Zum Inhalt springen

Wenn der Cyber Resilience Act dein Prozesschaos entlarvt

  • CMMI, Blog
  • 6 Min. Lesezeit

NIS-2 ist ja schon da. Der CRA kommt unausweichlich. Und nicht jeder hat rechtzeitig damit angefangen.

Ein spannender Impuls von einem LinkedIn-Kontakt, und er hat recht. Viele wachen gerade erst auf und merken, dass sie nur noch wenig Zeit haben.

CRA = Cyber Resilience Act. EU-Verordnung, die ab 2027 Hersteller und Anbieter digitaler Produkte verpflichtet, Sicherheitslücken systematisch zu managen und Vorfälle zu melden. Betrifft jeden, der Produkte mit digitalen Komponenten entwickelt, vertreibt oder einsetzt.

NIS-2 = Network and Information Security Directive 2. Die überarbeitete EU-Richtlinie für Cybersicherheit, die seit Oktober 2024 gilt und deutlich mehr Unternehmen als ihr Vorgänger in die Pflicht nimmt.

Und hier ist der Twist, den die meisten übersehen: IT-Sicherheit ist kein isoliertes Problem der Technik. Es ist ein Problem der Effizienz. Und zwar genau das, was du in deinem Betrieb ohnehin schon in den Griff bekommen solltest.

Warum Sicherheit jetzt dein Geschäft betrifft

Du denkst vielleicht: „Wir sind doch kein Software-Hersteller. Die neue Verordnung geht uns nichts an.“

Falsch gedacht. Wenn du irgendein Gerät, eine Software oder ein System bei Kunden installierst, das irgendwie vernetzt ist, kommst du nicht drum herum.

Aber das ist gar nicht die schlechte Nachricht. Die gute Nachricht ist: Wer seine Prozesse schlank dokumentiert hat, hat beim Thema Sicherheit einen riesigen Vorteil. Warum? Weil die neuen Verordnungen im Prinzip nichts anderes sind als eine strukturierte Risikoanalyse mit klaren Anforderungen: genau das, was du ohnehin für dein Problem mit dem „Monopol im Kopf“ brauchst.

TARA: Dein bester Freund

Mein Kontakt hat einen Begriff fallen lassen, der erst einmal abschreckt: Er sprach von einer strukturierten TARA für jedes Produkt. Das klingt nach NASA. Ist es aber nicht!

Im Kern fragst du einfach:

  • Was passiert, wenn unser Produkt im Kunden-Netzwerk angreifbar ist?
  • Welche Daten fließen wo durch?
  • Was ist, wenn jemand die Wartungsschnittstelle missbraucht?

Das sind Risikofragen, keine Hexerei. Und wenn du bereits dabei bist, deine Prozesse zu strukturieren, kannst du diese Sicherheitsanalyse nahtlos einbauen.

TARA = Threat Analysis and Risk Assessment. Die systematische Analyse von Bedrohungen und Risiken für ein digitales Produkt. Du fragst „Was könnte schiefgehen?“, bewertest die Gefahren und leitest konkrete Schutzmaßnahmen ab. Im CMMI kennst du das als RSKM, nur eben spezialisiert auf IT-Sicherheit.

Die 3 Fragen, die deinen Kunden (auch den Prüfer) überzeugen

Es geht darum, in welcher Umgebung das Produkt installiert wird. Das ist der entscheidende Hebel. Denn ein Gerät in einer abgesicherten Fabrikhalle ist etwas ganz anderes als ein Tablet auf einer Baustelle.

Hier sind die drei praktischen Fragen, die du dir für jedes Produkt stellen solltest:

1. Wo läuft das Ding?

Office-Umgebung mit Firewall? Oder freies WLAN auf der Messe? Die Antwort bestimmt dein Sicherheitsniveau, und damit deinen konkreten Aufwand.

2. Welche Schnittstellen hat es?

USB-Ports, Netzwerk, Fernwartung, Cloud-Anbindung? Jede Tür ist ein potenzielles Risiko. Dokumentiere sie. Das ist dann die Analyse deiner konkreten Bedrohung.

3. Was passiert bei der Wartung und Aktualisierung?

Viele Produkte scheitern nicht an der Entwicklung, sondern am laufenden Betrieb. Wer pflegt Aktualisierungen? Wer überwacht Schwachstellen?

Wenn nur eine einzelne Person weiß, wie das Aktualisierungsprotokoll funktioniert, hast du ein Problem. Das ist nicht mehr nur ein Effizienzrisiko. Das wird für dich unter der neuen Verordnung zur Haftungsfalle.

Schwachstellenmanagement (im Englischen: Vulnerability Management) = das systematische Erkennen, Bewerten und Beheben von Schwachstellen in deinen Produkten und Systemen. Wer kennt das Aktualisierungsprotokoll? Was passiert, wenn diese Person ausfällt? Genau hier entsteht das „Monopol im Kopf“ in der Sicherheits-Welt.

Sicherheit, die im Prozess steckt und nicht im Handbuch

Hier kommt der Clou, den mein Kontakt angesprochen hat: Es gibt eine internationale Norm für sichere Produktentwicklungsprozesse, die im Prinzip der technische Unterbau für die neue Verordnung ist.

IEC 62443-4-1 = Internationale Norm für sichere Produktentwicklungsprozesse. Sie beschreibt, wie du Sicherheitsanforderungen systematisch in den Entwicklungszyklus einbaust; von der Planung bis zur Wartung.

Für kleine Betriebe heißt das nicht: „Bau dir ein 500-seitiges Handbuch.“

Es heißt:

  • Definiere 3 bis 5 klare Sicherheitsregeln für dein Produkt.
  • Schreibe diese in deine Prozessdokumentation mit rein.
  • Konfiguriere deine Software so, dass sie diese Regeln automatisch einhält.

Ein Beispiel: Wenn deine Software keine unverschlüsselte Datenübertragung erlauben soll, dann stelle sie so ein, dass sie gar keine unverschlüsselte Verbindung aufbaut. Nicht als Regel auf Papier, sondern als technische Leitplanke. Genauso, wie ich es bei der PDF-Bestellung im letzten Artikel gemacht habe.

OPD = Organizational Process Definition. Der CMMI-Prozess, mit dem du deine wichtigsten Abläufe standardisierst und dokumentierst. Wenn du hier deine Sicherheitsregeln mit integrierst, werden sie zum festen Bestandteil deines „Standard-Wegs“ und essenziell: nicht als separates Dokument, sondern als gelebter Prozess.

Der Countdown läuft, und du bist nicht zu spät dran

Ja, die neue Verordnung kommt. Ja, die Richtlinie ist schon da. Und ja, viele wachen erst jetzt auf.

Aber hier ist die entscheidende Erkenntnis: Wer jetzt seine Prozesse strukturiert, bekommt IT-Sicherheit quasi als Beigabe.

Denn ein dokumentierter, wiederholbarer Prozess ist die halbe Miete für jede Zertifizierung, jede Prüfung und jede Kundenanfrage zum Thema Sicherheit. Du musst nicht zweimal anfangen. Du musst nur einmal richtig anfangen.

RSKM = Risk Management. Im CMMI identifizierst du Risiken systematisch, bewertest sie nach Wahrscheinlichkeit und Auswirkung und entwickelst Maßnahmen. Genau das ist die Bedrohungsanalyse (TARA). Die Methode ist identisch und nur das „Was“ ändert sich: Statt Personalausfall betrachtest du Bedrohungen und Schwachstellen.

Dein erster Schritt: Der 15-Minuten-Sicherheits-Check

Du brauchst keine externe Beratungsfirma, um den Grundstein zu legen. Nimm dir 15 Minuten und beantworte diese Fragen für dein wichtigstes Produkt oder System:

  1. In welcher Umgebung läuft es typischerweise? (Sicher/unsicher, intern/extern, mit/ohne Internet)
  2. Welche 3 größten Türen hat es? (Schnittstellen, Ports, Zugänge)
  3. Wer kennt das Wartungs- und Aktualisierungsprotokoll? (Und was passiert, wenn diese Person ausfällt?)
  4. Welche Daten werden verarbeitet – und wie werden sie geschützt?
  5. Gibt es eine Notfall-Checkliste, wenn etwas passiert?

Das ist deine Mini-Bedrohungsanalyse. Das ist der erste Baustein für deine Sicherheitsdokumentation. Und das ist der Beweis für Kunden und Prüfer, dass du das Thema ernst nimmst.

Der Cyber Resilience Act wird kommen. NIS-2 ist schon da. Aber das ist keine Katastrophe – es ist eine Chance, deine Prozesse endlich sauber aufzusetzen.

Schluss mit der Panik!

Wenn du bereit bist, das Thema Sicherheit nicht als isoliertes Technik-Monster, sondern als logische Erweiterung deiner Prozessstruktur anzugehen, dann lass uns reden.

In meiner 6-monatigen Software Effizienz Begleitung bauen wir dieses digitale Rückgrat, inklusive Sicherheitsanforderungen, strukturierten Risikoanalysen und Schwachstellenmanagement, das auch funktioniert, wenn du im Urlaub bist.

Jetzt die „Software Effizienz Begleitung“ entdecken

Software Denker | Struktur · Klarheit · Effizienz — konsequent begleitet.