„Cybersecurity wird zu einem festen Bestandteil der Produktzulassung“

Cyber Resilience Act und die EU-Maschinenverordnung: Was Maschinenbauer jetzt wissen müssen - Interview mit Jürgen Leng

Die EU-Maschinenverordnung 2023/1230 und der Cyber Resilience Act (CRA) setzen neue Maßstäbe für Maschinensicherheit. Hersteller müssen nicht nur funktionale Sicherheit, sondern künftig auch den Schutz vor Cyberrisiken systematisch berücksichtigen und dokumentieren. Im Interview erklärt der Normungsexperte Jürgen Leng (Business Development Manager bei SCHLEGEL), worauf Unternehmen achten müssen – und wie Schlegel mit 2BSecure einen praxisnahen Schutz bietet.

Herr Leng, CRA und Maschinenverordnung – worauf müssen sich Unternehmen in puncto Maschinensicherheit einstellen?

Jürgen Leng: Mit der neuen EU-Maschinenverordnung (EU) 2023/1230 und dem Cyber Resilience Act (CRA) wird Cybersicherheit erstmals zu einem verbindlichen Bestandteil der Maschinensicherheit. Neben der funktionalen Sicherheit müssen Hersteller künftig auch den Schutz vor Cyberrisiken systematisch berücksichtigen und dokumentieren. Eine wichtige Neuerung ist der in Anhang III, Abschnitt 1.1.9 der Maschinenverordnung geforderte Schutz gegen sogenannte „Korrumpierung“. Das ist ein Begriff aus der Normung und bezeichnet die Manipulation oder unbefugte Veränderung von Maschinen, Software oder Parametern, die sicherheitsrelevante Funktionen beeinträchtigen kann.

Was verbirgt sich konkret dahinter?

Die Norm prEN 50742 „Schutz von Maschinen gegen Korrumpierung“ gibt Herstellern praxisnahe Leitlinien. Sie definiert, wie Maschinen so konzipiert und betrieben werden, dass sowohl unbeabsichtigte als auch vorsätzliche Manipulationen verhindert werden. Im Fokus stehen insbesondere:

Zugriffsschutz für Maschinen und Steuerungen
Absicherung von externen Schnittstellen
Schutz vor manipulierten Softwareständen

Sicherstellung der Integrität sicherheitsrelevanter Funktionen

Parallel fordert der CRA klare Nachweise über die Cybersecurity von vernetzten Maschinen – ein Novum für die EU.

Welche konkreten Anforderungen bringt der Cyber Resilience Act für Maschinenhersteller?

Der CRA verpflichtet Hersteller dazu, Cybersicherheit über den gesamten Produktlebenszyklus hinweg sicherzustellen – von der Entwicklung bis zum Ende der Nutzung.

Zu den wichtigsten Anforderungen gehören:

• Security by Design & Default: Cybersicherheit muss bereits bei der Entwicklung berücksichtigt werden. Produkte dürfen keine Standardpasswörter haben und ungenutzte Schnittstellen müssen deaktiviert sein.

• Risikobewertung und Schwachstellenmanagement: Eine systematische Cyber-Risikobewertung ist für den Hersteller vor der Markteinführung verpflichtend. Gefundene Schwachstellen müssen dokumentiert und schnell behoben werden.

• Verpflichtende Sicherheitsupdates: Sicherheitsupdates müssen mindestens fünf Jahre oder über die erwartete Lebensdauer des Produkts bereitgestellt werden.

• Transparenz: Offenlegung aller Softwarekomponenten (inkl. Open Source), um Transparenz über die Lieferkette zu schaffen (Software Bill of Materials – SBOM).

• Meldepflichten: Schwerwiegende Sicherheitsvorfälle müssen an die Behörden gemeldet werden.

• Konformitätsbewertung & CE-Kennzeichnung: Je nach Risikoklasse sind Selbstbewertungen oder externe Prüfungen erforderlich. Zudem werden die CRA-Anforderungen Teil der CE-Konformitätsbewertung.

Für Maschinenbauer bedeutet das: Cybersecurity wird künftig zu einem festen Bestandteil der Produktzulassung.

Welche Produkte sind vom CRA betroffen?

Der CRA gilt für alle Produkte mit digitalen Elementen, die in der EU hergestellt, importiert oder vertrieben werden. Der Anwendungsbereich ist also ziemlich weit gefasst, weil er alle Produkte betrifft, die mit Netzwerken oder Geräten verbunden sind. Die Produkte werden dabei in verschiedene Risikoklassen eingeteilt. Bei der Einstufung spielt vor allem ihr mögliches Schadenspotenzial eine Rolle. Produkte, die etwa in kritischen Infrastrukturen, der industriellen Produktion oder im Energieumfeld eingesetzt werden, fallen in eine höhere Risikokategorie. Für Hersteller bedeutet das: Die Verfahren zur Konformitätsbewertung werden umfassender und anspruchsvoller. Wer checken will, welches seiner Produkte unter den CRA fällt, dem sei ein Test von TÜV Süd auf seiner Homepage empfohlen. Anhand weniger Fragen wird ermittelt, ob der Cyber Resilience Act für eigene Produkte relevant ist: (https://www.tuvsud.com/de-de/dienstleistungen/produktpruefung-und-produktzertifizierung/cyber-resilience-act/cra-grafik)

Wie hoch ist aktuell das Gefährdungspotenzial durch Cyberangriffe?

Das Risiko ist bereits heute hoch. Das ist den Unternehmern auch bewusst. Laut Branchenverband Bitkom (Wirtschaftsbericht 2025) schätzten 72 % der Befragten die Bedrohungslage als hoch ein, zudem waren in den vergangenen zwölf Monaten rund 66 % der deutschen Unternehmen von Datendiebstahl betroffen. Rund 70 % der Angriffe werden der organisierten Kriminalität zugerechnet. Die Schadenshöhe durch Ausfall, Diebstahl oder Schädigung von Informations- und Produktionssystemen oder Betriebsabläufen ist von 2024 auf 2025 um fast 20 Milliarden auf 73,3 Milliarden Euro gestiegen. Das Thema ist also sehr aktuell.

Das gilt auch für den Zeitplan des CRA: Die Meldepflicht für Schwachstellen und Sicherheitsvorfälle im Rahmen des CRA tritt am 11. September 2026 in Kraft. Am 11. Dezember 2027 müssen dann alle neuen Produkte vollständig CRA-konform sein.

Die Absicherung von externen Schnittstellen ist Teil der Norm zum Schutz vor Korrumpierung. Warum bleiben diese Schnittstellen oft unbeachtet?

Das Risiko durch physische Schnittstellen an Maschinen wird tatsächlich oft unterschätzt. Mit der zunehmenden Vernetzung von Maschinen im Zuge von Industrie 4.0 steigt auch das Risiko von Cyberangriffen über USB- oder Ethernet-Ports. Diese sind in vielen Fällen notwendige Servicezugänge, gleichzeitig aber auch potenzielle Einfallstore. Über diese Zugänge können Schadprogramme eingeschleust, Daten ausgelesen oder Maschinenparameter verändert werden. Hier können technische Schutzmaßnahmen auf einfache Art und Weise viel bewirken.

SCHLEGEL hat mit 2BSecure ein System entwickelt, das offene Schnittstellen schützt. Wie funktioniert dies konkret?

2BSecure ist als kompakte Hardwarelösung konzipiert, die zwischen Schnittstelle und Endgerät installiert wird und ist für gängige USB-A-, USB-C- sowie Ethernet-Schnittstellen ausgelegt. Das System verfolgt einen präventiven Ansatz: Schnittstellen werden standardmäßig deaktiviert und lassen sich nur über Schlüsselschalter oder RFID durch autorisierte Personen gezielt freischalten. Nur berechtigte Personen können damit Ports aktivieren und Daten übertragen, der Zugriff wird dadurch kontrollierbar und Manipulationen können wirksam verhindert werden. Die Lösung schützt sowohl die Maschinensteuerung als auch sensible Daten im Netzwerk.

Ist für die Nutzung ein größerer Umrüstaufwand notwendig?

Nein, die Lösung ist bewusst einfach integrierbar ausgelegt. Sie kann sowohl in neuen Maschinen als auch in Bestandsanlagen eingesetzt werden und lässt sich ohne großen Aufwand in vorhandene Maschinen- und IT-Infrastrukturen einbinden. Damit folgt sie dem Prinzip „Security by Design“.

Inwiefern spielten gesetzliche Vorgaben bei der Entwicklung eine Rolle?

Die regulatorischen Anforderungen durch die neue Maschinenverordnung oder der CRA waren ein wesentlicher Treiber, weil beide nachweisbare Schutzmaßnahmen gegen unbefugte Zugriffe und Manipulationen verlangen. Durch die kontrollierte Absicherung physischer Schnittstellen kann 2BSecure dazu beitragen, diese Anforderungen technisch umzusetzen und Risiken nachweisbar zu reduzieren.

Zip