Der Cyber Resilience Act verändert alles – Interview mit Stefan Karg

Der Cyber Resilience Act verändert alles – Ein Gespräch über Risikoanalyse, SBOM, Lebenszyklus-Sicherheit und digitale Zwillinge 

Mit dem Cyber Resilience Act (CRA) entsteht der bislang umfassendste europäische Rechtsrahmen für vernetzte Produkte. Hersteller müssen künftig nachweisbar sicherstellen, dass ihre digitalen Systeme sicher sind und das nicht nur zum Zeitpunkt der Markteinführung, sondern über den gesamten Lebenszyklus hinweg. 

Was bedeutet das konkret? Wie sind die Anforderungen realistisch umsetzbar? Und wie lassen sich Risikoanalysen dauerhaft und effizient etablieren? 

Wir sprechen darüber mit Stefan Karg, Experte für digitales Risikomanagement bei ICS und maßgeblich an der Weiterentwicklung von SECIRA beteiligt.

Stefan Karg Head of Competence Center Security Team Lead Rail Security

Der CRA verlangt, dass Hersteller ihre Produkte wirklich verstehen. 

ICS-Redaktion 
Stefan, der CRA wird oft als komplex und schwer greifbar beschrieben. Was ist aus deiner Sicht die größte Veränderung, die der CRA mit sich bringt? 

Stefan Karg: 
Der CRA zwingt Unternehmen dazu, ihre Produkte nicht nur funktional zu entwickeln, sondern sie auch systemisch zu verstehen. Es reicht nicht mehr, Sicherheitsfunktionen zu konfigurieren. Hersteller müssen erklären können, warum ein Produkt sicher ist und zwar nachvollziehbar. 

Der CRA fragt sehr konkret: Welche Schwachstellen und Risiken existieren? Sind sie in der realen Betriebsumgebung ausnutzbar? Und wenn ja, wie werden sie behandelt? 

Diese Fragen lassen sich nur beantworten, wenn das Produkt und seine Umgebung in der Tiefe verstanden sind. Eine strukturierte Modellierung von Produkt und Umgebung kann hier sehr helfen. 

Eine SBOM allein erfüllt keine CRA-Anforderung. 

ICS-Redaktion 
Die Software Bill of Materials ist ein zentrales Element im CRA. Viele Unternehmen sehen darin bereits die Lösung. Warum greift das zu kurz? 

Stefan Karg: 
Eine SBOM ist ein notwendiges Element, aber sie beantwortet nur eine einzige Frage: 
Welche Komponenten sind in der Software enthalten? Der CRA geht deutlich weiter. Er verlangt, dass Schwachstellen bewertet werden. Das bedeutet: Ist eine Schwachstelle im konkreten System überhaupt ausnutzbar? Dazu wird Kontext benötigt. Ein verwundbares Softwaremodul ist beispielsweise völlig anders zu bewerten, wenn es lokal isoliert läuft, als wenn es Teil einer vernetzten Maschine mit Cloud-Anbindung und Remote-Zugriff ist. 

Ohne Systemkontext bleibt jede CVE-Bewertung rein theoretisch. 

Der digitale Zwilling ist der Schlüssel zur CRA-konformen Risikoanalyse. 

ICS-Redaktion 
DuBei der ICs sprechen wir sprichst häufig vom digitalen Zwilling. Was genau ist damit im CRA-Kontext gemeint? 

Stefan Karg: 
Artikel 13 definiert die Verpflichtungen der Hersteller und stellt klar, dass Produkte immer in ihrem Einsatzgebiet betrachtet werden müssen, einschließlich ihrer Anbindung an Netze. 

Ein wirksames Risikomanagement erfordert die ganzheitliche Betrachtung des Produkts in seiner realen Betriebsumgebung. Genau hier setzt der Ansatz eines digitalen Zwillings an, der technische, organisatorische und physische Aspekte zusammenführt. 

Ein digitaler Zwilling ist bei uns daher kein Marketingbegriff, sondern eine technische Abbildung der Realität. Wir modellieren darin: 

• Produkte und Komponenten 
• Hardware- und Softwareschnittstellen  
• Netzwerke und Kommunikationswege 
• Cloud-Dienste und externe Schnittstellen 
• physische Zugänge 
• Benutzer, Rollen und Berechtigungen 

Dieses Modell ist die Grundlage, um Risiken realistisch zu bewerten. 
Erst wenn ich weiß, wie ein Angreifer durch dieses System navigieren könnte, kann ich entscheiden, welche Schwachstelle relevant ist und welche nicht. 

Der CRA fordert keinen Bericht, sondern einen Prozess. 

ICS-Redaktion 
Viele Unternehmen gehen immer noch davon aus, dass eine einmalige Risikoanalyse ausreicht. Was sagt der CRA dazu? 

Stefan Karg: 
Der CRA ist hier sehr eindeutig: Artikel 13 und Artikel 31 fordern, dass Risikoanalysen aktualisiert werden müssen – und zwar über den gesamten Unterstützungszeitraum des Produkts. 

In der Praxis heißt das: 

• neue Schwachstelle → Neubewertung 
• neue Firmware → Neubewertung 
• neue Schnittstelle → Neubewertung 
• neue Bedrohungsszenarien → Neubewertung 

Ein einmal erstelltes, statisches Dokument kann das nicht leisten. Der CRA verlangt einen lebenden Risikomanagementprozess. Die Risikoanalyse muss kontinuierlich gepflegt werden. Wird ein digitaler Zwilling einmal aufgesetzt, können Risiken fortlaufend und tagesaktuell bewertet werden. 

SECIRA macht Risikoanalyse lebenszyklusfähig. 

ICS-Redaktion 
Wie unterstützt SECIRA diesen Ansatz konkret? 

Stefan Karg: 
SECIRA setzt genau dort an, wo klassische Methoden aufwändig werden. Einmal aufgesetzt, bildet SECIRA den digitalen Zwilling eines Produkts oder Systems ab und ermöglicht die schnelle Reaktion auf Änderungen am Produkt oder in der Umgebung. 

Das bedeutet konkret: 

• Modellierte Schwachstellen werden automatisch im Systemkontext bewertet 
• Angriffswege werden als Angriffsbaum sichtbar 
• Risiken können auf Knopfdruck neu bewertet werden, z.B. wenn neue Schnittstellen hinzukommen 
• Maßnahmen und Entscheidungen können versioniert dokumentiert werden 

So entsteht ein Risikomodell, das nicht veraltet, sondern mit dem Produkt mitwächst. 

Risikomanagement wird zum Steuerungsinstrument. 

ICS-Redaktion 
Was unterschätzen Unternehmen deiner Meinung nach am CRA am meisten? 

Stefan Karg: 
Betroffenheit wird massiv unterschätzt. Ab 11.12.2027 dürfen auch bisherige Produkte nicht mehr verkauft werden, wenn sie nicht CRA konform sind! 

Umsetzung braucht Zeit. Im November 2027 anzufangen wird zu spät sein. 

CRA ist kein „soll“ sondern ein hartes, mit Bußgeldern bewehrtes „muss“. Das gab‘s in der Breite noch nie. 

Für die Umsetzung brauchen Unternehmen (gerade KMU) Ressourcen, die sie bisher nicht gebraucht haben (Security-Experten), die am Markt nicht gerade leicht zu bekommen sind. 

Alleine stehen die Unternehmen wie der Ochs vorm Berg und wissen nicht, was und wie sie mit dem CRA anfangen sollen. 

Der CRA zeigt, wie Cybersecurity künftig funktionieren muss. 

ICS-Redaktion 
Zum Abschluss: Warum glaubst du, dass der CRA langfristig Wirkung zeigen wird? 

Stefan Karg: 
Weil er Unternehmen dazu bringt, Sicherheit nicht mehr optional zu betrachten. 
Der CRA verlangt die Integration von Security in den gesamten Prozess. Das führt in der Folge zu besseren Produkten. Nicht nur sicherer, sondern auch stabiler, wartbarer und nachvollziehbarer. 

Fazit 

Der Cyber Resilience Act ist kein reines Compliance Thema. Er verändert grundlegend, wie Security-Risiken betrachtet und behandelt werden müssen. Er verlangt: 

• kontextbasierte Risikoanalyse 
• kontinuierliche Aktualisierung 
• nachvollziehbare, dokumentierte Entscheidungen 

Mit einem digitalen Zwilling und einem lebenszyklusorientierten Ansatz wie in SECIRA lassen sich diese Anforderungen nicht nur erfüllen, sondern strategisch nutzen.