itemis PODCAST

itemis PODCAST

Über diesen Podcast

In unserem itemis PODCAST sprechen Expertinnen und Experten über moderne Softwareentwicklung, Künstliche Intelligenz, Cybersecurity und modellbasierte Systementwicklung. Wir diskutieren über Trends, Best Practices und reale Projekterfahrungen aus Industrie und IT.

Du möchtest Kontakt mit dem itemis PODCAST-Team aufnehmen? Dann melde dich unter podcast@itemis.com!

von und mit itemis AG

Abonnieren

Follow us

itemis AG

Transkript

Zurück zur Episode

00:00:33: Dirk Leopold: Gut, wir sind schon live.

00:00:34: Dirk Leopold: Herzlich willkommen zu einer neuen Ausgabe des itemis Podcasts.

00:00:39: Dirk Leopold: Worum geht es heute? Es geht um die Frage: Ihr Produkt bald illegal?

00:00:43: Dirk Leopold: Hier geht es um den EU Cyber Resilience Act (CRA).

00:00:48: Dirk Leopold: Wie betrifft das kleine und mittlere Unternehmen?

00:00:53: Dirk Leopold: Warum haben wir uns für dieses Thema entschieden?

00:00:57: Dirk Leopold: Zum einen ist der CRA bereits in Kraft getreten.

00:01:01: Dirk Leopold: Das heißt, es ist sozusagen geltendes Recht.

00:01:05: Dirk Leopold: Auch wenn die volle Bandbreite erst 2027 zum Handeln zwingt.

00:01:10: Dirk Leopold: Wir lernen gleich noch mehr, welche Stufen es hier gibt.

00:01:14: Dirk Leopold: Warum noch? Auch itemis ist ein kleines und mittleres Unternehmen.

00:01:19: Dirk Leopold: Und auch unsere Softwareprodukte werden davon betroffen sein.

00:01:24: Dirk Leopold: Ich beschäftige mich seit fast 10 Jahren mit Cyber Security.

00:01:29: Dirk Leopold: Wenn es neue Regelungen gibt, führt man die nicht am Wochenende ein.

00:01:34: Dirk Leopold: Da müssen Prozesse angepasst und Personen involviert werden.

00:01:39: Dirk Leopold: Ich habe gesehen, was passiert, wenn man das unterschätzt.

00:01:44: Dirk Leopold: Das sollte man im Kontext CRA nicht unterschätzen.

00:01:49: Dirk Leopold: Wir beschäftigen uns mit Security und sind 27001 zertifiziert.

00:01:54: Dirk Leopold: TISAX ist ein Thema, weil wir im Automobilumfeld unterwegs sind.

00:01:59: Dirk Leopold: Wir haben auch schon einen Secure Software Development Lifecycle.

00:02:04: Dirk Leopold: Für uns wird es machbar sein, den CRA zu erfüllen.

00:02:09: Dirk Leopold: Aber wer sich bisher nicht damit befasst hat, sollte jetzt aufwachen.

00:02:14: Dirk Leopold: Deshalb der reißerische Titel: Ist Ihr Produkt bald illegal?

00:02:19: Dirk Leopold: Wer den CRA noch nicht kennt, sollte sich damit beschäftigen.

00:02:24: Dirk Leopold: Ich habe Experten eingeladen, die sich am besten selber vorstellen.

00:02:29: Dirk Leopold: Fangen wir hier vorne an mit Michael.

00:02:40: Michael Happ: Guten Tag, mein Name ist Michael Happ. Ich bin Berater zum CRA.

00:02:44: Michael Happ: Ich bringe 20 Jahre Erfahrung in der Produktentwicklung mit.

00:02:49: Michael Happ: Ich habe Produktlebenszyklus-Management beraten.

00:02:54: Michael Happ: Seit der CRA als Draft draußen ist, beschäftige ich mich intensiv damit.

00:02:59: Michael Happ: Ich begleite Unternehmen auf der Reise von: Bin ich betroffen?

00:03:04: Michael Happ: Hin zu: Wie sieht eigentlich ein Handlungsplan aus?

00:03:09: Michael Happ: Wie stelle ich mich dem Thema strategisch auf?

00:03:18: Max Schubert: Max Schubert, Mitgründer und Geschäftsführer der INCYDE GmbH.

00:03:22: Max Schubert: Wir sind auf OT-Security im industriellen Umfeld spezialisiert.

00:03:27: Max Schubert: Wir begleiten Betreiber und Hersteller, maßgeblich im Bahnumfeld.

00:03:32: Max Schubert: Bei der Implementierung der richtigen IT-Security-Maßnahmen.

00:03:37: Max Schubert: Um CRA-Anforderungen und NIS-2-Anforderungen umzusetzen.

00:03:42: Max Schubert: Ich schreibe auch an einer europäischen Guideline im Rail-Umfeld mit.

00:03:47: Max Schubert: Ich freue mich, den Sektor bei der Umsetzung zu begleiten.

00:03:52: Tim Scherer: Mein Name ist Tim Scherer. Ich beschäftige mich Jahre mit dem CRA.

00:03:56: Tim Scherer: Damals bei Siemens, mittlerweile bei Microchip Technology.

00:04:01: Tim Scherer: Ich habe auch den ersten Draft des CRA gelesen.

00:04:06: Tim Scherer: Ich arbeite an Standardisierungsthemen für die Halbleiterindustrie mit.

00:04:11: Tim Scherer: Beim technischen Komitee TC74X bei CEN und CENELEC.

00:04:16: Tim Scherer: Ich treibe das Thema CRA intern bei Microchip Technology voran.

00:04:21: Tim Scherer: Wir sind ein großer Hersteller von Halbleitern und Mikrocontrollern.

00:04:26: Tim Scherer: Produkte digitaler Art, die von dem CRA betroffen sind.

00:04:31: Tim Scherer: Ich freue mich heute hier dabei zu sein.

00:04:40: Dirk Leopold: Wir haben drei Experten hier sitzen. Fangen wir mal an.

00:04:45: Dirk Leopold: Was ist überhaupt der Cyber Resilience Act und die Motivation?

00:04:50: Michael Happ: Der CRA ist eine EU-Regulierung zur Cybersicherheit in Unternehmen.

00:04:55: Michael Happ: Es gibt Regulierungen für Automotive oder medizinische Geräte.

00:05:00: Michael Happ: Aber viele Produkte im EU-Markt sind bisher nicht reguliert.

00:05:05: Michael Happ: Mit selbstgestellten Anforderungen hat das nicht gut geklappt.

00:05:10: Michael Happ: Deswegen gibt es jetzt ein flächendeckendes Gesetz, den CRA.

00:05:15: Michael Happ: Jedes digitale Produkt muss ein Mindestniveau an Cybersicherheit haben.

00:05:20: Michael Happ: Der Cyber Resilience Act ist bereits in Kraft getreten.

00:05:25: Michael Happ: Es ist ein direkt regulierendes Gesetz für Unternehmen.

00:05:30: Michael Happ: Bis Dezember 2027 haben die Firmen Zeit für Veränderungen.

00:05:35: Michael Happ: Nächstes Jahr gibt es Meldepflichten für Schwachstellen und Vorfälle.

00:05:40: Dirk Leopold: Das hat was mit dem CE-Kennzeichen zu tun?

00:05:45: Michael Happ: Ja, wie bei Sicherheitsanforderungen für Spielzeuge.

00:05:50: Michael Happ: Der CRA führt das jetzt für die Cybersicherheit aus.

00:05:55: Michael Happ: CRA-konforme Produkte brauchen dann auch ein CE-Kennzeichen.

00:06:00: Dirk Leopold: Okay. Wer ist betroffen und welche Produkte sind es genau?

00:06:10: Max Schubert: Produkte mit digitalen Elementen, die Daten verarbeiten.

00:06:15: Max Schubert: Die eine Schnittstelle haben, auf die man zugreifen könnte.

00:06:20: Max Schubert: Das geht bei Chips los und geht hoch bis zu ganzen Systemen.

00:06:25: Max Schubert: Jede Integrationsstufe, ob Chip, Router oder Schienenfahrzeug.

00:06:30: Max Schubert: KMUs und Konzerne sind gleichermaßen in der Pflicht.

00:06:35: Max Schubert: Das gilt für die EU und Anbieter auf dem europäischen Markt.

00:06:45: Dirk Leopold: Was hat das für Konsequenzen, wenn ich das nicht mache?

00:06:50: Tim Scherer: Es werden Strafen ausgehangen, ähnlich wie bei der DSGVO.

00:06:55: Tim Scherer: Es gibt drei Kategorien von 5 bis 15 Millionen Euro.

00:07:00: Tim Scherer: Oder ein Prozentsatz des weltweiten Unternehmensumsatzes.

00:07:05: Tim Scherer: Das betrifft Falschangaben oder operative Fehler wie fehlendes CE.

00:07:10: Tim Scherer: Auch die mangelnde Umsetzung der Sicherheitsanforderungen wird bestraft.

00:07:15: Tim Scherer: Schlimmer ist jedoch, wenn das Produkt nicht mehr verkauft werden darf.

00:07:20: Tim Scherer: Oder ein Rückruf erfolgt. Das bedeutet enorme Geldeinbußen.

00:07:25: Tim Scherer: Und natürlich ein massiver Vertrauensverlust als Hersteller.

00:07:40: Dirk Leopold: Wenn ich mein Produkt nicht verkaufen kann, ist das ein riesiger Schaden.

00:07:45: Dirk Leopold: Was sind denn die Hauptanforderungen an einen Produzenten?

00:07:50: Michael Happ: Ich unterscheide da grundsätzlich in zwei Ebenen.

00:07:55: Michael Happ: Erstens produktbezogene Maßnahmen: die wesentlichen Sicherheitsanforderungen.

00:08:00: Michael Happ: Die muss ich anwenden, nachweisen und dokumentieren.

00:08:05: Michael Happ: Das sind rund 21 Anforderungen aus den beiden Anhängen.

00:08:10: Michael Happ: Zweitens die Voraussetzungen: z. B. Schwachstellenmanagement.

00:08:15: Michael Happ: Auch der Produktentwicklungsprozess muss angepasst werden.

00:08:20: Michael Happ: Man muss die Organisation und Kommunikationswege anpassen.

00:08:25: Michael Happ: Prüft zuerst die Betroffenheit für eure Produkte.

00:08:30: Michael Happ: Wenn betroffen, dann bildet ein Team und einen Handlungsplan.

00:08:40: Dirk Leopold: Max, wie funktioniert das Zusammenspiel im Bahnumfeld?

00:08:45: Max Schubert: Es gibt kein Fire and Forget, es ist eine lebenslange Aufgabe.

00:08:50: Max Schubert: Man muss die Kategorisierung seiner Produkte selbst definieren.

00:08:55: Max Schubert: Und aktiv mit den Kunden in Kontakt treten.

00:09:00: Max Schubert: Über das CE-Kennzeichen erklärt man Konformität und Bedingungen.

00:09:05: Max Schubert: Man stellt Produkte für bestimmte Anwendungszwecke her.

00:09:10: Max Schubert: Deswegen ist die kaskadierte Kommunikation extrem wichtig.

00:09:15: Max Schubert: Ein Chip-Hersteller möchte ja, dass sein Produkt integriert wird.

00:09:20: Max Schubert: Man sollte aktiv kommunizieren: So erfülle ich den CRA.

00:09:25: Max Schubert: Dann können Integratoren deutlich leichter damit arbeiten.

00:09:30: Max Schubert: Harmonierte Standards werden genau diesen Weg vorschlagen.

00:09:35: Max Schubert: Kommunikation ist im B2B-Umfeld extrem wichtig.

00:09:40: Dirk Leopold: Also Empfehlung an KMUs: Geht selber auf eure Abnehmer zu.

00:09:45: Max Schubert: Absolut. Nutzt die Chance und füllt diese Lücke.

00:09:50: Max Schubert: Bis zum Stichtag 2027 sind es nur noch zwei Jahre.

00:10:00: Dirk Leopold: Irgendwas tritt doch schon im September nächsten Jahres in Kraft?

00:10:05: Tim Scherer: Die Meldepflichten für Hersteller ab dem 11. September 2026.

00:10:10: Tim Scherer: Das betrifft auch Produkte, die jetzt schon am Markt sind.

00:10:15: Tim Scherer: Bekannte Schwachstellen müssen an das BSI gemeldet werden.

00:10:20: Tim Scherer: Das geht an die nationalen CSIRTs.

00:10:35: Tim Scherer: Eine Schwachstelle muss innerhalb von 24 Stunden gemeldet werden.

00:10:40: Tim Scherer: Innerhalb von 72 Stunden folgen weitere Details.

00:10:45: Tim Scherer: Und nach einem Monat der finale Abschlussbericht.

00:10:50: Dirk Leopold: Unternehmen müssen also Schwachstellen auf dem Schirm haben.

00:11:05: Max Schubert: Es geht um Sicherheitsvorfälle und ausgenutzte Schwachstellen.

00:11:10: Max Schubert: Man muss zumindest die Meldung von Vorfällen ermöglichen.

00:11:15: Tim Scherer: Ein PSIRT übernimmt diese Koordination im Unternehmen.

00:11:25: Tim Scherer: Man braucht eine koordinierte Stelle nach außen hin.

00:11:35: Dirk Leopold: Muss ich schon anfangen oder auf 100 Prozent Informationen warten?

00:11:45: Tim Scherer: Man kann sich heute schon an gängigen Standards orientieren.

00:11:50: Tim Scherer: Wie etwa der IEC 62443 oder der 21434 für Automotive.

00:11:55: Tim Scherer: Das bereitet einen schon sehr gut auf den CRA vor.

00:12:00: Tim Scherer: Schaut euch dazu Webinare von CEN-CENELEC an.

00:12:10: Max Schubert: Die 62443 ist seit Jahren der Standard im Bahnumfeld.

00:12:15: Max Schubert: Entwicklungsprozesse, Risikomanagement und Systemanforderungen.

00:12:25: Max Schubert: Bitte nicht warten, sondern Security by Design jetzt etablieren.

00:12:35: Michael Happ: Das Wichtigste ist das Risikomanagement als Ankerpunkt.

00:12:40: Michael Happ: Man muss individuell auf seine Produkte schauen.

00:12:45: Michael Happ: Nutzt die gängigen Normen und Best Practices jetzt schon.

00:12:50: Max Schubert: Im industriellen Umfeld gibt es oft Safety-Anforderungen.

00:12:55: Max Schubert: Security by Design erlaubt Updates ohne ständige Rezertifizierung.

00:13:00: Max Schubert: Man sollte Produkte geschichtet aus Hardware und Software entwickeln.

00:13:10: Max Schubert: Wer es von vornherein mitdenkt, spart am Ende viel Geld.

00:13:20: Tim Scherer: Hersteller haben schon frühzeitig Security-Chips eingeplant.

00:13:25: Tim Scherer: Um Produkte in Zukunft CRA-ready zu machen.

00:13:35: Tim Scherer: Für Standardprodukte ist oft ein Self-Assessment möglich.

00:13:40: Dirk Leopold: Wie gehen wir mit Produkten um, die wir schon gebaut haben?

00:13:50: Michael Happ: Bestandsprodukte fallen zunächst nur unter die Meldepflichten.

00:13:55: Michael Happ: Aber Vorsicht bei signifikanten Modifikationen nach 2027.

00:14:05: Michael Happ: Dann gilt das wie ein neu in Verkehr gebrachtes Produkt.

00:14:10: Dirk Leopold: Man könnte also durch ein Update die CE-Zertifizierung verlieren.

00:14:15: Max Schubert: Bestand bedeutet, das Produkt wurde bereits in Verkehr gebracht.

00:14:25: Max Schubert: Ein Integrator wird ungern alte Produkte ohne Security kaufen.

00:14:35: Max Schubert: Wenn Daten verarbeitet werden, ist das Produkt betroffen.

00:14:45: Dirk Leopold: Es gibt keine feste Größe, bei der man rausfällt.

00:14:50: Tim Scherer: Die wesentlichen Anforderungen sind für alle Kategorien identisch.

00:14:55: Tim Scherer: Unterschiedlich ist nur die Art der Konformitätserklärung.

00:15:00: Tim Scherer: In der Default-Klasse kann man das selbst deklarieren.

00:15:05: Tim Scherer: Ab Klasse 2 muss eine Drittstelle die Prüfung durchführen.

00:15:15: Tim Scherer: Das kann durch Produktprüfung oder Qualitätsmanagement erfolgen.

00:15:25: Dirk Leopold: Man sollte sich aber dran halten, sonst greifen die Strafen.

00:15:35: Michael Happ: Ausgenommen sind Hobby-Produkte oder manche Open-Source-Software.

00:15:45: Max Schubert: Die Kosten hängen davon ab, wie viele Produkte betroffen sind.

00:15:55: Max Schubert: Externe Unterstützung kann die Sortierung am Anfang erleichtern.

00:16:10: Michael Happ: Die Entwicklungskosten bis zur Marktreife werden steigen.

00:16:15: Michael Happ: Kostenfreie Security-Updates für 10 bis 15 Jahre sind Pflicht.

00:16:20: Michael Happ: Das kann 5 bis 30 Prozent Aufschlag auf das Produkt bedeuten.

00:16:30: Dirk Leopold: Wie spielt CRA mit DORA zusammen?

00:16:50: Michael Happ: Es gibt Ausnahmen für bereits regulierte Produkte.

00:16:55: Michael Happ: Ein Medizinprodukt kann unter CRA fallen, wenn es nicht MDR-pflichtig ist.

00:17:05: Tim Scherer: Schaut am besten direkt in den Text des CRA rein.

00:17:10: Tim Scherer: Oder auf cyberstand.eu für offizielle Informationen.

00:17:20: Max Schubert: Tauscht euch auf Konferenzen mit anderen Herstellern aus.

00:17:35: Dirk Leopold: Wir wollen ein Forum für CRA-Betroffene aufbauen.

00:17:45: Dirk Leopold: Wir halten euch auf dem Laufenden. Vielen Dank an meine Gäste.

00:17:50: Michael Happ: Danke schön. Tschüss.