Smart Locks, vernetzte Thermostate, IP-Kameras, intelligente Beleuchtung – der Smart-Home-Markt wächst rasant. Mit dem Cyber Resilience Act (CRA) müssen Hersteller von Smart-Home-Geräten erstmals verbindliche Cybersicherheitsanforderungen erfüllen, bevor sie ihre Produkte in der EU verkaufen dürfen. Dieser Artikel erklärt die konkreten Pflichten und gibt praktische Hinweise zur Umsetzung.
Warum der CRA den Smart-Home-Markt besonders betrifft
Smart-Home-Geräte sind das Paradebeispiel für die Produktkategorie, die der CRA regulieren will. Sie sind permanent mit dem Internet verbunden, sammeln teils sensible Daten (Kamerabilder, Bewegungsmuster, Sprachaufnahmen) und werden häufig von Verbrauchern eingesetzt, die keine IT-Sicherheitsexperten sind.
Die Sicherheitsbilanz der Branche hat den Gesetzgeber zum Handeln bewogen: Standardpasswörter wie "admin" oder "1234", fehlende Update-Mechanismen und unverschlüsselte Datenübertragung waren bei vielen Geräten jahrelang der Normalzustand. Der CRA setzt dem ein Ende.
Für Hersteller von Smart-Home-Geräten und Consumer Electronics bedeutet das: Cybersicherheit ist kein optionales Feature mehr, sondern eine Marktvoraussetzung. Ohne CRA-Konformität darf ab Ende 2027 kein neues Produkt mehr auf dem EU-Markt vertrieben werden.
Produktklassifizierung: Wo fällt Ihr Smart-Home-Gerät hin?
Der CRA teilt Produkte in verschiedene Kategorien ein, die unterschiedliche Konformitätsbewertungsverfahren erfordern. Für Smart-Home-Geräte sind vor allem zwei Kategorien relevant.
Die meisten Smart-Home-Geräte – intelligente Glühbirnen, smarte Steckdosen, vernetzte Haushaltsgeräte, Fitness-Tracker – fallen als Standardprodukte unter die einfachste Kategorie. Hier genügt eine Selbstbewertung durch den Hersteller.
Einige Smart-Home-Produkte fallen jedoch als "wichtige Produkte" in Klasse I. Dazu zählen unter anderem Smart Locks und andere physische Zugangskontrollsysteme, Babyphones und Überwachungskameras für den Heimbereich, smarte Rauchmelder und Sicherheitssensoren sowie vernetzte Alarmanlagen. Für diese Produkte gelten strengere Anforderungen an die Konformitätsbewertung. Eine Selbstbewertung ist möglich, aber nur wenn harmonisierte Normen vollständig angewendet werden.
Router, Firewalls und andere Netzwerkgeräte, die oft das Fundament eines Smart-Home-Netzwerks bilden, fallen sogar in Klasse II und erfordern die Einbeziehung einer benannten Stelle.
Konkrete Anforderungen für Smart-Home-Hersteller
Die CRA-Anforderungen lassen sich für Smart-Home-Hersteller in fünf Kernbereiche gliedern.
Keine Standardpasswörter mehr. Jedes Gerät muss mit einem einzigartigen Passwort ausgeliefert werden oder den Benutzer bei der Ersteinrichtung zur Passwortvergabe zwingen. Das gilt auch für Geräte, die über eine App gesteuert werden – die Erstverbindung zwischen App und Gerät muss sicher sein.
Sichere Datenverarbeitung. Daten dürfen nur in dem Umfang erhoben werden, der für die Funktion des Geräts notwendig ist. Gespeicherte Daten müssen verschlüsselt werden. Bei Geräten mit Kamera oder Mikrofon müssen Benutzer jederzeit erkennen können, ob eine Aufnahme aktiv ist. Die Kommunikation zwischen Gerät, Cloud und App muss durchgehend verschlüsselt sein.
Update-Fähigkeit über den gesamten Supportzeitraum. Hersteller müssen Sicherheitsupdates bereitstellen können und einen definierten Supportzeitraum kommunizieren. Der CRA verlangt, dass der Supportzeitraum mindestens fünf Jahre beträgt oder der erwarteten Produktlebensdauer entspricht – je nachdem, was kürzer ist. Für Smart-Home-Geräte, die Verbraucher oft über viele Jahre nutzen, kann das eine erhebliche Verpflichtung sein.
SBOM und Schwachstellenmanagement. Jedes Produkt braucht eine vollständige Software Bill of Materials. Hersteller müssen einen Prozess für die laufende Überwachung bekannter Schwachstellen in ihren Komponenten etablieren und Sicherheitsupdates zeitnah bereitstellen. Aktiv ausgenutzte Schwachstellen müssen ab September 2026 innerhalb von 24 Stunden an die ENISA gemeldet werden.
Transparenz für Verbraucher. Der CRA verlangt, dass Verbraucher vor dem Kauf über den Supportzeitraum informiert werden und wissen, wann das Gerät keine Sicherheitsupdates mehr erhält. Diese Informationen müssen gut sichtbar auf der Verpackung oder im Onlineshop angegeben werden.
Typische Herausforderungen für Smart-Home-Hersteller
In der Praxis stehen Smart-Home-Hersteller vor spezifischen Herausforderungen. Viele Geräte nutzen gemeinsame Plattformen (z. B. ESP32-basierte Geräte mit ähnlicher Firmware), was bedeutet, dass eine Schwachstelle in der Plattform dutzende Produkte gleichzeitig betrifft. Hersteller müssen in der Lage sein, schnell zu ermitteln, welche Produkte betroffen sind – genau dafür ist eine aktuelle SBOM unerlässlich.
Ein weiteres Problem: Viele Smart-Home-Geräte haben begrenzte Rechenleistung und Speicher, was die Implementierung moderner Sicherheitsmechanismen erschwert. Verschlüsselung, sichere Boot-Prozesse und Over-the-Air-Updates müssen auf Hardware laufen, die für minimalen Stromverbrauch optimiert ist.
Die Cloud-Abhängigkeit vieler Smart-Home-Produkte schafft zusätzliche Anforderungen: Wenn das Gerät ohne Cloud-Verbindung nicht funktioniert, muss der Hersteller die Verfügbarkeit der Cloud-Dienste über den gesamten Supportzeitraum sicherstellen. Der CRA verlangt zudem, dass das Ende des Cloud-Supports rechtzeitig kommuniziert wird.
Wettbewerbsvorteil durch frühe Compliance
Hersteller, die CRA-Compliance frühzeitig umsetzen, positionieren sich strategisch. Einzelhandel und Online-Marktplätze werden zunehmend Nachweise über die CRA-Konformität verlangen, bevor sie Produkte listen. Wer diese Nachweise liefern kann, während Wettbewerber noch kämpfen, gewinnt Regalplatz und Sichtbarkeit.
Auch Verbraucher entwickeln ein wachsendes Bewusstsein für die Sicherheit vernetzter Geräte. Ein CRA-konformes Produkt mit transparenten Sicherheitsinformationen schafft Vertrauen und rechtfertigt im Zweifel einen höheren Preis gegenüber einem Wettbewerber ohne nachweisbare Sicherheitsstandards.
Kunnus unterstützt Smart-Home- und Consumer-Electronics-Hersteller dabei, CRA-Compliance effizient umzusetzen – von der automatisierten SBOM-Erstellung über das kontinuierliche Schwachstellenmonitoring bis zur vollständigen Dokumentation.
Wo stehen Sie bei der CRA-Compliance? Unsere kostenlose CRA-Reifegradanalyse gibt Ihnen in wenigen Minuten einen klaren Überblick über Ihren Status und die nächsten Schritte.