Schwachstellenmanagement ist eine der zentralen Pflichten des Cyber Resilience Act (CRA). Hersteller digitaler Produkte müssen nicht nur sichere Produkte entwickeln, sondern über den gesamten Supportzeitraum hinweg Schwachstellen identifizieren, bewerten, beheben und kommunizieren. Dieser Artikel erklärt die konkreten Anforderungen und zeigt, wie Hersteller einen funktionierenden Prozess aufbauen.
Was der CRA beim Schwachstellenmanagement verlangt
Der CRA formuliert in Anhang I klare Anforderungen an das Schwachstellenmanagement. Diese lassen sich in sechs Kernpflichten zusammenfassen.
Laufende Überwachung. Hersteller müssen bekannte Schwachstellen in ihren Produkten und deren Komponenten systematisch identifizieren und dokumentieren. Das bedeutet: regelmäßiger Abgleich der eingesetzten Softwarekomponenten gegen öffentliche Schwachstellendatenbanken wie die NVD (National Vulnerability Database), OSV und herstellerspezifische Advisories.
Zeitnahe Behebung. Erkannte Schwachstellen müssen ohne unangemessene Verzögerung behoben werden. Der CRA definiert keine feste Frist in Tagen, aber die Erwartung ist klar: Kritische Schwachstellen erfordern schnelles Handeln. Sicherheitsupdates müssen kostenlos bereitgestellt werden.
Meldung aktiv ausgenutzter Schwachstellen. Ab September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an die ENISA melden. Innerhalb von 72 Stunden muss eine detaillierte Meldung mit Bewertung, betroffenen Produkten und geplanten Gegenmaßnahmen folgen. Nach Behebung der Schwachstelle muss ein Abschlussbericht eingereicht werden.
Koordinierte Schwachstellenoffenlegung. Hersteller müssen eine Richtlinie für die koordinierte Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure, CVD) veröffentlichen. Diese muss einen Kontaktweg für Sicherheitsforscher definieren, klare Regeln für den Umgang mit gemeldeten Schwachstellen festlegen und sicherstellen, dass Meldende keine rechtlichen Konsequenzen fürchten müssen.
Dokumentation. Alle Schwachstellen, Bewertungen und ergriffenen Maßnahmen müssen dokumentiert werden. Diese Dokumentation ist Teil der technischen Produktdokumentation und muss bei einer Prüfung durch Marktüberwachungsbehörden vorgelegt werden können.
Information der Nutzer. Hersteller müssen Nutzer über behobene Schwachstellen informieren und Sicherheitsupdates bereitstellen. Die Kommunikation muss klar, verständlich und zeitnah erfolgen.
Der Schwachstellenmanagement-Prozess in der Praxis
Ein funktionierender Schwachstellenmanagement-Prozess für die CRA-Compliance umfasst mehrere Stufen, die ineinandergreifen.
Stufe 1: Inventarisierung. Die Grundlage jedes Schwachstellenmanagements ist eine aktuelle SBOM für jedes Produkt. Ohne zu wissen, welche Komponenten in welcher Version eingesetzt werden, können Sie Schwachstellen nicht zuverlässig zuordnen. Die SBOM muss bei jedem Release und jedem Sicherheitsupdate aktualisiert werden.
Stufe 2: Überwachung. Richten Sie eine automatisierte Überwachung ein, die Ihre SBOM-Daten regelmäßig gegen Schwachstellendatenbanken abgleicht. Neue CVEs (Common Vulnerabilities and Exposures), die Ihre Komponenten betreffen, müssen zeitnah erkannt werden. Manuelle Prüfung allein reicht nicht aus – bei Produkten mit hunderten Abhängigkeiten brauchen Sie Automatisierung.
Stufe 3: Bewertung. Nicht jede gemeldete Schwachstelle hat die gleiche Relevanz für Ihr Produkt. Bewerten Sie jede Schwachstelle im Kontext Ihres Produkts: Ist die betroffene Funktion in Ihrem Produkt erreichbar? Welche Auswirkungen hätte ein Exploit? Verwenden Sie etablierte Bewertungssysteme wie CVSS (Common Vulnerability Scoring System), ergänzt um eine produktspezifische Risikoeinschätzung.
Stufe 4: Behebung. Entwickeln und testen Sie Patches oder Workarounds. Bei Drittanbieter-Komponenten müssen Sie den Patch des Upstream-Anbieters integrieren und Ihr Produkt neu testen. Planen Sie ausreichend Zeit für Regressionstests ein – ein Sicherheitsupdate darf keine neuen Fehler einführen.
Stufe 5: Verteilung. Stellen Sie das Sicherheitsupdate über Ihren Update-Kanal bereit. Der CRA verlangt, dass Updates automatisch oder mit minimalem Aufwand für den Nutzer eingespielt werden können. Informieren Sie Ihre Nutzer über die Schwachstelle und das verfügbare Update.
Stufe 6: Dokumentation und Meldung. Dokumentieren Sie den gesamten Vorgang. Wenn die Schwachstelle aktiv ausgenutzt wird, lösen Sie parallel den Meldeprozess an die ENISA aus.
Koordinierte Schwachstellenoffenlegung einrichten
Die koordinierte Schwachstellenoffenlegung (CVD) ist ein wichtiger Baustein des CRA-konformen Schwachstellenmanagements. Sie müssen einen Kanal bereitstellen, über den externe Sicherheitsforscher Schwachstellen in Ihren Produkten melden können.
In der Praxis bedeutet das: Veröffentlichen Sie eine security.txt-Datei auf Ihrer Website (nach RFC 9116), die Ihren Sicherheitskontakt enthält. Definieren Sie eine Policy, die den Ablauf beschreibt – von der Meldung über die Bestätigung bis zur Behebung und Veröffentlichung. Legen Sie realistische Fristen fest: Typisch sind 90 Tage zwischen Meldung und öffentlicher Bekanntmachung.
Stellen Sie sicher, dass Ihr Team in der Lage ist, eingehende Meldungen zu triagieren und zeitnah zu reagieren. Nichts untergräbt das Vertrauen von Sicherheitsforschern schneller als fehlende Rückmeldung.
Werkzeuge und Automatisierung
Manuelles Schwachstellenmanagement skaliert nicht – insbesondere nicht für Hersteller mit mehreren Produktlinien und hunderten Softwarekomponenten pro Produkt. Automatisierung ist keine Option, sondern eine Notwendigkeit.
Eine effektive Schwachstellenmanagement-Plattform sollte SBOMs aller Produktversionen zentral verwalten, automatisiert gegen Schwachstellendatenbanken abgleichen, Schwachstellen nach Relevanz für Ihre spezifischen Produkte priorisieren, den gesamten Lebenszyklus einer Schwachstelle nachvollziehbar dokumentieren und Berichte für Marktüberwachungsbehörden generieren können.
Kunnus bietet genau diese Funktionalität und verbindet SBOM-Management, Schwachstellenüberwachung und CRA-Dokumentation in einer Plattform. So behalten Sie den Überblick über alle Produkte und können bei neuen Schwachstellen schnell handeln.
Fristen beachten: Die Meldepflicht kommt zuerst
Die Meldepflicht für aktiv ausgenutzte Schwachstellen gilt ab September 2026 – deutlich vor der allgemeinen CRA-Konformitätspflicht ab Dezember 2027. Das bedeutet: Auch wenn Ihr Produkt noch nicht vollständig CRA-konform sein muss, müssen Sie ab September 2026 einen funktionierenden Prozess für die Erkennung und Meldung von Schwachstellen haben.
Nutzen Sie die verbleibende Zeit, um Ihren Schwachstellenmanagement-Prozess aufzubauen und zu testen. Eine Schwachstelle, die 24 Stunden nach Bekanntwerden gemeldet werden muss, erfordert einen eingespielten Prozess – nicht erst hektisches Zusammensuchen von Informationen.
Besonders für Hersteller von IoT-Geräten und Industriekomponenten, deren Produkte oft jahrelang im Feld laufen, ist ein robuster Schwachstellenprozess unverzichtbar.
Starten Sie jetzt: Unsere kostenlose CRA-Reifegradanalyse bewertet unter anderem Ihren aktuellen Stand beim Schwachstellenmanagement und zeigt Ihnen, welche konkreten Schritte Sie als nächstes umsetzen sollten.