Cybersecurity in der industriellen Kommunikation

Vom regulatorischen Muss zum Wettbewerbsvorteil

Redaktion Redaktion
netX 90 auf Leiterkarte
Der NETX 90 von Hilscher ist der kleinste multiprotokollfähige Kommunikationscontroller auf dem Markt und unterstützt alle gängigen Feldbus- und Industrial-Ethernet-Protokolle.

Der neue Cyber Resilience Act verändert die Spielregeln in der Industriekommunikation: Hersteller müssen IT-Sicherheit künftig fest in ihre Produkte integrieren, von sicheren Standardeinstellungen bis zu kontinuierlichen Updates.

Frank Behnke, Head of Cybersecurity, Hilscher
„Der CRA kennt keine unkritische Schnittstelle. Jede nach außen geführte Verbindung kann genutzt werden, um das Gerät zu kompromittieren.“ Frank Behnke, Head of Cybersecurity, Hilscher

Die europäische Industrie steht vor einem tiefgreifenden Wandel: Mit dem Cyber Resilience Act (CRA), der NIS-2-Richtlinie und weiteren EU-Vorgaben rücken Cybersicherheit und Produktresilienz in den Mittelpunkt für produzierende Unternehmen und deren Zulieferer. In Zukunft werden Security by Design und Security by Default schon von der ersten Sekunde der Entwicklung und Idee zu einem Produkt mit betrachtet werden müssen. Was das genau für Hersteller bedeutet, macht Frank Behnke, Head of Cybersecurity beim Industriekommunikationsspezialisten Hilscher aus Hattersheim bei Frankfurt, deutlich.

Der regulatorische Rahmen – mehr als nur CRA

Der CRA ist kein isoliertes Gesetz, sondern Teil eines ganzen Pakets der EU. Neben der NIS-2-Richtlinie, die IT- und OT-Infrastrukturen adressiert, sind auch die neue Maschinenverordnung, die erweiterte Funkanlagenrichtlinie sowie die KI-Verordnung relevant.

Ab 11. September 2026 gilt für Hersteller eine Meldepflicht innerhalb von 24 Stunden bei Sicherheitsvorfällen. Ab 11. Dezember 2027 müssen alle betroffenen Produkte vollständig CRA-konform sein – inklusive CE-Kennzeichnung, die dann auch die Softwaresicherheit bei Neuprodukten oder wesentlichen Änderungen an Bestandsprodukten umfasst.

Eine wesentliche Neuerung: Die Verantwortung endet nicht mehr am eigenen Werkstor. Hersteller müssen auch die Cybersicherheit zugekaufter Komponenten nachweisen.
„Ich kann heute als Hersteller nicht mehr hingehen und sagen: Alles, was von mir ist, verantworte ich – und alles, was ich zukaufe, interessiert mich nicht. Das wird in Zukunft nicht mehr funktionieren“, so Cybersecurity-Experte Behnke.

Technische Pflichten – von sicheren Standards bis Patch Management

Die zentralen Anforderungen des CRA sind seitens der EU klar formuliert:

● Produkte dürfen keine bekannten ausnutzbaren Schwachstellen enthalten.
● Auslieferung muss in einer sicheren Standardkonfiguration erfolgen.
● Produkte müssen update- und patchfähig sein.
● Risikobewertungen sind regelmäßig und über den gesamten Unterstützungszeitraum hinweg durchzuführen; mindestens fünf Jahre, in Einzelfällen länger.
● Es muss eine sichere Datenlöschung bei Außerbetriebnahme möglich sein.

Wichtig: Auch Schnittstellen, die bislang als „unkritisch“ galten, etwa serielle Anschlüsse, unterliegen einer Risikobetrachtung.

„Der CRA kennt keine unkritische Schnittstelle. Jede nach außen geführte Verbindung kann genutzt werden, um das Gerät zu kompromittieren“, warnt Behnke.

Grafik mögliche Angriffsvektoren.
Ab 11. September 2026 gilt für Hersteller eine Meldepflicht innerhalb von 24 Stunden bei Sicherheitsvorfällen.

Praktische Auswirkungen – neue Prozesse und Verantwortung

Mit dem Inkrafttreten der NIS-2-Richtlinie wird der Kreis der betroffenen Unternehmen deutlich größer. Bereits Firmen ab 50 Mitarbeitenden und zehn Mio. Euro Umsatz sind verpflichtet, angemessene Sicherheitsmaßnahmen zu etablieren. Der CRA verpflichtetet zur Einführung eines Secure Development Lifecycle – auch wenn dieser nicht zwingend zertifiziert werden muss. Entscheidend ist, dass die entsprechenden Prozesse stets dokumentiert und implementiert sind.

Die Herausforderung liegt in der Praxisumsetzung: „Viele Unternehmen unterschätzen die Tragweite der bevorstehenden Veränderungen“, erklärt Behnke. „Es reicht nicht, am Ende eine Sicherheitsschicht drüber zu legen – Security muss von Anfang an Teil der Architektur sein.“

Grafik Roadmap and procedure for implenting the CRA requirements.
Ab 11. Dezember 2027 müssen alle betroffenen Produkte vollständig CRA-konform sein – inklusive CE-Kennzeichnung.

Sicherheit aus der Produkt-DNA heraus

NETX 90
Der NETX 90 unterstützt unter anderem Profibus, Profinet, Ethercat, Ethernet/IP, Modbus, Can-Open, CC-Link, Powerlink und Sercos.

Hilscher reagiert auf die Anforderungen mit einem ganzheitlichen Sicherheitskonzept. Neben der weit fortgeschrittenen Vorbereitung auf ISO 27001, BSI IT-Grundschutz und IEC 62443-4-1 fließen Sicherheitsfunktionen direkt in die Produktentwicklung ein. Zentraler Bestandteil ist dabei der multiprotokollfähige 90-Kommuniaktionscontroller.
Der NETX 90 bietet folgende Features für CRA-konforme industrielle Kommunikation:

● Secure Boot mit Hardware Root of Trust
● signierte Firmware-Updates
● Rollen- und Rechtemanagement
● Zertifikats- und Schlüsselverwaltung
● TLS-Verschlüsselung und sichere Webserver
● zertifizierte Protokoll-Security, unter anderem Ethernet/IP CIP Security

„Wir unterstützen unsere Kunden entlang der kompletten Wertschöpfungskette – von der Hardware über die Software bis zur Dokumentation für die Zertifizierung“, erklärt Behnke.

Handlungsempfehlungen für Unternehmen

Die Zeit bis 2027 scheint lang – ist sie aber nicht, wenn man die notwendigen Maßnahmen betrachtet. Cybersecurity-Experte Behnke empfiehlt:

● Früh starten: CRA-Anforderungen systematisch in Entwicklungs- und Betriebsprozesse integrieren.
● Risikoanalyse fest verankern: Potenzielle Angriffsflächen identifizieren und bewerten.
● Patch- und Update-Strategien etablieren: Automatisierte Mechanismen reduzieren den Aufwand.
● Lieferkette einbinden: Sicherheitsanforderungen an Zulieferer vertraglich fixieren.
● Dokumentation auditfähig gestalten: Klare Prozesse und Nachweise für Marktaufsichtsbehörden.
● Zertifizierte Partner wählen: Kooperation mit spezialisierten Anbietern erleichtert Compliance.

Fazit – vom Zwang zur Chance

Der CRA stellt für viele Unternehmen einen Paradigmenwechsel dar. Cybersicherheit wird nicht nur zur gesetzlichen Pflicht, sondern auch zu einem zentralen Marktfaktor. Wer jetzt investiert, kann sich als vertrauenswürdiger Partner positionieren und Wettbewerbsvorteile sichern.

„11. Dezember 2027, das klingt weit weg. Aber wenn man sieht, was man alles bis dahin umsetzen muss, ist das nicht mehr so“, fasst Frank Behnke von Hilscher zusammen. „Jetzt ist der Zeitpunkt, um Security nicht nur als Pflicht, sondern als Teil der eigenen Produktqualität zu verstehen.“

Über den NETX-90-Kommunikationscontroller

Der NETX 90 von Hilscher ist der kleinste multiprotokollfähige Kommunikationscontroller auf dem Markt und unterstützt alle gängigen Feldbus- und Industrial-Ethernet-Protokolle – darunter Profibus, Profinet, Ethercat, Ethernet/IP, Modbus, Can-Open, CC-Link, Powerlink und Sercos.

Durch einen einfachen Firmwarewechsel kann das jeweils benötigte Protokoll aufgespielt werden, sodass Gerätehersteller flexibel auf unterschiedliche Marktanforderungen reagieren können.

Damit das reibungslos funktioniert, gibt Hilscher ein Plattformversprechen für die NETX-Technologie: Hardware, Protokollsoftware, Treiber, Tools und Support stammen aus einer Hand und sind technologisch aufeinander abgestimmt.

Anwender müssen sich nur einmal in die NETX-Umgebung einarbeiten und können damit unterschiedliche Standards bedienen – vom SOC über Embedded-Module bis hin zu PC-Karten. So reduziert der NETX 90 Entwicklungsaufwand, minimiert Risiken und ermöglicht eine zukunftssichere Kommunikation, die bereits integrierte Sicherheitsmechanismen nach aktuellen Vorgaben berücksichtigt.

compliance wettbewerbsvorteil regulierung verpackungsbranche nachhaltigkeit markt