken frühzeitig zu erkennen. So ermöglicht es die Product Cybersecurity & Compliance Platform Herstellern, Geräte-Firmware automatisiert zu untersuchen und bekannte Schwachstellen innerhalb weniger Minuten zu identifizieren.

Ein besonderer Vorteil liegt darin, dass die Analyse auch ohne Zugriff auf den Quellcode möglich ist. Stattdessen werden Binärdateien direkt untersucht, wodurch Sicherheitsprobleme selbst in komplexen Embedded-Systemen erkannt werden können.

Parallel dazu unterstützt ein automatisiertes Vulnerability Management Unternehmen dabei, Software-Komponenten transparent zu dokumentieren und Risiken systematisch zu priorisieren. Sicherheitsverantwortliche erhalten dadurch einen klaren Überblick darüber, welche Schwachstellen tatsächlich kritisch sind und welche Maßnahmen zur Behebung daher priorisiert umgesetzt werden sollten.

Dazu gehört eine Funktion, um sogenannte angereicherte SBOMS zu erzeugen. Die stark erweiterten Software-Stücklisten enthalten alle relevanten Informationen zu Schwachstellen und die damit erzeugten SBOMS erfüllen alle Anforderungen der Branche und der Aufsichtsbehörden vollumfänglich. Sie enthalten nicht nur die Schwachstellen mit Risikoeinordnung, sondern stellen auch die Nachweise und Begründungen in einer einzigen leicht handhabbaren Datei bereit. Damit wird die SBOM von der bloßen Stückliste zu einem Sicherheitspass mit integrierter Risikobewertung und allen regulatorisch konformen Nachweisen.

Kontinuierliche Überwachung über den gesamten Produktlebenszyklus

Die neuen Funktionen sind Teil des Programms »CRA Fast Start«, mit dem die Hersteller vernetzter Geräte, Maschinen und Anlagen ihre Produkte strukturiert und ohne Vorlaufzeiten auf Compliance in Bezug auf den neuen EU-Sicherheitsstandard Cyber Resilience Act überprüfen können. Das Programm basiert auf mehreren Säulen: CRA Readiness Assessment, Erstellung von Software-Stücklisten (SBOMs) als solide Grundlage für eine permanente CRA Compliance, systematisches Vulnerability-Management und kontinuierliches Monitoring.

Beim strukturierten CRA-Readiness-Assessment wird der Reifegrad eines Unternehmens in Bezug auf die CRA-Anforderungen analysiert. Auf dieser Basis lassen sich Compliance-Lücken identifizieren und priorisierte Handlungsschritte definieren. Im nächsten Schritt dienen ein kontinuierliches Vulnerability Management und ein kontinuierliches Monitoring dazu, Schwachstellen aufzudecken und für Softwarelieferketten Transparenz (durch SBOMs) zu schaffen. Neue Schwachstellen, betroffene Bibliotheken und sicherheitsrelevante Änderungen werden fortlaufend erfasst. Dies unterstützt die Einhaltung der CRA-Pflichten sowie der dazu erforderlichen Governance- und Risikomanagementprozesse.

Strategische Bedeutung für Unternehmen

Für Hersteller vernetzter Produkte hat der CRA damit weitreichende Folgen. Unternehmen müssen ihre Entwicklungsprozesse stärker auf Sicherheit ausrichten und neue organisatorische Strukturen schaffen, um die regulatorischen Anforderungen zu erfüllen.

Ein professionelles Vulnerability Management wird damit zu einem zentralen Baustein für die CRA-Compliance. Wer frühzeitig in automatisierte Sicherheitsanalysen und strukturierte Prozesse investiert, kann nicht nur regulatorische Risiken reduzieren, sondern auch das Vertrauen von Kunden und Partnern stärken.

»Der Cyber Resilience Act wird die Produktentwicklung in Europa nachhaltig verändern«, sagt Jan Wendenburg, CEO von ONEKEY, »Cybersicherheit wird künftig nicht mehr als Zusatzfunktion betrachtet, sondern als grundlegende Voraussetzung für digitale Produkte im europäischen Markt.«

87 Artikel zu „Cyber Resilience“

News | Trends 2025 | Trends Security | Favoriten der Redaktion | Internet der Dinge | IT-Security | Whitepaper

Es wird Zeit für den Endspurt in Richtung Cyber Resilience Act

8. September 2025

Cyber Resilience Act – fast 2/3 der Unternehmen sind noch nicht damit vertraut. Neue EU-Richtlinie für Cybersecurity stellt die Unternehmen vor viele Herausforderungen: Meldepflichten, Erstellung von Softwarestücklisten, Produktumstellungen auf »Secure by Design«. Die deutsche Wirtschaft misst dem EU Cyber Resilience Act (CRA) nicht die Bedeutung bei, die angesichts der damit verbundenen Pflichten für Hersteller, Importeure…