„Der CRA bringt den nötigen regulatorischen Druck”

Redaktion: Herr Bieber, lassen Sie uns zum Einstieg vielleicht erst einmal eine ganz grundsätzliche Basis legen: Welche Bedeutung hat der Cyber Resilience Act aus Ihrer Sicht für die industrielle Automatisierung und die OT Kommunikation?

Thierry Bieber: Wir sehen, dass unsere Industrie das Thema Security dringend adressieren muss. Produktionsnetzwerke müssen robuster geschützt werden – und der CRA ist ein zentraler Grundbaustein dafür. Geräte, die in industrielle Netzwerke eingebunden werden, müssen künftig Cybersecurity berücksichtigen und bilden damit die Basis für sichere Netzwerke und sichere Produktion. Leicht überspitzt formuliert: Keine Cybersecurity – keine industrielle Digitalisierung.

Wir hatten in der Vergangenheit bereits Security-Produkte, aber die Nachfrage am Markt war vergleichsweise begrenzt. Der CRA bringt nun den notwendigen regulatorischen Druck. Unternehmen erkennen, dass Security nicht mehr optional ist. Sie müssen handeln und ihre Geräte widerstandsfähiger machen. Das ist der richtige Weg und wir befinden uns jetzt in einer echten Umsetzungsphase.

Redaktion: Welche Rolle spielen Ihre Lösungen heute und künftig konkret bei der Absicherung industrieller Kommunikation?

Bieber: HMS ist Experte für industrielle Kommunikation – das macht uns automatisch zum ersten Ansprechpartner für sichere Kommunikation. Unsere Anybus Produkte bilden häufig die Kommunikationsschnittstelle eines Geräts. Damit tragen wir eine hohe Verantwortung, denn diese Schnittstelle muss vollständig sicher sein.

Wir wollen Enabler unserer Kunden sein und ihnen so viel wie möglich an Security Komplexität abnehmen. Wichtig ist aber auch zu sagen: Die Kommunikationsschnittstelle deckt nicht alles ab – Kunden müssen auch auf ihrer Seite Security implementieren.

Zusätzlich bieten wir externe Geräte wie Gateways oder Firewalls, die Netzwerke segmentieren und zusätzliche Sicherheitsschichten schaffen. Unser Fokus war und ist: Kommunikation ermöglichen – und künftig eben immer mit Security-by-Design.

Redaktion: Viele große Unternehmen sind schon weit bei dem Thema, aber gerade der Mittelstand, der ja den Großteil der Industrie darstellt, steht enorm unter Druck: CRA, NIS2, KI-Verordnung – häufig fehlen hier schlicht Ressourcen zur Umsetzung. Oder gibt es hier andere typische Herausforderungen, die Ihnen häufig begegnen?

Bieber: Am Ende geht es tatsächlich eigentlich immer um das Thema Ressourcen, unsere Umfrage im Rahmen unserer „Industrial Network Market Study“ bestätigt das auch noch einmal sehr deutlich:

Die größten Hürden sind ein Mangel an Expertise und Ressourcen, dazu kommen unklare Anforderungen – und natürlich belasten auch die zusätzlichen Kosten kleinere Unternehmen im Verhältnis stärker.

Das spüren wir in fast jedem Kundengespräch. Viele Unternehmen wissen zwar, dass sie handeln müssen, aber sie brauchen Orientierung: Wo beginnen? Welche Schritte sind sinnvoll? Welche Standards gelten? Hier kommen dann wir ins Spiel, unterstützen diese Kunden sehr intensiv mit Expertise, Empfehlungen und Roadmaps.

Redaktion: Gibt es typische Pain Points, die sich bei vielen Unternehmen wiederholen?

Bieber: Ja. Vor allem im Bereich Feldbusse. Bei modernen Diensten wie Webservern ist klar: HTTPS, Zertifikatsverwaltung, Benutzerverwaltung – alles bekannt aus der IT. Aber im Feld sind diese Werkzeuge und Prozesse oft noch nicht vorhanden. Ein zweites großes Thema ist die Usability: Selbst wenn Standards existieren, scheitert es oft an der praktischen Bedienbarkeit.

Auf der Feldebene stehen wir bei vielen Security Erweiterungen der Protokolle erst am Anfang. Es gibt Spezifikationen, aber noch wenige vollständige Produktlösungen. Unternehmen müssen hier zwischen der idealen Zukunft und der pragmatischen Gegenwart abwägen – und genau in diesem Spannungsfeld beraten wir.

Redaktion: Der CRA endet ja nicht mit der Markteinführung eines konformen Produkts. Hersteller müssen mindestens fünf Jahre lang kostenlos Sicherheitsupdates liefern, Schwachstellen managen und je nach Einstufung innerhalb von 24 Stunden über bekanntgewordene Sicherheitslücken informieren. Wie unterstützen Sie Ihre Kunden dabei?

Bieber: Das Wichtigste: Wir setzen Cybersecurity zuerst intern um. Seit 2021 sind wir nach IEC 62443 4 1 zertifiziert. Das umfasst Entwicklungsprozesse, Schwachstellenmanagement, Lebenszyklusmanagement und die Kommunikation mit Kunden. Wir leben das also selbst.

Darauf aufbauend haben wir unsere Produktdokumentation, alle Kommunikationskanäle und Security Stufen umfassend analysiert und beschrieben. Wir bieten klare Best Practices und Leitfäden für die Integration unserer Module.

Neben den Standardprodukten bieten wir auch eine IoT /Security Variante unserer Kommunikationsmodule mit höherem Schutzniveau – inklusive Security Chips, Secure Boot, signierten Komponenten, verschlüsselter Kommunikation etc. Diese Module sind 1:1 austauschbar, was die Integration für Kunden erheblich erleichtert.

Redaktion: Seit wann ist Ihr Portfolio nun komplett auf Cybersecurity getrimmt? Und haben Sie dafür allen Produkten ein Update verpasst, oder war dies auch der Anlass, bestimmte Angebote einstellen, wie andere Hersteller das getan haben?

Bieber: Unsere Security Reise begann bereits 2018 – getrieben von großen OEM Kunden. 2021 waren wir so weit, uns nach IEC 62443 zertifizieren zu lassen. Die Norm ist eine hervorragende Grundlage für die CRA Konformität.

Unsere aktuellen Produktfamilien sind damit alle sehr gut aufgestellt und werden 2026 die 62443 4 2 Zertifizierung für Geräte erhalten. Schwieriger sind sehr alte Produkte – wir bewegen uns ja in einer eher konservativen Branche und so sind manche Angebote seit über 20 Jahren im Markt. Diese Geräte wollen viele Kunden weitere zehn Jahre betreiben. In der Automatisierung zählt also Langlebigkeit.

Daher suchen wir pragmatische Lösungen: externe Schutzmaßnahmen, zusätzliche Sicherheitsbarrieren oder kleinere Anpassungen, ohne das Produkt abkündigen zu müssen. Aber ja, das ist eine der größten Herausforderungen: Legacy Management.

Redaktion: Bieten Sie Ihren Kunden in diesem Zuge auch ein CRA Assessment ihrer Brownfield Installationen an?

Bieber: Keinen offiziellen kostenpflichtigen Service. Aber wir bieten Unterstützung im Rahmen von Workshops, Beratung und technischer Abstimmung. Kunden kommen mit der Kernfrage: „Was muss ich jetzt tun?“ – und wir helfen bei Interpretation der Regelwerke, bei ersten Schritten, bei der Einschätzung von Risiken und möglichen Lösungen. Es ist ein gemeinsamer Lernprozess.

Redaktion: Was passiert eigentlich, wenn die gesetzlich vorgeschriebene Updatepflicht nach fünf Jahren endet. Könnte dann beispielsweise Security-as-a-Service ein Geschäftsmodell werden?

Bieber: Gedanklich ja, aber es ist schwer umzusetzen. Lebenszyklusmanagement wird wichtiger, keine Frage. Aber im Geräteherstellerumfeld ist es schwierig, tragfähige Dienstleistungsmodelle zu etablieren. Security muss integraler Bestandteil der industriellen Kommunikation werden – kein isolierter Service. Somit müsste man sich eher über Modelle rund um „Communication-as-a-Service“ Gedanken machen. .

Redaktion: Zum Abschluss: Wenn Sie einem KMU erste Schritte hin zur CRA-Konformität empfehlen müssten – welche wären das?

Bieber: Erstens: Klare Priorität durch das Management. Cybersecurity betrifft Prozesse, Produkte und Kosten. Das gesamte Unternehmen muss dahinter stehen.

Zweitens: Den Ist Zustand erfassen. Welche Geräte, welche Kommunikationskanäle, welche Dienste sind vorhanden? Was ist bereits gesichert, was nicht?

Und drittens: Risikoanalyse und Security by Design, insbesondere im Hinblick auf den Einsatzbereich der Produkte. Welche Schnittstellen sind wirklich erforderlich? Welche Alternativen gibt es? Welche Konfiguration ist sicher? Was muss geschlossen bleiben? Dies zu erfassen und zu dokumentieren ist bereits ein erster großer Schritt – denn er schafft die nötige Transparenz für die Endkunden.

Auf Basis dieser Schritte kann man dann priorisieren, eine Roadmap erstellen und passende Lösungen auswählen. Und dabei unterstützen wir natürlich – technisch, beratend, praktisch.

Profinet schafft Basis für CRA-Konformität

Der Countdown läuft: Ab Dezember 2027 zwingt der EU Cyber Resilience Act Hersteller zu digitaler Sicherheit. Profinet bringt die Industrie frühzeitig in Stellung – mit skalierbaren Lösungen für jede Risikoanalyse.

Kathrin Veigel