Interview mit Bernhard Lehner von Keba zum Cyber Resilience Act

„Viele Unternehmen haben noch keine klare Vorstellung, was der CRA wirklich verlangt“

Der Cyber Resilience Act rückt näher – doch viele Unternehmen wissen noch nicht, was wirklich auf sie zukommt. KEBA Experte Bernhard Lehner erklärt, welche Schritte für KMU jetzt entscheidend sind, wo die größten Hürden liegen und wie Maschinenbauer CRA fit werden.

Philip Bittermann Editor-in-Chief neue verpackung / Automation NEXT
4 min
Der Cyber Resilience Act soll für mehr Cybersicherheit sorgen – stellt Unternehmen aber erst einmal vor große Herausforderungen.
Der Cyber Resilience Act soll für mehr Cybersicherheit sorgen – stellt Unternehmen aber erst einmal vor große Herausforderungen.

Redaktion: Herr Lehner, zum Zeitpunkt unseres Gesprächs ist bereits Mitte Februar 2026 – und der Cyber Resilience Act rückt immer näher. In einer idealen Welt: Wie weit sollten betroffene Unternehmen heute eigentlich sein? Und falls sie noch nicht so weit sind – womit sollten sie jetzt unbedingt beginnen?

Bernhard Lehner, Spezialist für den Cyber Resilience Act bei Keba
Bernhard Lehner, Spezialist für den Cyber Resilience Act bei Keba

Bernhard Lehner: In der perfekten Welt hätten Unternehmen den CRA inzwischen zumindest gründlich gelesen – vor allem die beiden Anhänge, weil dort die essenziellen Produktanforderungen stehen. Außerdem sollten die betroffenen Teams bereits ein Awareness Training bekommen haben, insbesondere Entwicklungsteams und alle, die in den Produktentstehungsprozess eingebunden sind.

Wichtig ist auch ein dokumentierter Entwicklungsprozess. Größere Unternehmen haben so etwas meist im Rahmen von ISO 9001 ohnehin etabliert. Aber auch kleinere Unternehmen sollten einen nachvollziehbaren, dokumentierten Prozess besitzen – insbesondere, weil künftig Security Praktiken strukturiert integriert werden müssen.

Und dann sollten Unternehmen dringend die Timeline verstehen:

• Die Meldepflicht für aktiv ausgenutzte Schwachstellen greift bereits im Herbst 2026.

• Alle produktbezogenen Anforderungen müssen bis Dezember 2027 vollumfänglich erfüllt sein.

Das heißt, Firmen sollten jetzt beginnen, einen Vulnerability Handling und Reporting Prozess aufzubauen – inklusive einer öffentlich erreichbaren Meldeadresse für vermutete Schwachstellen. Das kann in der einfachsten Form eine dedizierte E Mail Adresse sein.

Redaktion: Welche neuen Kompetenzen müssen Unternehmen intern aufbauen um diesen Themen gerecht zu werden? Und wie können gerade KMU externe Unterstützung finden?

Lehner: Es gibt im Kern zwei ganz zentrale Security Praktiken:

1. Secure Design – Security muss bereits in der Produktarchitektur mitgedacht werden. Also: Welche Schnittstellen habe ich? Welche müssen geschützt werden? Wo könnten Angriffe stattfinden und wie verhindere ich diese? Eine gute Security Architektur entsteht nicht „on top“, sondern ist Teil des Designs.

2. Risk Assessment – das Herzstück des CRA. Unternehmen müssen lernen, Bedrohungen über alle Schnittstellen hinweg realistisch einzuschätzen:

Wie wahrscheinlich ist ein erfolgreicher Angriff? Und wie groß wäre der Schaden?

Methodisch ähnelt das einem Safety Risk Assessment – aber die Schutzziele sind andere: Hier geht es um Datenintegrität, Vertraulichkeit und Verfügbarkeit.

Zur Unterstützung entstehen gerade die neuen Normen der EN 40000 1 Serie, die sich direkt am CRA orientieren. Diese Normen befinden sich noch im Draft Stadium, geben aber bereits gute Leitlinien.

Digitale Elemente einer Maschine wie HMI-Panels fallen künftig unter den CRA.
Digitale Elemente einer Maschine wie HMI-Panels fallen künftig unter den CRA.

Redaktion: Lassen Sie uns über KEBA sprechen. Wie können Ihre Produkte Maschinenbauern helfen, CRA konform zu entwickeln?

Lehner: Maschinen sind ebenfalls Produkte mit digitalen Elementen – also ganz klar CRA relevant. Unsere Automatisierungsprodukte sind grundsätzlich auf typische Einsatzbereich zugeschnitten, also beispielsweise Firewall Funktionen auf Controllern, um das interne Maschinennetz vom externen Netzwerk zu segmentieren, Security Mechanismen in HMI Geräten, Benutzerverwaltung, Verschlüsselungsmechanismen usw.

Zudem bieten wir Consulting Leistungen, vor allem bei Architekturfragen: Wie sieht eine sichere Maschinenarchitektur aus? Welche Security Maßnahmen sind für das konkrete Produkt notwendig? Dabei geht es um praktisches Secure Design – basierend auf unseren Komponenten.

Redaktion: Die Realität sieht ja so aus, dass im Feld 20 bis 30 Jahre alte Anlagen stehen und laufen. Unterstützt KEBA auch bei der Bewertung oder Absicherung solcher Bestandsmaschinen?

Lehner: Wir sind kein klassisches Consulting Unternehmen für die Security von Legacy-Systemen. Aber immer dort, wo im Zuge eines Retrofits unsere Steuerungen eingebaut werden, unterstützen wir unsere Kunden selbstverständlich bei der sicherheitskonformen Architektur.

Für sehr alte Produkte gilt: Man muss im Einzelfall bewerten, welche Geräte im Feld stehen, welche bekannten Schwachstellen existieren und was sich realistisch absichern lässt. Eine einfache „Standard Lösung“ gibt es dafür nicht.

Redaktion: Fünf Jahre kostenlose Sicherheits-Updates werden durch den CRA zur Pflicht – aber viele Maschinen laufen wie gesagt deutlich länger. Entstehen da neue Geschäftsmodelle?

Lehner: Möglich. Einerseits können Service Level Agreements helfen. Andererseits werden viele Maschinen ohnehin nach 10 oder 15 Jahren einem Retrofit unterzogen – dann kommt meist neue Hardware und Software hinein. Wichtig ist nur die Kompatibilität der Applikation.

Redaktion: Gibt es bereits Pilotprojekte zum CRA, an denen sich andere Unternehmen orientieren können?

Lehner: Was wir sehen, ist ein wiederkehrendes Muster, ein sinnvoller Fahrplan umfasst drei organisationale Pflichten:

1. Awareness und Schulungsprogramme: Mitarbeiter müssen Risk Assessment, Secure Design und CRA Grundlagen verstehen.

2. Incident Handling Prozess, inklusive Meldeadresse, Bewertung eingehender Meldungen und Meldung aktiv ausgenutzter Schwachstellen.

3. Mechanismus zur Bereitstellung von Security Updates, beispielsweise über ein Downloadportal oder Kundenportal.

Dazu kommen fünf Produkt Schritte:

1. Definition des Produkts: Was genau ist das Produkt? Was ist der Intended Use? Wie lange ist die geplante Support Periode?

2. Architekturdiagramme erstellen, also Maschine und Kommunikationspartner (physisch und Netzwerk).

3. Threat & Risk Modeling: Was sind reale Bedrohungen und Schwachstellen?

4. Gegenmaßnahmen planen: Design Änderungen, Controls wie Benutzerverwaltung oder zusätzliche Schutzmechanismen, ggf. Betreiberhinweise.

5. Technische Dokumentation erstellen – das ist die Grundlage, um das Produkt selbst CE und CRA konform zu erklären.

Wenn Unternehmen diese fünf Schritte sauber durchführen, können sie ihr Produkt CRA konform erklären.

Redaktion: Wo scheitern Unternehmen aktuell am häufigsten – und wo liegen vielleicht auch schnelle Erfolgserlebnisse?

Lehner: Die größte Hürde ist, dass viele noch keine klare Vorstellung vom CRA haben. Viele verwechseln Gesetz, Norm und Zertifikat. Oft herrscht auch der Irrglaube, dass alte Security Normen automatisch CRA konform seien – was nicht stimmt. Sie sind nicht harmonisiert und helfen nur begrenzt.

Zu einem echter Quick Win führen Informationsveranstaltungen, Webinare oder erste Workshops, die dann von einer Risikobetrachtung begleitet werden– dort kommt bei vielen das Aha Erlebnis „Ach so ist das gemeint!“, dann wird auch die Ähnlichkeiten zur Safety erkannt: Safety schützt Menschen vor der Maschine. Security schützt die Maschine vor dem potenziell böswilligen Menschen.

Außerdem ist CRA stark nutzerzentriert: Ein Großteil betrifft korrekte User Dokumentation – Installation, Konfiguration, sicherer Betrieb, sichere Außerbetriebnahme etc.

Redaktion: Wie schätzen Sie die aktuelle Reife der Industrie ein?

Security by Design ist zentraler Punkt des Cyber Resilience Acts.
Security by Design ist zentraler Punkt des Cyber Resilience Acts.

Lehner: Sehr unterschiedlich. Die Bandbreite reicht von „das betrifft uns nicht“ bis hin zu übertriebener Security, die kaum noch benutzbar wäre. Darum ist es mir auch wichtig hier noch einmal zu betonen: Der CRA fordert keine übertriebene Security, sondern eine angemessene, die über das Risk Assessment begründet wird.

Wer in Richtung kritische Infrastruktur liefert, erlebt oft zusätzliche Marktanforderungen. Manche fordern etwa die IEC 62443 – die aber ebenfalls nicht CRA harmonisiert ist und teils zu viel, teils zu wenig abdeckt.

In Europa kommt zudem die NIS 2 Richtlinie auf Betreiber kritischer Infrastrukturen zu – das beeinflusst auch Anforderungen an Zulieferer.

Redaktion: Was raten Sie kleinen Unternehmen, die Unterstützung brauchen? Wo können sie sich informieren?

Lehner: Die EU hat eine eigene Informationsseite zum CRA veröffentlicht. Es gibt außerdem eine Initiative, speziell für KMU vereinfachte Checklisten und Templates bereitzustellen. Diese sind angekündigt, aber nach meinem aktuellen Kenntnisstand noch nicht vollständig verfügbar.

Sobald diese Dokumente erscheinen, werden sie sicher eine wertvolle Hilfestellung sein. Zudem gibt es Podcasts, Webinare – auch wir werden im Frühjahr Webinare und deutsche Podcast Folgen zum Thema veröffentlichen.

it security cyber resilience act maschinenbau keba kmu steuerung-it

Auch interessant