Iain Davidson
Iain hat in verschiedenen Technologierollen gearbeitet – von Design und Systementwicklung über Vertrieb bis hin zu Marketing. Derzeit ist er Head of Product Marketing bei Wireless Logic und unterstützt Unternehmen dabei, fundierte Technologieentscheidungen für erfolgreiche IoT-Projekte und -Implementierungen zu treffen.
Im September 2020 öffnete ein Mitarbeiter des britischen Wasserversorgungsunternehmens South Staffordshire PLC eine Phishing-E-Mail. Nach allen Berichten handelte es sich um eine überzeugende E-Mail. Es wurde Schadsoftware installiert. Und dann passierte fast zwanzig Monate lang absolut nichts.
Hinter den Kulissen hatten sich die Angreifer jedoch vollständigen Administratorzugriff auf die Systeme des Unternehmens verschafft. Sie blieben. Sie sahen sich um. Sie bedienten sich. Als es endlich auffiel, waren bereits 4,1 Terabyte an Daten abgezogen und im Dark Web veröffentlicht worden. Die persönlichen Daten von 633.000 Kunden – den Kunden dieses Wasserversorgers, Menschen, die in dieser Angelegenheit keine nennenswerte Wahl hatten – waren kompromittiert worden.
Die Geldstrafe belief sich auf rund 1 Million Euro. Erheblich, aber nicht ruinös. Der Reputationsschaden, die Auswirkungen auf die Kunden, die Betriebsstörungen t vielleicht etwas schwerwiegender.
Dies ist kein Einzelfall. Es handelt sich zunehmend um ein Muster.
Warum eine Regulierung wie der CRA kommen musste
Jahrelang war der Umgang mit Cybersicherheit in den meisten Branchen weitgehend freiwillig. Rahmenwerke gab es natürlich, und zwar viele: ISO 27001, NIS2, EN 18031, EN 303645 und weitere (hier liegt der Fokus zwar etwas auf der EU, aber jede Region hat ihre Entsprechungen, wie beispielsweise das NIST CSF in den USA), und Organisationen wurden dazu ermutigt, diese zu übernehmen. Viele taten dies auch. Viele taten es nicht, setzten sie nur teilweise um oder betrachteten sie eher als einmalige Zertifizierungsmaßnahme denn als kontinuierliche operative Verpflichtung.
Gesetzgeber und Regulierungsbehörden haben dieses Muster lange genug beobachtet. Die Schlussfolgerung, zu der sie gelangten, war nicht unbegründet: Wenn die Folgen mangelnder Sicherheit über die Organisation selbst hinausreichen – auf Kunden, kritische Infrastrukturen und die öffentliche Sicherheit –, reicht eine freiwillige Einhaltung nicht aus.
Das EU-Gesetz zur Cyber-Resilienz (und für das Vereinigte Königreich der bevorstehende „Cyber Security & Resilience Bill“) ist die bedeutendste gesetzgeberische Reaktion auf diese Schlussfolgerung. Es gilt für jede Organisation, die vernetzte Produkte herstellt oder auf dem europäischen Markt verkauft. Es handelt sich nicht um eine Checkliste. Es schreibt nicht genau vor, wie Sicherheit erreicht werden muss. Stattdessen verlangt er von Organisationen, bei der Sicherheit ihrer vernetzten Produkte oder Anlagen systematisch und risikobasiert vorzugehen – und zwar nicht nur zum Zeitpunkt der Markteinführung, sondern über den gesamten Lebenszyklus hinweg.
Gerade bei diesem letzten Punkt hinken die meisten Organisationen noch hinterher.
Das Lebenszyklus-Problem, über das niemand spricht
In der Vergangenheit war Produktsicherheit größtenteils ein Anliegen zum Zeitpunkt der Markteinführung. Man baute das Gerät, zertifizierte es und lieferte es aus. Vielleicht kaufte man es mit allen bestätigten Zertifizierungen. Danach war die Sicherheit das Problem eines anderen – sei es des OEMs, des Konnektivitätsanbieters oder des eigenen IT-Teams.
Die CRA beseitigt diese Unklarheit vollständig. Sicherheit ist nun eine Verantwortung über den gesamten Lebenszyklus hinweg. Schwachstellenmanagement, Firmware-Updates, Patch-Bereitstellung, Offenlegung von Sicherheitsverletzungen, Reaktion auf Vorfälle – all dies sind fortlaufende Verpflichtungen und keine einmaligen Aktivitäten. Für ein Gerät mit einer Betriebsdauer von zehn oder fünfzehn Jahren ist das eine grundlegend andere Herausforderung als alles, was die meisten Produkt- und Entwicklungsteams bisher planen mussten.
Dies ist besonders wichtig für das Internet der Dinge (IoT) und vernetzte Geräte, die eine ganz andere Herausforderung darstellen als herkömmliche IT-Systeme. Eine verwaltete Geräteflotte wie Smartphones, Desktops und Standard-Endgeräte in Unternehmen arbeitet in einer relativ kontrollierten Umgebung mit standardisierten Tools, bekannten Betriebssystemen und direktem administrativem Zugriff. IoT-Geräte funktionieren nicht auf diese Weise. Sie sind über Standorte verteilt, die Sie möglicherweise nicht kontrollieren, laufen auf unterschiedlichen und manchmal proprietären Betriebssystemen, verfügen über begrenzte Rechenressourcen und kommunizieren nur selten mit Systemen, die ihrerseits möglicherweise von Drittanbietern verwaltet werden. Viele von ihnen unterstützen nicht die Art von agentenbasierter Sicherheit, auf die sich herkömmliche IT-Teams verlassen. Und viele von ihnen werden noch lange im Einsatz sein, nachdem das Team, das sie bereitgestellt hat, bereits weitergezogen ist.

Die Kluft zwischen der Führungsetage und dem Einsatzort
Es gibt ein einheitliches Muster, wie Unternehmen derzeit an die CRA-Bereitschaft herangehen, und das ist nicht immer besonders beruhigend.
Auf Vorstandsebene wird Compliance tendenziell als eine Frage der Unternehmensführung verstanden. Es geht um Dokumentation, Zertifizierung und einen Prozess, der vor der Bereitstellung abgewickelt werden muss. Man geht davon aus, dass die Verpflichtung erfüllt ist, wenn bei der Einführung die richtigen Kästchen angekreuzt wurden.
Die operative Realität sieht anders aus. Die Fragen, die im Rahmen der CRA tatsächlich von Bedeutung sind, sind praktischer Natur: Wissen Sie, wo jedes Gerät in Ihrem Bestand eingesetzt wird? Wissen Sie, welche Firmware-Version auf jedem einzelnen Gerät läuft? Können Sie ein Update per Fernzugriff auf ein kompromittiertes Gerät übertragen? Können Sie es bei Bedarf schnell vom Netzwerk isolieren? Wissen Sie in diesem Moment, ob eines Ihrer Geräte mit einer Serverinfrastruktur kommuniziert, mit der es nicht kommunizieren sollte? (Erinnern Sie sich an das Problem der Datenexfiltration, mit dem ich eingeleitet habe?)
Für viele Organisationen lautet die ehrliche Antwort auf mehrere dieser Fragen „Nein“. Nicht aus Nachlässigkeit, sondern weil die Tools und Prozesse, um diese Fragen in großem Maßstab zu beantworten, schlichtweg noch nicht vorhanden sind. Die CRA verlangt von Organisationen im Grunde genommen, diese Fähigkeit aufzubauen und kontinuierlich aufrechtzuerhalten – und nicht, sie nur einmal nachzuweisen.
Wenn in den Medien über Verstöße gegen Vorschriften berichtet wird, liegt der Fokus meist auf den Geldstrafen. Die CRA verhängt bei den schwerwiegendsten Verstößen Geldstrafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes . Diese Zahlen sind hoch genug, um in einer Vorstandssitzung Beachtung zu finden.
Doch die Geldstrafe ist wohl noch das geringste Übel.
Betriebsausfälle nach einem Cybervorfall verursachen unmittelbare, greifbare Kosten – Dienstunterbrechungen, Auswirkungen auf Kunden, Wiederherstellungsmaßnahmen. In Branchen wie der E-Auto-Ladeinfrastruktur, dem Gesundheitswesen, der Flottentelematik oder der Versorgungswirtschaft sind Ausfälle nicht nur lästig. Sie können erhebliche wirtschaftliche und sicherheitsrelevante Folgen haben. Reputationsschäden entstehen langsamer, halten aber länger an. Zudem zeichnet sich ein zunehmender Trend ab – der bereits in der Unternehmensbeschaffung sichtbar ist –, dass Einkäufer die Cybersicherheitslage eines Lieferanten aktiv bewerten, bevor sie Aufträge vergeben. Unternehmen mit einer Vorgeschichte von Vorfällen oder ohne nachweisbare Sicherheitsprozesse werden zunehmend aus Beschaffungsrahmenwerken ausgeschlossen, noch bevor die Verhandlungen überhaupt beginnen.
Auch Versicherer stellen strengere Fragen. Cyberversicherungsanbieter sind deutlich strenger geworden, was den Versicherungsumfang und die Höhe der Prämien angeht, und Sicherheitsmaßnahmen über den gesamten Lebenszyklus hinweg – wie Patching, Überwachung und Reaktion auf Vorfälle – fließen zunehmend in diese Bewertung ein.
Das finanzielle Risiko bei Fehlentscheidungen liegt nicht in der Geldstrafe.
Es ist die kumulative Wirkung von Ausfallzeiten, Reputationsschäden, Ausschluss von Ausschreibungen und Versicherungsrisiken, die sich im Laufe der Zeit summieren. Namhafte Unternehmen wie Jaguar Land Rover spüren bereits die Auswirkungen solcher Angriffe (24) Beitrag | LinkedIn
Die „Nicht-ob-sondern-wann“-Denkweise
Eine der nützlicheren Umdeutungen, die die CRA implizit fördert, ist die Abkehr von der Vorstellung, dass perfekte Sicherheit erreichbar ist, hin zu der Frage, was passiert, wenn – und nicht ob – etwas schiefgeht.
Kein Unternehmen kann glaubhaft behaupten, zu 100 % geschützt zu sein. Angreifer sind hartnäckig, ihre Werkzeuge entwickeln sich ständig weiter, und die Angriffsfläche einer großen, verteilten IoT-Flotte ist einfach zu groß, um sie vollständig abzusichern. Die Frage ist nicht, ob es zu einem Sicherheitsvorfall kommen wird, sondern ob das Unternehmen über die nötige Transparenz verfügt, um ihn schnell zu erkennen, und über die Fähigkeit, effektiv darauf zu reagieren.
Hier kommt der Schwerpunkt der CRA auf Überwachung und Reaktion auf Vorfälle in der Praxis zum Tragen. Wie sich herausstellt, sind die Aufsichtsbehörden gegenüber Organisationen, die Angriffen ausgesetzt sind, nicht unsympathisch. Was sie jedoch nicht akzeptieren, sind Organisationen, die Angriffen ausgesetzt sind und keine sinnvollen Erkennungs- oder Reaktionsmaßnahmen eingerichtet hatten . Der Unterschied zwischen einem überschaubaren Gespräch mit den Aufsichtsbehörden und einer schwerwiegenden Durchsetzungsmaßnahme hängt zunehmend davon ab, welche Maßnahmen Sie getroffen hatten und wie schnell Sie gehandelt haben – und nicht davon, ob der Angriff überhaupt stattgefunden hat.
Auch South Staffordshire Water ist hier aufschlussreich. Zwanzig Monate sind eine außergewöhnlich lange Zeitspanne, in der ein Angreifer unentdeckt in den Systemen eines Versorgungsunternehmens agieren konnte. Die Geldbuße spiegelte nicht nur die Sicherheitsverletzung wider, sondern auch das Fehlen der Überwachungsmaßnahmen, die diese früher hätten aufdecken können.

Einige Organisationen sind der CRA einen Schritt voraus
Nicht jede Organisation begegnet der CRA mit Furcht. Immer mehr betrachten sie sie als Chance zur Differenzierung. Sie entwickeln ihre eigenen Sicherheitsrahmenwerke, setzen Lebenszyklus-Sicherheitstools ein und nutzen ihre nachweisbare Sicherheitslage als Verkaufsargument in regulierten Märkten.
Das ist eine vernünftige Strategie. In Branchen, in denen Käufer vagen Cybersicherheitsversprechen zunehmend skeptisch gegenüberstehen, wird die Fähigkeit, nicht nur zu behaupten, sondern auch nachzuweisen, dass man über eine systematische, kontinuierliche und lebenszyklusorientierte Sicherheit verfügt, zu einem echten wirtschaftlichen Vorteil. Am schnellsten kommen jene Unternehmen voran, die ein verhältnismäßiges, risikoorientiertes Denken anwenden, anstatt zu versuchen, jedes Gerät gleichermaßen mit maximalen Kontrollen zu versehen. Ermitteln Sie, was betrieblich kritisch ist. Konzentrieren Sie sich auf das, was nach außen exponiert ist. Schaffen Sie Transparenz, richten Sie sichere Verbindungen ein, stellen Sie sicher, dass Sie Patches aus der Ferne installieren können, und sorgen Sie dafür, dass Ihre Überwachungs- und Incident-Response-Fähigkeiten real und nicht nur theoretisch sind.
Dassind die Grundlagen. Und Unternehmen, die diese umgesetzt haben, stellen fest, dass Compliance und Wettbewerbsvorteil in der Praxis ein und dasselbe sind.
Der „Cyber Resilience Act“ ist keine bürokratische Unannehmlichkeit. Er stellt einen strukturellen Wandel dar, wie die Verantwortung für die Sicherheit vernetzter Produkte verteilt wird – weg von einem diffusen, umstrittenen Bereich, in dem jeder davon ausging, es sei das Problem eines anderen, hin zu einer klaren, durchsetzbaren Verpflichtung für die Unternehmen, die vernetzte Produkte entwickeln und einsetzen.
Speziell für das IoT hat dieser Wandel Auswirkungen, die weit über die Einhaltung gesetzlicher Vorschriften hinausgehen. Er erfordert einen anderen Ansatz bei der Produktentwicklung, andere operative Fähigkeiten und eine andere Diskussion auf Vorstandsebene darüber, was Sicherheit über den gesamten Lebenszyklus eines eingesetzten Geräts hinweg tatsächlich bedeutet.
Die Unternehmen, die dies am frühesten erkennen, werden sich in einer stärksten Position befinden – wirtschaftlich, operativ und regulatorisch –, wenn die Durchsetzung, die unweigerlich auf die Gesetzgebung folgt, greifen wird.
Iain Davidson ist Leiter des Produktmarketings bei Wireless Logic und verfügt über Erfahrung in den Bereichen IoT-Konnektivität und Cybersicherheit
Die Anomalie- und Bedrohungserkennung von Wireless Logic wurde speziell für die Sicherheitsherausforderungen von IoT- und Edge-Umgebungen entwickelt. Agentenlos für eine schnelle Bereitstellung.
Häufig gestellte Fragen
Der Cyber Resilience Act ist eine EU-Verordnung, die erstmals verbindliche Mindestanforderungen an die Cybersicherheit vernetzter Produkte festlegt, und zwar über deren gesamten Lebenszyklus, nicht nur bei der Markteinführung. Er gilt unmittelbar in allen EU-Mitgliedstaaten für jedes Unternehmen, das Produkte mit digitalen Elementen auf dem europäischen Markt anbietet, unabhängig vom Firmensitz.
Der CRA regelt die Sicherheit von Produkten mit digitalen Elementen selbst, von der Entwicklung bis zur Außerbetriebnahme. Die NIS2-Richtlinie, in Deutschland seit Dezember 2025 umgesetzt, regelt die Cybersicherheit von Betreibern kritischer und wichtiger Infrastruktur. Energieversorger und andere KRITIS-Betreiber müssen häufig beide Regelwerke gleichzeitig erfüllen.
Der CRA ist am 11. Dezember 2024 in Kraft getreten. Ab dem 11. September 2026 gelten Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle: eine Frühwarnung innerhalb von 24 Stunden, eine vollständige Meldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb von 14 Tagen. Ab dem 11. Dezember 2027 gelten alle Anforderungen vollständig für neue Produkte. In Deutschland ist das BSI die zuständige Aufsichtsbehörde.
Weil der CRA Sicherheit als durchgehende Pflicht über den gesamten Produktlebenszyklus definiert, nicht als einmalige Zertifizierung. Das erfordert Investitionsentscheidungen, operative Fähigkeiten und eine Risikoverantwortung, die über die IT-Abteilung hinausgehen. Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes verschärfen diese Verantwortung zusätzlich.
Weitere Blogs ansehen
Der unsichtbare Angriff: Warum Edge-Geräte das Lieblingsziel von Hackern sind
Die besten Parasiten töten ihre Wirte nicht. Sie schleichen sich unbemerkt ein, machen es sich gemütlich und gehen völlig unbemerkt ihrem...
PCI-DSS v4.0.1 - Zahlungsbetrug als Angriffsfläche im IoT
Der digitale Zahlungsverkehr breitet sich rasch über POS-Terminals, Ladestationen für Elektrofahrzeuge, Kioske, unbeaufsichtigte...
