Embedded Systems bilden das Rückgrat vernetzter Produkte – von Industriesteuerungen über Medizingeräte bis hin zu Smart-Home-Komponenten. Mit dem Cyber Resilience Act (CRA) stellt die EU klare Sicherheitsanforderungen an alle Produkte mit digitalen Elementen, die auf dem europäischen Markt vertrieben werden. Für Hersteller von Embedded Systems bedeutet das: Cybersicherheit muss von der Entwicklung bis zum Ende des Produktlebenszyklus mitgedacht werden.
Warum Embedded Systems besonders vom CRA betroffen sind
Eingebettete Systeme stehen im Fokus des CRA, weil sie oft jahrelang im Feld laufen, schwer zu aktualisieren sind und zunehmend vernetzt werden. Ein Steuergerät in einer Industrieanlage hat typischerweise eine Lebensdauer von 10 bis 20 Jahren – ein Zeitraum, in dem zahlreiche neue Sicherheitslücken bekannt werden.
Der CRA unterscheidet zwischen Standard-Produkten und kritischen bzw. wichtigen Produkten. Viele Embedded Systems fallen in die Kategorie der "wichtigen Produkte" (Klasse I oder II), insbesondere wenn sie in kritischer Infrastruktur, industriellen Steuerungssystemen oder sicherheitsrelevanten Anwendungen eingesetzt werden. Das hat direkte Auswirkungen auf das erforderliche Konformitätsbewertungsverfahren.
Für Standardprodukte genügt eine Selbstbewertung. Wichtige Produkte der Klasse I können ebenfalls per Selbstbewertung nachgewiesen werden, sofern harmonisierte Normen angewendet werden. Produkte der Klasse II und kritische Produkte erfordern hingegen die Einbeziehung einer benannten Stelle (Notified Body).
Technische Anforderungen des CRA für eingebettete Systeme
Die wesentlichen Sicherheitsanforderungen des CRA betreffen bei Embedded Systems mehrere technische Bereiche, die in der Architektur verankert sein müssen.
Secure Boot und Firmware-Integrität: Der CRA verlangt, dass Produkte über Mechanismen verfügen, die die Integrität der Software sicherstellen. Für Embedded Systems bedeutet das konkret: Ein Secure-Boot-Prozess, der sicherstellt, dass nur authentifizierter und unveränderter Code ausgeführt wird. Die gesamte Boot-Kette – vom Bootloader über das Betriebssystem bis zur Anwendung – muss kryptografisch abgesichert sein.
Sichere Update-Mechanismen: Firmware-Updates müssen verschlüsselt und signiert übertragen werden. Der Update-Mechanismus muss Rollback-Schutz bieten und sicherstellen, dass ein fehlgeschlagenes Update das Gerät nicht unbrauchbar macht. Besonders bei ressourcenbeschränkten Embedded Systems ist das eine Herausforderung, da Over-the-Air-Updates erhebliche Speicher- und Bandbreitenanforderungen stellen.
Standardpasswörter und Authentifizierung: Produkte dürfen nicht mit identischen Standardpasswörtern ausgeliefert werden. Jedes Gerät muss ein einzigartiges Initialpasswort besitzen oder den Benutzer bei der ersten Inbetriebnahme zur Passwortvergabe auffordern. Für Embedded Systems ohne Benutzerinterface müssen alternative Authentifizierungsmechanismen implementiert werden – etwa zertifikatsbasierte Authentifizierung.
Datenschutz und sichere Kommunikation: Alle gespeicherten und übertragenen Daten müssen angemessen geschützt werden. Für die Kommunikation zwischen Embedded Systems bedeutet das: TLS 1.2 oder höher für Netzwerkverbindungen, verschlüsselte Speicherung sensibler Daten und Schutz kryptografischer Schlüssel – idealerweise in einem Hardware Security Module (HSM) oder einer Trusted Execution Environment (TEE).
SBOM-Anforderungen für Embedded Systems
Die Erstellung einer SBOM ist für Embedded Systems besonders anspruchsvoll. Neben den üblichen Softwarekomponenten müssen Sie auch Firmware-Blobs von Chip-Herstellern, proprietäre Treiber und Echtzeit-Betriebssysteme dokumentieren.
Die Herausforderung liegt oft bei Drittanbieter-Komponenten: Wenn Sie ein WiFi-Modul oder einen Bluetooth-Stack als Binärdatei beziehen, sind Sie darauf angewiesen, dass der Zulieferer Ihnen die entsprechenden SBOM-Daten liefert. Beginnen Sie frühzeitig damit, diese Anforderungen in Ihre Lieferantenverträge aufzunehmen.
Für die CRA-Compliance muss die SBOM alle Komponenten umfassen, die im ausgelieferten Produkt enthalten sind – unabhängig davon, ob es sich um Open-Source- oder proprietäre Software handelt. Die SBOM muss bei jeder Firmware-Version aktualisiert werden.
Fristen und Übergangsregelungen
Die CRA-Verordnung wurde im November 2024 im Amtsblatt veröffentlicht. Für Hersteller von Embedded Systems gelten folgende zentrale Fristen: Ab September 2026 greift die Meldepflicht für aktiv ausgenutzte Schwachstellen. Ab Dezember 2027 müssen alle neu auf den Markt gebrachten Produkte vollständig CRA-konform sein.
Für bereits auf dem Markt befindliche Produkte gilt: Wenn ein bestehendes Produkt wesentlich verändert wird (z. B. durch ein Major-Firmware-Update, das die Sicherheitsarchitektur betrifft), muss es die CRA-Anforderungen erfüllen. Reine Bugfixes und kleinere Updates lösen keine Neubewertung aus.
Angesichts der typischen Entwicklungszyklen bei Embedded Systems – oft 12 bis 24 Monate – sollten Hersteller jetzt mit der Umsetzung beginnen, wenn sie neue Produkte ab Ende 2027 in den Markt bringen möchten.
Praktische Umsetzung: So starten Sie
Der effizienteste Ansatz für die CRA-Umsetzung bei Embedded Systems ist ein stufenweiser Prozess. Beginnen Sie mit einer Gap-Analyse: Wo steht Ihr aktuelles Produkt im Vergleich zu den CRA-Anforderungen? Welche Sicherheitsmechanismen sind bereits implementiert, welche fehlen?
Priorisieren Sie dann die Maßnahmen nach Aufwand und Risiko. Typischerweise sind die größten Lücken bei der SBOM-Dokumentation, dem Schwachstellenmanagement und den Update-Mechanismen. Secure Boot ist bei vielen modernen Mikrocontrollern bereits hardwareseitig unterstützt und muss nur aktiviert und konfiguriert werden.
Dokumentieren Sie alles von Anfang an. Die technische Dokumentation ist ein zentraler Bestandteil der CRA-Compliance und umfasst die Sicherheitsarchitektur, die Risikoanalyse, das SBOM-Management und die Prozesse für Schwachstellenbehandlung.
Kunnus unterstützt Hersteller von Embedded Systems dabei, den gesamten CRA-Compliance-Prozess zu strukturieren und zu automatisieren – von der SBOM-Verwaltung über das Schwachstellenmonitoring bis zur Dokumentation.
Starten Sie jetzt mit unserer kostenlosen CRA-Reifegradanalyse und erfahren Sie in wenigen Minuten, wo Ihr Unternehmen steht und welche konkreten Schritte als nächstes anstehen.