CRA zwingt Hersteller zum Umdenken

Cyber Resilience Act verändert Produktstrategien

Bernd Hantsche Bernd Hantsche

22. Dezember 2025 - 11:00

Hersteller müssen nach dem Cyber Resilience Act für alle Produkte, die ab dem 11. Dezember 2027 im EU-Wirtschaftsraum verkauft werden, mindestens fünf Jahre lang Sicherheitsupdates bereitstellen und die Rückverfolgbarkeit sicherstellen.

Rutronik, generiert mit KI

Ab Ende 2027 gelten neue Cybersicherheitsvorgaben für alle vernetzten Produkte in der EU. Der Cyber Resilience Act verpflichtet Hersteller zu langfristigem Support – ein Einschnitt mit direkten Folgen für Komponentenstrategie und Lieferantenauswahl.

Es ist Freitag, der 10. Dezember 2027. Wie jedes Jahr: In zwei Wochen ist Weihnachten – und noch immer fehlen Geschenke. Der Neffe, ein Technikfreak, schwärmt von einem smarten Fingerring, die Tante träumt von einer neuen Küchenmaschine – also ab in den Elektronikmarkt. Dort war jedoch bereits Feierabend.

Glück im Unglück: Die Geräte, die am 11. Dezember 2027 gekauft wurden, fielen unter eine neue Regelung – den Cyber Resilience Act (CRA). Dieser „verpasste“ Freitag würde einmal entscheidend sein.

Fünf Jahre später im Jahr 2032. Die Geschenke werden noch genutzt – bis plötzlich Probleme auftreten. Der Ring zeigt falsche Gesundheitswerte an und die Küchenmaschine macht merkwürdige Kaufvorschläge. Eine Untersuchung im Labor der Digitalforensik ergibt: Beide Geräte wurden kompromittiert. Im Ring wurde die Firmware aktualisiert, allerdings nicht vom Hersteller. Auch der Kochautomat wurde per Funk von unbekannten Dritten umprogrammiert. Solche Manipulationen sind bei Geräten möglich, die einen Rechenkern für Software sowie eine Schnittstelle zur Änderung der Software enthalten – und genau hier greift der CRA.

Cyber Resilience Act fordert Unternehmen

Gemäß dem EU Cyber Resilience Act dürfen Geräte mit Cyber-Schwachstellen in der EU bald nicht mehr verkauft werden. Unternehmen müssen deshalb die Produktstrategie rechtzeitig anpassen, um ihre Wettbewerbsfähigkeit zu erhalten.

Was fordert der Cyber Resilience Act konkret?

Um europäische Verbraucherinnen und Verbraucher besser vor Cyberangriffen zu schützen, hat die Europäische Union bereits im Jahr 2024 den CRA verabschiedet. Dieser verpflichtet Hersteller, für alle Produkte, die ab dem 11. Dezember 2027 im EU-Wirtschaftsraum verkauft werden, mindestens fünf Jahre lang Sicherheitsupdates bereitzustellen und die Rückverfolgbarkeit sicherzustellen.

Um europäische Verbraucher besser vor Cyberangriffen zu schützen, hat die Europäische Union bereits im Jahr 2024 den CRA verabschiedet.

Das Beispiel des smarten Vitalfingerrings zeigt, welche Folgen das hat. Der Hersteller muss für die zu erwartende Nutzungsdauer, jedoch im obigen Fall mindestens bis zum 11. Dezember 2032 bekanntwerdende Sicherheitslücken schließen. Wird etwa der Bluetooth-Pairing-Prozess manipuliert, liegt die Verantwortung zunächst beim Ringhersteller. Dieser muss sich wiederum an den Lieferanten des verbauten Bluetooth-Systemchips wenden. Ist der Chip mängelfrei, liegt das Problem also nicht in der Hardware, sondern in der Protokollsoftware, also im Bluetooth-Stack. Und dieser stammt oft von Drittanbietern, häufig aus Asien. Dann bleibt nur zu hoffen, dass der Chiphersteller mit dem Stack-Entwicklungsunternehmen auch einen langfristigen Support vertraglich geregelt hat. Fünf Jahre sind in Standardverträgen bislang keine übliche Frist. Im Industrieumfeld ist die zu erwartende Nutzungsdauer sogar zumeist erheblich länger.

Ganz so fiktiv ist dieses Szenario nicht: Im Jahr 2020 wurde tatsächlich eine gravierende Bluetooth-Sicherheitslücke entdeckt. Alle Hersteller von Bluetooth-ICs – und damit von Softwarestacks – hatten diesen Fehler übernommen und in ihre Produkte eingebaut. Hätte einer der Halbleiterhersteller den Fehler eigenmächtig korrigiert, wäre seine Software nicht mehr Bluetooth-konform gewesen. Erst als die Bluetooth Special Interest Group (BSIG) die Spezifikation korrigierte, konnten die Halbleiterhersteller Updates erstellen und die Geräte nachträglich patchen.

Die Lehre daraus ist: Hersteller, die ihre Prozesse im Griff haben, werden vom CRA profitieren, während andere an den neuen hohen Anforderungen scheitern werden. Es reicht nicht mehr aus, dass eine Baugruppe einfach funktioniert. Entscheidend ist, ob auch in fünf Jahren noch Updates möglich sind – und ob die Lieferanten dafür einstehen.

Cyber-Resilience-Act: Neue Pflichten für Distributoren

Der Cyber Resilience Act stellt Distributoren vor neue Pflichten. Im Interview erklärt der FBDi, welche Rollenveränderungen drohen, wo Regulierung noch unklar ist – und wie sich die Branche jetzt vorbereiten muss.

Konsequenzen für Funktechnologien und SoC-Design

Mit Weitsicht wählt man heute Chipproduzenten, die Hardware und Software aus einer Hand liefern. So sitzt das Know-how unter einem Dach und der Kunde erhält eine durchgängige, sichere Lösung. Die mühselige Fehlersuche an Schnittstellen verschiedener Zulieferer entfällt, ebenso wie Verhandlungen mit Partnern, für die die EU oft nicht der Hauptabsatzmarkt ist.

Der Cyber Resilience Act zwingt Hersteller dazu, Chips und Software-Stacks strategischer auszuwählen – Sicherheit, Herkunft und langfristiger Support werden zum Wettbewerbsfaktor.

Das Problem ist jedoch, dass Chipdesign und Funkstacks oft so vermarktet werden, als stammten sie aus einer Hand – in der Praxis ist das jedoch nicht immer gegeben. Einige Bluetooth-Chip-Hersteller konzentrieren sich auf das Hardwaredesign, während die Stacks zugekauft werden. Genau diese Trennung erschwert spätere Updates und macht die rechtliche Absicherung kompliziert.

Rutronik setzt hier bewusst auf eine redundante Alles-aus-einer-Hand-Strategie: Für Bluetooth- und WiFi-SoC-Lösungen werden Chips zweier konkurrierender Hersteller vermarktet, die jedoch ihre enthaltene Software selbst programmieren, sodass Hardware und Software aus einer Hand kommen. Infineon und Nordic Semiconductor – beide europäische Hersteller – setzen auf hauseigenes Know-how, sowohl was das Design des Siliziums als auch die Algorithmen betrifft. Ein Update für einen 2027 abgekündigten Chip ist 2032 problemlos möglich, weil keine weiteren Firmen in die Entwicklung eingebunden sind und somit keine „Blackboxes“ verbaut wurden.

Technologieentscheidungen im Kontext des CRA

Mit dem CRA verschiebt sich der Fokus vieler Hersteller: Es reicht nicht mehr aus, einfach „funktionierende” Chips einzukaufen, denn die Updatepflicht zwingt zu strategischen Entscheidungen. Es gilt die verschuldensunabhängige Haftung. Das bedeutet, dass der Gerätehersteller für die Cybersicherheit seines Gerätes haftet und sich nicht einfach auf Sicherheitslücken in verbauten Komponenten und Bauteilen berufen kann.

Ein Beispiel: Ein Hersteller setzt auf einen Bluetooth-Chip in seinem Produkt. Treten in den folgenden fünf Jahren Sicherheitslücken im Funk-Stack auf, muss er Patches bereitstellen. Hat der Chip-Hersteller den Funk-Stack nur zugekauft, bedeutet das für den Gerätehersteller oft mühsame Nachverhandlungen, unklare Zuständigkeiten und ein Wettrennen gegen Fristen.

Besser aufgestellt sind Anbieter wie Infineon und Nordic Semiconductor, die Hardware und Funkstacks unter einem Dach entwickeln. Das senkt das Risiko von Supportlücken und vereinfacht die rechtliche Absicherung.

Für OEMs bedeutet das: weniger Schnittstellen, mehr Kontrolle und vor allem eine realistische Chance, auch 2032 noch Updates für Chips liefern zu können, die bereits 2027 angekündigt wurden.

Ein weiterer Trend zeichnet sich ab: KI-Software für Mikrocontroller wird immer wichtiger und die Hersteller wollen sich hierbei nicht allein auf Drittanbieter verlassen. Neben hauseigenen Funkstacks bieten Infineon und Nordic inzwischen auch eigene Machine-Learning-Tools an. Infineon setzt bei seinen PSoC-Mikrocontrollern auf Imagimob Deepcraft, Nordic positioniert seine nRF-Controller mit Neuton neu – für Anwendungen von Bewegungs- und Geräuscherkennung bis hin zu Predictive-Maintenance-Szenarien. Beide Hersteller werden die so vom Kunden erstellten KI-Funktionen auch mittels dafür optimierten Rechenkernen zukünftig noch weiter auf Energieeffizienz trimmen.

Grundsätzlich hat der CRA den Qualitätsprozess im Herstellermanagement des Distributors bereits beeinflusst und wird mittelfristig auch in die Komponentenauswahl der Gerätehersteller einfließen. Europäische Halbleiterhersteller, die ihre eigene Software verwenden, versprechen im Hinblick auf die vielen CRA-Auflagen einige Sorgenfalten weniger für Gerätehersteller als der Einsatz von SoCs, deren Stacks nur zugekauft und gelabelt wurden.

Ein Gesetz mit weitreichenden Folgen

Der CRA polarisiert: Für die einen ist er ein Bürokratiemonster mit Wettbewerbsnachteilen gegenüber anderen Weltregionen, für die anderen ein notwendiger Schutzschirm – auch, weil er weniger professionelle Marktteilnehmer aussiebt und so verlässliche Hersteller stärkt. Er ist Teil der Cybersicherheitsagenda des Bundesinnenministeriums. Diese baut unter anderem das BSI als zentrale Anlaufstelle aus und versteht Cybersicherheit als gemeinsame Aufgabe von Wirtschaft, Staat und Gesellschaft.

SDV: Bremst Cybersecurity Innovationen aus?

Die Transformation hin zum Software-defined Vehicle hat Innovationen beschleunigt – und neue Schwachstellen offengelegt. Sicherheitsanforderungen und Regulierungen setzen die Branche unter Druck. Wie lässt sich Tempo halten, ohne Cyberrisiken zu übersehen?

Absehbar ist: Gerade für Start-ups und kleine Firmen werden die Auflagen zur Hürde. So schreibt der CRA-Meldeprozesse mit einer Reaktionszeit von je nach Anwendungsfall 24 bis 72 Stunden vor – unabhängig davon, ob es sich um einen Werktag oder einen Feiertag handelt. So macht er das CE-Zeichen ab Ende 2027 zu einem Nachweis der Cybersicherheitskonformität. Damit steigen die Zertifizierungs- und Dokumentationspflichten erheblich.

Herausfordernd ist insbesondere die Tatsache, dass Hersteller auch fünf Jahre nach dem letzten Produktverkauf Sicherheitsupdates liefern müssen, sofern die erwartete Produktnutzungsdauer nicht noch länger ist, selbst wenn das Gerät längst nicht mehr am Markt ist. Das können Konzerne eher stemmen als kleine Manufakturen, die ihre Nischenprodukte fast handgefertigt ausliefern. Klar ist aber auch: Die Größe oder das Alter eines Unternehmens dürfen nicht zulasten der Produktsicherheit gehen. Distributoren wie Rutronik unterstützen ihre Kunden daher bereits heute mit Beratung, Webinaren und Partnerschaften, beispielsweise mit dem TÜV Süd, um die CRA-Anforderungen praxisnah umzusetzen.

Der Fachverband Bauelemente Distribution e. V. (FBDi) unterstützt seine Mitglieder frühzeitig mit juristischem Beistand, FAQs und Leitfäden, um die Anforderungen des CRA frühzeitig greifbar zu machen. Eine eigens dafür eingerichtete Projektgruppe arbeitet an der Einstufung von Produkten, der Auslegung von Meldepflichten und der Unterstützung der Distributoren, damit die neuen Pflichten praxisnah umsetzbar bleiben. Der Verband entlastet damit nicht nur seine Mitglieder, sondern schafft auch Orientierung für Gerätehersteller, die sich auf verlässliche Lieferketten und rechtskonforme Beratung stützen müssen. Eine von der EU-Kommission eingesetzte Expertengruppe – zu deren Teilnehmern auch Infineon, dem größten Franchisepartner von Rutronik zählt – arbeitet zudem u. a. an genaueren Spezifikationen für die Risikobewertung von elektronischen Bauelementen. Gegen Ende dieses Jahres sollte sich eine Rechtsverbindlichkeit abzeichnen, wann ein Mikrocontroller juristisch manipulationssicher ist oder nur sicherheitsrelevante Funktionen erhält.

Fazit

Der CRA verändert die Branche grundlegend. Gerätehersteller werden künftig nicht mehr nur nach Preis und Leistung entscheiden, sondern auch nach der Frage: „Wer hilft mir, fünf Jahre lang sicher zu bleiben?“ Zulieferer, die inhouse entwickelte Hardware und Software anbieten, nehmen ihren Kunden damit entscheidende Sorgen ab.

Denn klar ist: Küchenmaschinen dürfen nicht von Fremden zu Werbeträgern umfunktioniert werden und Vitalringe sollten keine falschen Gesundheitswarnungen verbreiten. Diese Beispiele wirken harmlos im Vergleich zu den Szenarien, die entstehen, wenn Schließsysteme, Identifikations- oder Zugangsfunktionen kompromittiert werden. (bs)