Interview mit Stefan Bamberg von Wibu-Systems zum CRA

„CRA wird zum Wettbewerbsvorteil für KMU“

Der Cyber Resilience Act erhöht den Druck auf KMU – bietet aber auch klare Leitlinien. Im Interview erklärt Stefan Bamberg von Wibu-Systems, warum CRA-Compliance zum Wettbewerbsvorteil wird, wo typische Schwachstellen liegen und wie Unternehmen Security strategisch aufbauen.

Philip Bittermann Philip Bittermann Editor-in-Chief neue verpackung / Automation NEXT

11. Juni 2026 - 14:33

3 min

Der Cyber Resilience Act macht Cybersicherheit zur Daueraufgabe: KMU müssen Software-Lieferketten, Updates, Produktlebenszyklen und Compliance-Prozesse künftig strukturiert absichern.

OpenAI

Redaktion: Herr Bamberg, lassen Sie uns direkt einsteigen: Was ist der Cyber Resilience Act (CRA) – und was bedeutet er speziell für kleine und mittlere Unternehmen?

Stefan Bamberg, Director Sales und Key Account Management bei Wibu-Systems

Stefan Bamberg: Der CRA erhöht zunächst einmal den regulatorischen Druck auf Unternehmen – das gilt besonders für KMU mit begrenzten Ressourcen. Gleichzeitig schafft er aber auch Orientierung: Wer heute eine Digitalisierungsstrategie verfolgt – und das tun inzwischen fast alle Industrieunternehmen –, bekommt mit dem CRA einen klaren Leitfaden für Cybersecurity.

Natürlich ist die Umsetzung aufwendig, gerade weil den Unternehmen oft Spezialisten fehlen. Langfristig entsteht daraus aber ein Wettbewerbsvorteil: Unternehmen bauen strukturierte Security- und Compliance-Prozesse auf, die sie dauerhaft begleiten.

Redaktion: Da das Thema sehr komplex ist: Wo sehen Sie typische Missverständnisse beim CRA?

Bamberg: Ein zentraler Punkt ist: Es geht nicht um eine einmalige Zertifizierung. Unternehmen müssen die Anforderungen über den gesamten Produktlebenszyklus hinweg erfüllen und nachweisen können.

Zweitens betrifft der CRA nicht nur Hardwarehersteller, sondern auch reine Softwareanbieter und Zulieferer – also praktisch alle, die digitale Komponenten entwickeln.

Und ein weiteres Missverständnis: Auch Bestandsprodukte können relevant werden, etwa bei größeren Updates oder neuen Versionen. Und schließlich reicht Dokumentation allein nicht aus – technische und organisatorische Maßnahmen müssen tatsächlich umgesetzt werden.

Redaktion: Gerade bei bestehenden Produkten: Wo liegen typische Schwachstellen?

Wie Softwarehersteller und Hersteller intelligenter Geräte die CRA-Anforderungen durch Softwareschutz und Lizenzierung umsetzen können.

Bamberg: Häufig sind Entwicklung, Auslieferung und Updateprozesse nicht sauber getrennt – das ist problematisch. Außerdem fehlt oft der Überblick über alle relevanten Produkte im Unternehmen. Sicherheit wird zudem häufig erst nachträglich integriert, was teuer und ineffizient ist.

Ein weiterer kritischer Punkt ist der Schutz von Software, Schlüsseln und nicht zuletzt geistigem Eigentum. Genau hier bestehen oft große Lücken.

Redaktion: Viele KMU haben weder Zeit noch Personal mit ausgewiesener Expertise beim Thema Cybersecurity. Wie lässt sich CRA-Compliance trotzdem schaffen?

Bamberg: Das ist machbar – aber nur mit strukturiertem Vorgehen. Wichtig ist zum Beispiel die Automatisierung von Dokumentation über Entwicklungs- und Build-Prozesse. Außerdem sollten standardisierte Prozesse etabliert werden, die für alle Produkte gelten.

Ein entscheidender Erfolgsfaktor ist der Aufbau unternehmenseigener „Security Champions“ – also zentraler Experten, die Entwicklungsteams beraten. Und wenn Ressourcen fehlen, sollten externe Partner eingebunden werden. Ganz wichtig: priorisieren. Nicht alles auf einmal erledigen, sondern risikobasiert vorgehen.

Redaktion: Welche Rolle spielt die Software-Lieferkette?

Bamberg: Eine sehr große. Supply Chain Security ist ein zentraler Bestandteil der CRA-Compliance. Unternehmen müssen jederzeit nachweisen können, woher ihre Komponenten stammen und wie aktuell sie sind. Das gilt auch für Drittsoftware. Zudem müssen Updates sicher ausgeliefert werden. Das betrifft alle – unabhängig von der Unternehmensgröße.

Redaktion: Wie unterstützt Wibu-Systems Unternehmen hier konkret?

Bamberg: Wir kommen aus dem Bereich Softwareschutz und Lizenzierung – und genau hier berührt der CRA viele Anforderungen. Unsere Technologien helfen, Software vor Manipulation zu schützen, Nutzung zu kontrollieren und Updates sicher bereitzustellen.

Ein Beispiel ist die Lizenzierung: Sie ermöglicht es, genau zu wissen, welche Version bei welchem Kunden im Einsatz ist. Das ist essenziell, wenn Software zurückgezogen oder ersetzt werden muss. Außerdem sorgen wir dafür, dass Daten und Updates authentisch und unverändert bleiben.

Redaktion: Stichwort „Licensing-as-a-Service“: Ist das eine Lösung speziell für KMU?

Wie Softwarelizenzierung es Softwareherstellern und Herstellern intelligenter Geräte ermöglicht die Anforderungen des CRA über den gesamten Lebenszyklus digitaler Produkte hinweg zu erfüllen.

Bamberg: Absolut. Gerade kleinere Unternehmen können sich oft keine eigene Lizenzinfrastruktur leisten. Mit Licensing-as-a-Service stellen wir eine fertige Lösung bereit. Das reduziert Aufwand und Kosten erheblich. Gleichzeitig ermöglicht es die Nutzung etablierter Sicherheitsmechanismen und unterstützt bei der CRA-Compliance – ohne dass eigene Ressourcen aufgebaut werden müssen.

Redaktion: Beim CRA gilt ja auch eine Updatepflicht. Wie wirkt sich das aus?

Bamberg: Hersteller müssen Sicherheitsupdates über einen längeren Zeitraum – typischerweise mindestens fünf Jahre – kostenlos bereitstellen. Entscheidend ist dabei nicht nur das Update selbst, sondern auch dessen sichere Verteilung: Updates müssen signiert sein, damit ihre Authentizität gewährleistet ist. Lizenzsysteme können hier helfen, sicherzustellen, dass Kunden immer die korrekten Versionen erhalten.

Redaktion: Ändert sich dadurch auch das Geschäftsmodell?

Bamberg: Das ist derzeit noch offen. Klassisch gab es Wartungsverträge. Jetzt verschiebt sich das Thema stärker Richtung verpflichtender Security-Updates. Ob funktionale Updates künftig kostenpflichtig werden, wird sich zeigen. Die Technologie erlaubt beides – die Entscheidung liegt beim Hersteller.

Redaktion: Blicken wir nach vorne: Wie verändert der CRA Softwareentwicklung und Maschinenbau?

Bamberg: Cybersecurity wird integraler Bestandteil des gesamten Entwicklungsprozesses. „Security by Design“ wird Standard. Ebenso werden Updatefähigkeit und Schwachstellenmanagement zwingend. Unternehmen, die skalierbare Security- und Compliance-Prozesse etablieren, werden klare Vorteile haben.

Gleichzeitig eröffnet der CRA auch Chancen: Wer sich richtig aufstellt, kann neue Geschäftsmodelle entwickeln – etwa Feature-on-Demand, Subscriptions oder Pay-per-Use.

Redaktion: Zum Abschluss: Ihr wichtigster Rat an KMU?

Bamberg: Sofort anfangen. Die Zeit scheint lang, ist aber sehr knapp. Wer heute noch nichts unternommen hat, sollte spätestens jetzt starten – idealerweise sofort.

Automation NEXT Conference 2026

Datum: 30. September 2026

Ort: CU.BE Ulm by Bosch Rexroth, Ulm

Die Automation NEXT Conference ist die Fachkonferenz für industrielle Automatisierung, Digitalisierung und KI im Maschinen- und Anlagenbau.

Sie richtet sich an Entscheider, Produktions- und Automatisierungsverantwortliche sowie Entwickler, die ihre Fertigung zukunftsfähig aufstellen möchten. Im Fokus stehen praxisnahe Vorträge, Best Practices und der Austausch zwischen Industrie, Technologieanbietern und Forschung.

Themenschwerpunkte:

• Künstliche Intelligenz und generative Copilots im Engineering und in der Produktion

• Cobots und kognitive Robotik zur Bewältigung des Fachkräftemangels

• Smart Factory, IIoT, Industrial Networks und MES-Systeme

• Energieeffizienz, Nachhaltigkeit und Wettbewerbsfähigkeit

Teilnehmer:

Fach- und Führungskräfte aus industrieller Automatisierung, Produktion und Maschinenbau sowie Expert:innen aus Forschung und Technologieunternehmen.

Besonderheiten:

• Hochkarätige Speaker aus Industrie und Forschung

• Ein kompakter Konferenztag mit starkem Praxisbezug

• Intensives Networking und direkter Austausch auf Augenhöhe

Weitere Informationen & die Möglichkeit zur Anmeldung gibt es hier.