Iain Davidson
Iain hat in verschiedenen Technologierollen gearbeitet – von Design und Systementwicklung über Vertrieb bis hin zu Marketing. Derzeit ist er Head of Product Marketing bei Wireless Logic und unterstützt Unternehmen dabei, fundierte Technologieentscheidungen für erfolgreiche IoT-Projekte und -Implementierungen zu treffen.
Im September 2020 öffnete ein Mitarbeiter des britischen Wasserversorgungsunternehmens South Staffordshire PLC eine Phishing-E-Mail. Nach allen Berichten handelte es sich um eine überzeugende E-Mail. Es wurde Schadsoftware installiert. Und dann passierte fast zwanzig Monate lang absolut nichts.
Hinter den Kulissen hatten sich die Angreifer jedoch vollständigen Administratorzugriff auf die Systeme des Unternehmens verschafft und bedienten sich an den Daten des Unternehmens. Als es endlich auffiel, waren bereits 4,1 Terabyte an Daten abgezogen und im Dark Web veröffentlicht worden. Die persönlichen Daten von 633.000 Kunden.
Die Geldstrafe belief sich auf rund 1 Million Euro. Erheblich, aber nicht existensgefährdend. Der Reputationsschaden, die Auswirkungen auf die Kunden und die Betriebsstörungen waren deutlich schwerwiegender.
Es handelt sich dabei nicht um Einzelfälle, sondern um ein Muster.
Warum eine Regulierung wie der CRA unvermeidlich war
Über Jahre war der Umgang mit Cybersicherheit in den meisten Branchen weitgehend freiwillig. Regelwerke gab es durchaus, und zwar viele: ISO 27001, NIS2, EN 18031, EN 303645 und weitere. Unternehmen wurden ermutigt, diese Richtlinien einzuführen, behandelten jedoch nur teilweise oder als einmalige Zertifizierungsübung statt als fortlaufende operative Verpflichtung.
Gesetzgeber und Aufsichtsbehörden beobachteten dieses Muster lange genug und ihre Schlussfolgerung war naheliegend: Wenn die Folgen mangelhafter Sicherheit über das eigene Unternehmen hinausreichen, bis zu Kunden, kritischer Infrastruktur und öffentlicher Sicherheit, reicht freiwillige Compliance nicht mehr aus.
Der Cyber Resilience Act der EU ist die bislang deutlichste gesetzgeberische Antwort auf diese Schlussfolgerung. Er gilt für jedes Unternehmen, das vernetzte Produkte auf dem europäischen Markt herstellt oder verkauft, unabhängig vom Firmensitz. Er ist keine Checkliste und schreibt nicht im Detail vor, wie Sicherheit erreicht werden muss. Er verlangt von Unternehmen ein systematisches, risikobasiertes Vorgehen bei der Sicherheit ihrer vernetzten Produkte, und zwar nicht nur zum Zeitpunkt der Markteinführung, sondern über den gesamten Lebenszyklus.
Genau an diesem letzten Punkt hinken die meisten Unternehmen noch hinterher.
Für Unternehmen in Deutschland kommt eine weitere Ebene hinzu. Der CRA ist als EU-Verordnung unmittelbar geltendes Recht und benötigt keine gesonderte nationale Umsetzung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde als zuständige Marktüberwachungs- und notifizierende Behörde benannt. Ein ergänzendes deutsches Durchführungsgesetz regelt Verfahrens- und Bußgeldfragen und befindet sich derzeit im Gesetzgebungsprozess. Für Betreiber kritischer Infrastruktur, insbesondere in der Energieversorgung, kommt der CRA zudem nicht allein: Er trifft auf die bereits geltenden Pflichten aus dem deutschen NIS2-Umsetzungsgesetz, das seit Dezember 2025 rund 30.000 Unternehmen betrifft. Wer Produkte herstellt und gleichzeitig kritische Infrastruktur betreibt, muss beide Regelwerke gleichzeitig erfüllen.
Warum der CRA nicht mit der Markteinführung endet
Historisch war Produktsicherheit vor allem ein Thema zum Zeitpunkt der Markteinführung. Das Gerät wurde gebaut, zertifiziert, ausgeliefert. Vielleicht wurde es sogar mit allen Zertifizierungen eingekauft. Danach war Sicherheit Aufgabe von jemand anderem, sei es des Herstellers, des Konnektivitätsanbieters oder der eigenen IT-Abteilung.
Der CRA beseitigt diese Unschärfe vollständig. Sicherheit ist jetzt eine Aufgabe über den gesamten Lebenszyklus. Schwachstellenmanagement, Firmware-Updates, Patch-Verteilung, Meldung von Sicherheitsvorfällen und Reaktion auf Vorfälle sind fortlaufende Pflichten, keine einmaligen Aktivitäten. Für ein Gerät mit 10 oder 15 Jahren Betriebsdauer ist das eine grundlegend andere Ausgangslage, als die meisten Produkt- und Entwicklungs-Teams bislang einplanen mussten.
Das betrifft IoT- und vernetzte Geräte in besonderem Maß, weil sie sich fundamental von klassischen IT-Systemen unterscheiden. Eine verwaltete Flotte aus Smartphones, Desktops und Standard-Endgeräten arbeitet in einer vergleichsweise kontrollierten Umgebung, mit einheitlichen Tools, bekannten Betriebssystemen und direktem administrativem Zugriff. IoT-Geräte funktionieren anders. Sie sind über Standorte verteilt, die Sie möglicherweise nicht selbst kontrollieren, laufen auf unterschiedlichen, teils proprietären Betriebssystemen mit begrenzten Rechenressourcen und kommunizieren selten mit Systemen, die selbst von Dritten betrieben werden. Viele dieser Geräte können keine klassische, agentenbasierte Sicherheitssoftware ausführen. Und viele bleiben noch lange im Feld, nachdem das Team, das sie ausgerollt hat, längst andere Aufgaben übernommen hat.

Die Lücke zwischen Vorstand und Betrieb
Wie Unternehmen sich derzeit auf den CRA vorbereiten, folgt einem wiederkehrenden Muster, und das ist nicht immer beruhigend.
Auf Vorstandsebene wird Compliance meist als Aufgabe der Unternehmensführung verstanden: Dokumentation, Zertifizierung, ein Prozess, der vor dem Rollout abgearbeitet werden muss. Die Annahme lautet, dass die Pflicht erfüllt ist, sobald bei der Markteinführung die richtigen Kästchen angekreuzt wurden.
Die operative Realität sieht anders aus. Die Fragen, die unter dem CRA tatsächlich zählen, sind sehr praktisch: Wissen Sie, wo jedes Gerät Ihrer Flotte im Einsatz ist? Kennen Sie die Firmware-Version jedes einzelnen Geräts? Können Sie ein kompromittiertes Gerät aus der Ferne aktualisieren? Können Sie es bei Bedarf schnell vom Netz trennen? Wissen Sie in diesem Moment, ob eines Ihrer Geräte mit einer Serverinfrastruktur kommuniziert, mit der es nicht kommunizieren sollte?
Für viele Unternehmen lautet die ehrliche Antwort auf mehrere dieser Fragen: Nein. Nicht aus Nachlässigkeit, sondern weil die dafür nötigen Werkzeuge und Prozesse in dieser Größenordnung schlicht noch nicht existieren. Der CRA verlangt im Kern, genau diese Fähigkeit aufzubauen und dauerhaft aufrechtzuerhalten, statt sie einmalig nachzuweisen.
Wenn in den Medien über Verstöße gegen Vorschriften berichtet wird, liegt der Fokus meist auf den Geldstrafen. Die CRA verhängt bei den schwerwiegendsten Verstößen Geldstrafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes . Diese Zahlen sind hoch genug, um in einer Vorstandssitzung Beachtung zu finden.
Das Bußgeld ist jedoch vermutlich der geringste Teil des Risikos.
Betriebsausfälle nach einem Cybervorfall verursachen unmittelbare, spürbare Kosten: Serviceunterbrechungen, Auswirkungen auf Kunden, Aufwand für die Wiederherstellung. In Branchen wie Ladeinfrastruktur für Elektrofahrzeuge, Gesundheitswesen, Flottentelematik oder Energieversorgung ist ein Ausfall nicht bloß unbequem, er kann ein erhebliches wirtschaftliches und sicherheitsrelevantes Ereignis auslösen. Reputationsschäden entstehen langsamer, halten aber länger an. Und es zeigt sich ein wachsendes Muster, bereits sichtbar in der Beschaffungspraxis von Unternehmen: Einkäufer prüfen aktiv die Cybersicherheitslage von Lieferanten, bevor sie Aufträge vergeben. Unternehmen mit einer Vorgeschichte von Sicherheitsvorfällen oder ohne nachweisbare Sicherheitsprozesse finden sich zunehmend schon vor dem eigentlichen Gespräch außerhalb von Vergabeverfahren wieder.
Auch Versicherer stellen härtere Fragen. Cyberversicherer prüfen inzwischen deutlich genauer, was sie zu welcher Prämie absichern. Lebenszyklus-Sicherheitspraktiken wie Patch-Management, Monitoring und Kommunikation bei Vorfällen fließen zunehmend in diese Bewertung ein.
Das eigentliche finanzielle Risiko liegt nicht im Bußgeld. Es liegt im Zusammenspiel aus Ausfallzeit, Reputationsschaden, Ausschluss aus Vergabeverfahren und steigenden Versicherungskosten, das sich über die Zeit aufsummiert. Bekannte Unternehmen wie Jaguar Land Rover haben die Auswirkungen solcher Angriffe bereits zu spüren bekommen. (24) Beitrag | LinkedIn
Die Frage ist nicht, ob Sie angegriffen werden. Sondern wann.
Der CRA fördert einen grundlegenden Perspektivwechsel: Nicht die Illusion vollständiger Sicherheit steht im Mittelpunkt, sondern die Fähigkeit, auch im Falle eines Sicherheitsvorfalls handlungsfähig zu bleiben.
Kein Unternehmen kann glaubhaft hundertprozentigen Schutz versprechen. Angreifer sind hartnäckig, Werkzeuge entwickeln sich ständig weiter, und die Angriffsfläche einer großen, verteilten IoT-Flotte ist schlicht zu groß, um sie vollständig zu verteidigen. Die entscheidende Frage ist nicht, ob ein Sicherheitsvorfall eintritt, sondern ob das Unternehmen die Sichtbarkeit hat, ihn schnell zu erkennen, und die Fähigkeit, wirksam zu reagieren.
Genau hier wird die Betonung des CRA auf Monitoring und die Kommunikation von Vorfällen praktisch bedeutsam. Aufsichtsbehörden zeigen sich, so stellt sich heraus, durchaus nachsichtig gegenüber Unternehmen, die einen Angriff erleiden. Wenig Nachsicht gibt es hingegen für Unternehmen, die einen Angriff erleiden und dabei über keine wirksame Erkennungs- oder Reaktionsfähigkeit verfügten. Der Unterschied zwischen einem überschaubaren Gespräch mit der Aufsichtsbehörde und einem ernsthaften Durchgreifen liegt zunehmend darin, was vorher eingerichtet war und wie schnell reagiert wurde, nicht darin, ob der Angriff überhaupt stattgefunden hat.
Auch der Fall South Staffordshire Water ist hier lehrreich. 20 Monate sind eine außergewöhnlich lange Zeit, in der ein Angreifer unentdeckt in den Systemen eines Versorgers agieren kann. Das Bußgeld spiegelte nicht nur den Vorfall selbst wider, sondern auch das Fehlen des Monitorings, das ihn früher hätte aufdecken können.
Manche Unternehmen sind dem CRA bereits voraus
Nicht jedes Unternehmen begegnet dem CRA mit Sorge. Eine wachsende Zahl behandelt ihn als Chance zur Differenzierung. Sie bauen eigene Sicherheitsframeworks auf, setzen Lebenszyklus-Sicherheitswerkzeuge ein und nutzen ihre nachweisbare Sicherheitslage als Verkaufsargument in regulierten Märkten.
Das ist eine vernünftige Strategie. In Branchen, in denen Einkäufer vage Cybersicherheitsversprechen zunehmend skeptisch beurteilen, wird die Fähigkeit, systematische, kontinuierliche Lebenszyklus-Sicherheit nicht nur zu behaupten, sondern nachzuweisen, zu einem echten kommerziellen Vorteil. Die Unternehmen, die hier am schnellsten vorankommen, denken proportional und risikobasiert, statt jedes Gerät gleichermaßen maximal abzusichern. Sie identifizieren, was operativ kritisch ist. Sie konzentrieren sich auf das, was nach außen exponiert ist. Sie bauen Sichtbarkeit auf, stellen sichere Konnektivität her, stellen sicher, dass sie aus der Ferne patchen können, und sorgen dafür, dass Monitoring und Incident Response tatsächlich funktionieren, nicht nur auf dem Papier.
Das sind die Grundlagen. Unternehmen, die sie bereits umgesetzt haben, stellen fest, dass Compliance und Wettbewerbsvorteil in der Praxis dasselbe sind.
Der Cyber Resilience Act ist kein bürokratisches Ärgernis. Er ist eine strukturelle Verschiebung: weg von einem diffusen, umstrittenen Raum, in dem alle davon ausgingen, es sei die Aufgabe von jemand anderem, hin zu einer klaren, durchsetzbaren Pflicht für die Unternehmen, die vernetzte Produkte bauen und einsetzen.
Für IoT im Besonderen reichen die Folgen dieser Verschiebung weit über die reine Rechtskonformität hinaus. Sie erfordert einen anderen Ansatz in der Produktentwicklung, andere operative Fähigkeiten und ein anderes Gespräch auf Vorstandsebene darüber, was Sicherheit über die gesamte Lebensdauer eines eingesetzten Geräts tatsächlich bedeutet.
Die Unternehmen, die dies am frühesten erkennen, werden sich in einer stärksten Position befinden – wirtschaftlich, operativ und regulatorisch –, wenn die Durchsetzung, die unweigerlich auf die Gesetzgebung folgt, greifen wird.
Iain Davidson ist Leiter des Produktmarketings bei Wireless Logic und verfügt über langjährige Erfahrung in den Bereichen IoT-Konnektivität und Cybersicherheit.
Die Anomalie- und Bedrohungserkennung von Wireless Logic wurde speziell für die Sicherheitsherausforderungen von IoT- und Edge-Umgebungen entwickelt.
Häufig gestellte Fragen
Der Cyber Resilience Act ist eine EU-Verordnung, die erstmals verbindliche Mindestanforderungen an die Cybersicherheit vernetzter Produkte festlegt, und zwar über deren gesamten Lebenszyklus, nicht nur bei der Markteinführung. Er gilt unmittelbar in allen EU-Mitgliedstaaten für jedes Unternehmen, das Produkte mit digitalen Elementen auf dem europäischen Markt anbietet, unabhängig vom Firmensitz.
Der CRA regelt die Sicherheit von Produkten mit digitalen Elementen selbst, von der Entwicklung bis zur Außerbetriebnahme. Die NIS2-Richtlinie, in Deutschland seit Dezember 2025 umgesetzt, regelt die Cybersicherheit von Betreibern kritischer und wichtiger Infrastruktur. Energieversorger und andere KRITIS-Betreiber müssen häufig beide Regelwerke gleichzeitig erfüllen.
Der CRA ist am 11. Dezember 2024 in Kraft getreten. Ab dem 11. September 2026 gelten Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle: eine Frühwarnung innerhalb von 24 Stunden, eine vollständige Meldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb von 14 Tagen. Ab dem 11. Dezember 2027 gelten alle Anforderungen vollständig für neue Produkte. In Deutschland ist das BSI die zuständige Aufsichtsbehörde.
Weil der CRA Sicherheit als durchgehende Pflicht über den gesamten Produktlebenszyklus definiert, nicht als einmalige Zertifizierung. Das erfordert Investitionsentscheidungen, operative Fähigkeiten und eine Risikoverantwortung, die über die IT-Abteilung hinausgehen. Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes verschärfen diese Verantwortung zusätzlich.
Betriebsausfälle, Reputationsschäden, der Ausschluss aus Vergabeverfahren, weil Einkäufer die Cybersicherheitshistorie von Lieferanten prüfen, und steigende Cyberversicherungsprämien. In der Praxis übersteigen diese Folgekosten das eigentliche Bußgeld häufig deutlich.
Weitere Blogs ansehen
Der unsichtbare Angriff: Warum Edge-Geräte das Lieblingsziel von Hackern sind
Die besten Parasiten töten ihre Wirte nicht. Sie schleichen sich unbemerkt ein, machen es sich gemütlich und gehen völlig unbemerkt ihrem...
PCI-DSS v4.0.1 - Zahlungsbetrug als Angriffsfläche im IoT
Der digitale Zahlungsverkehr breitet sich rasch über POS-Terminals, Ladestationen für Elektrofahrzeuge, Kioske, unbeaufsichtigte...
