Der Mensch ist Schicht 8 des ISO-OSI-Modells, das mit dem Application Layer endet. Keine Firewall schützt ihn. Kein Patch schließt seine Schwachstellen. Und genau deshalb ist er das bevorzugte Einfallstor für professionelle Angreifer:innen.

Laut dem Verizon Data Breach Investigations Report ist menschliches Verhalten in rund 68 Prozent aller erfolgreichen Sicherheitsvorfälle ein entscheidender Faktor. Der Mensch wird nicht angegriffen, weil Technik fehlt. Er wird angegriffen, weil er reagiert. Weil er hilft. Weil er Autorität respektiert. Weil er unter Zeitdruck entscheidet. All das sind keine Fehler, das sind menschliche Eigenschaften, die Angreifer:innen gezielt ausnutzen.

Eine Sicherheitsstrategie, die auf technische Maßnahmen reduziert bleibt, baut auf einem Fundament mit einer bekannten, unbehobenen Lücke.

Wie Social Engineering funktioniert und warum es so effektiv ist

Social Engineering bezeichnet die gezielte Manipulation von Menschen, um sie zu Handlungen zu bewegen, die sie andernfalls nicht ausführen würden. Das Prinzip ist so alt wie Betrug selbst. Die Umsetzung hat sich professionalisiert.

Angreifer:innen nutzen eine Handvoll psychologischer Mechanismen, die in der Verhaltenspsychologie gut dokumentiert sind. Autorität: Eine E-Mail im Namen der Geschäftsführung löst andere Reaktionen aus als eine von einem Unbekannten. Dringlichkeit: Wer in 10 Minuten handeln muss, prüft nicht mehr kritisch. Vertrauen durch Kontext: Eine Nachricht, die auf ein laufendes Projekt Bezug nimmt, wirkt legitim. Reziprozität: Wer etwas bekommt, gibt leichter.

Ein konkretes Beispiel zeigt die Wirkung: Der Automobilzulieferer Leoni AG verlor 2016 über 40 Millionen Euro, weil eine Mitarbeiterin auf eine CEO-Fraud-E-Mail hereinfiel, also eine gefälschte Anfrage der Geschäftsführung. Kein Schadcode, kein Exploit. Nur eine gut formulierte E-Mail und ein Vorgang, der ungeprüft ausgeführt wurde.

KI hat diese Angriffsmethodik in den letzten zwei Jahren qualitativ verändert. Sprachmodelle generieren fehlerfreie, kontextsensitive Phishing-Mails in Sekunden, personalisiert auf Basis öffentlich verfügbarer Informationen über Zielpersonen. Deepfake-Sprachnachrichten imitieren Vorgesetzte. Die Hürde für überzeugend gemachte Social-Engineering-Angriffe ist gesunken.

Warum einmalige Schulungen nicht wirken

Einmal im Jahr ein Pflichttraining absolvieren und anschließend eine E-Mail-Bestätigung versenden: Dieses Modell ist in vielen Unternehmen noch Standard. Es erfüllt formal eine Anforderung. Es verändert kein Verhalten. Das Problem liegt in der Lernpsychologie. Wissen, das nicht aktiviert wird, verblasst. Handlungssicherheit entsteht durch Wiederholung, durch das Erleben von Situationen, und durch unmittelbares Feedback. Ein einmaliges Webinar über Phishing-Erkennung schafft das nicht.

Hinzu kommt: Angriffe werden nicht seltener, sondern häufiger. Wer seine Mitarbeitenden einmal im Jahr sensibilisiert, schickt sie elf Monate unvorbereitet ins Feld.

Studien zeigen, dass Klickraten bei simulierten Phishing-Mails mit kontinuierlichem Training von rund 34 Prozent auf etwa 5 Prozent sinken können. Der Effekt entsteht nicht durch Information, sondern durch das wiederholte Erleben, Erkennen und Melden von Angriffen in einer sicheren Trainingsumgebung.

Was wirksame Security Awareness ausmacht

Drei Eigenschaften unterscheiden Awareness-Programme, die Verhalten verändern, von solchen, die Compliance-Boxen abhaken.

Security Awareness als regulatorische Pflicht

NIS2 und ISO 27001 sind keine optionalen Rahmenbedingungen mehr für die meisten Unternehmen im DACH-Raum.

ISO 27001 verlangt in Annex A, Kontrolle 6.3, ausdrücklich ein Awareness-Programm für alle Mitarbeitenden, das relevante Bedrohungen und Verhaltenserwartungen adressiert. Kein zertifizierter ISMS-Betrieb ohne nachgewiesene Schulungsmaßnahmen.

NIS2, umgesetzt im deutschen NIS2UmsuCG, fordert in Artikel 21 Maßnahmen zur Sensibilisierung der Mitarbeitenden als expliziten Bestandteil des Risikokonzepts. Betreiber wesentlicher und wichtiger Einrichtungen, und das sind nach NIS2 deutlich mehr Organisationen als nach der Vorgängerrichtlinie, müssen Awareness-Maßnahmen nachweislich umsetzen und dokumentieren.

Wer Security Awareness nur als Nice-to-Have behandelt, riskiert damit nicht nur Sicherheitsvorfälle, sondern auch Compliance-Lücken mit regulatorischen Konsequenzen.

Fazit

Kein Unternehmen ist zu klein, um Ziel von Social Engineering zu sein. Und kein technisches Schutzkonzept ist vollständig, solange der menschliche Faktor unbehandelt bleibt. Wer Security Awareness kontinuierlich, verhaltenspsychologisch fundiert und messbar umsetzt, reduziert seine Klickrate nachweislich, erfüllt NIS2- und ISO-27001-Anforderungen mit auditfähiger Evidenz, und macht aus dem schwächsten Glied der Sicherheitskette eine aktive Verteidigungslinie.

Schicht 8 lässt sich nicht patchen. Sie lässt sich trainieren.

friends of carmasec

Ein Abend, bei dem der offene Austausch im Mittelpunkt steht. Einmal im Quartal treffen sich im Mediapark Köln Menschen aus der IT-Security mit unterschiedlichen Hintergründen. Was sie verbindet: die geteilte Überzeugung, voneinander zu lernen, Themen offen zu besprechen und persönliche Kontakte zu vertiefen.

Drei Praxis-Talks à 10 Minuten, echter Branchen-Dialog und Zeit zum Netzwerken – in einer offenen und persönlichen Atmosphäre. Für alle, die Cybersicherheit und ISMS wirklich ernst nehmen.

Werde Teil einer wachsenden Community und melde dich gleich an. Wir freuen uns auf dich.

Ein global tätiger Elektronikhersteller muss seinen gesamten Entwicklungsprozess auf den Cyber Resilience Act ausrichten. Keine kritischen Produkte, aber komplexe Strukturen, historisch gewachsene Prozesse und Kompetenzlücken in mehreren Abteilungen. Was folgt, ist kein Compliance-Projekt. Es ist ein Neustart der Produktsicherheit.

Ausgangssituation: Viel Unsicherheit, wenig Zeit

Durch das Inkrafttreten des Cyber Resilience Acts (CRA) muss ein global tätiger Hersteller smarter Haushaltsgeräte mit Sitz in Deutschland die Cybersicherheit seiner Produkte mit digitalen Elementen/Komponenten auch für die gesamte Produktlebensdauer sicherstellen. Es herrschte zunächst große Unsicherheit, welche Bedeutung genau der CRA für ein digitales Produkt hat und wie sich das mit bestehenden Produkt- & Softwareentwicklungsprozessen vereinbaren lässt. Unklar war ebenfalls, welche Produkte (nicht) vom CRA betroffen und welche Anforderungen des CRA bereits (teilweise) umgesetzt sind.

Der Hersteller beauftragte unser fachübergreifendes Expertenteam, eine holistische Strategie zur Erreichung der CRA-Compliance zu entwickeln, um fortan ein hohes Niveau an Cybersicherheit entlang des gesamten Lebenszyklus der digitalen Produkte zu erreichen.

Herausforderungen

Historisch gewachsene Prozesse

Die bisherigen Prozesse des Herstellers zur Produkt- und Softwareentwicklung haben sich teilweise über einen langen Zeitraum hinweg sowie uneinheitlich entwickelt. Außerdem wurden Aspekte der Cybersecurity bisher nicht sonderlich stark oder nur vereinzelt bedacht.

Komplexe Unternehmensstruktur

Die Komplexität der Unternehmensstruktur unseres global tätigen Kunden stellt eine weitere Herausforderung dar. So besteht das Unternehmen aus zahlreichen autarken Abteilungen mit teils geringen Kommunikationsschnittstellen zueinander. Cybersecurity wurde bisher nur in wenigen Abteilungen, und dort jeweils sehr unterschiedlich, berücksichtigt.

Ressourcen und Kompetenzen

Die für die Umsetzung des Cyber Resilience Act (CRA) erforderlichen personellen und finanziellen Ressourcen sowie das notwendige Fachwissen waren sehr unterschiedlich in den Abteilungen vorhanden und fehlten an einigen Stellen ganz. Infolgedessen herrschte große Unsicherheit über die erforderlichen Maßnahmen, um den Anforderungen des CRA zu entsprechen.

Integration mit anderen Regularien und unternehmensinternen Vorgaben

Da auch andere nationale, europäische und internationale Regularien auf das Unternehmen einwirken, sind Überschneidungen und Dopplungen zwischen diesen nicht bekannt und einbezogen. Außerdem decken unternehmensinterne Vorgaben diese Regularien teilweise bereits ab oder behindern deren Erfüllung. Eine Harmonisierung dieser Regularien und Vorgaben fand noch nicht statt.

Um diesen Herausforderungen zu begegnen und Lösungen zu entwickeln, wurden unser CRA Cybersecurity Expertenteam beauftragt.

Vorgehen: Strukturiert, Schritt für Schritt

Betroffene Produkte und Regularien identifizieren

Der erste Schritt für eine erfolgreiche Einführung des CRA bestand darin, die betroffenen Produkte zu identifizieren. Dafür musste das gesamte Portfolio sowie die komplexe Struktur des Unternehmens analysiert und die Produkte die unter den CRA fallen identifiziert werden. Bei der Überprüfung erfolgte außerdem eine Analyse, ob der Kunde oder das Produkt gegebenenfalls auch unter andere relevante Regularien (NIS-2 oder RED – Radio Equipment Directive) fällt.

Diese Einordnung diente als Basis für die weiteren Schritte.

Verantwortlichkeiten und Budget klären

Nach der Identifikation der betroffenene Produkte wurde gemeinsam eine klare Zuweisung von Verantwortlichkeiten erarbeitet. Dabei wurden Rollen für die Umsetzung des CRA innerhalb des Unternehmens definiert und auf der Managementebene Sichtbarkeit für das Thema erzielt. Gleichzeitig wurde das benötigte Budget für die Umsetzung der Anforderungen des CRA abgeschätzt und so berechnet, dass genug Ressourcen und Kompetenzen für die Umsetzung zur Verfügung stehen. Bei der Budgetplanung wurden sowohl die einmaligen als auch die laufenden Kosten berücksichtigt. Ein klar definiertes Budget ermöglichte eine realistische und effiziente Umsetzung der Sicherheitsmaßnahmen.

Zum Abschluss der Planung wurde der weitere zeitliche Ablauf definiert, um die wichtigen Fristen der EU einzuhalten und Verzögerungen bei den Releases neuer Produkte zu vermeiden. Da sich das Unternehmen rechtzeitig mit dem CRA auseinandersetzte, entstanden keine größeren Verzögerungen.

Soll/Ist Analyse der Anforderungen des CRA

Nun wurden bei einer Soll-Ist-Analyse die bestehenden Sicherheitsmaßnahmen des Unternehmens und der Produkte mit den Anforderungen des CRA verglichen und Lücken identifiziert. Durch eine Dokumentenprüfung, fachliche Interviews mit Ansprechpartnern sowie Sichtung von Auditberichten kamen wir zu folgenden Ergebnissen:

Die Produkte des Unternehmens verfügten schon über die grundlegenden Sicherheitsmechanismen, jedoch waren die Strukturen und Prozesse im Unternehmen nicht auf die neuen Anforderungen des CRA ausgerichtet. Es existierten zwar Maßnahmen wie Software-Updates und Zugriffskontrollen, doch dem Produktlebenszyklus fehlte ein systematisches Sicherheitskonzept nach dem Prinzip Security by Design. Die Sicherheitsaspekte wurden nicht bereits in der Entwurfsphase beachtet, sondern erst kurz vor oder sogar erst nach dem Release der Produkte. Außerdem fehlte manchen Produkten das Prinzip Security by Default, da sie mit einem Standardpasswort ausgeliefert wurden. Die Software-Updates wurden aufgrund von mangelnden technischen Möglichkeiten nicht über den kompletten Lebenszyklus der Geräte verfügbar gemacht, sondern wurden oft bereits nach 3 Jahren eingestellt. Zudem wurde festgestellt, dass dem Unternehmen die Prozesse und die Infrastruktur für das geforderte Incident Response Management und Security Monitoring fehlten. Die Mitarbeitenden waren nur teilweise im Bereich Cybersicherheit geschult. Die Dokumentationen (allgemeine Produktbeschreibung, Risikobewertungen und angewandte Normen) des Unternehmens waren teilweise vorhanden, es fehlte jedoch die geforderte SBOM (Software Bill of Materials).

Diese Ergebnisse wurden dann in einem Bericht zusammengefasst, um dem Kunden einen transparenten Überblick über seinen aktuellen Stand zu geben. Das Ergebnis zeigte auf, welche Maßnahmen bereits konform waren und welche Maßnahmen im weiteren Verlauf noch eingeführt werden müssten. Auf der Basis des Berichts wurden konkrete Handlungsempfehlungen formuliert.

Risiken innerhalb der betroffenen Produkte analysieren

Nach der Soll-Ist-Analyse wurde eine detaillierte Risikoanalyse durchgeführt. Es wurden potenzielle Sicherheitsrisiken für die Produkte evaluiert. Dabei wurden klassische Schwachstellenanalysen mit Threat-Informed Defense (TID) kombiniert, um eine fundierte Priorisierung der erforderlichen Sicherheitsmaßnahmen vorzunehmen.

Außerdem wurden bei einigen Produkten Penetrationstests durchgeführt mit dem Ziel, die kritischen Schwachstellen der Produkte zu identifizieren. Wir vervollständigten auf diese Weise unser Bild vom Unternehmen. Auf Grundlage der gewonnenen Erkenntnissen nahmen wir eine Priorisierung der erforderlichen Sicherheitsmaßnahmen vor und sie flossen in unsere Handlungsempfehlungen ein.

Umsetzung identifizierter Maßnahmen (prozessual & technisch)

Die erste durchgeführte Maßnahme war die Schulung des relevanten Personals. Neben dem vermittelten Wissen hatte dies den Nebeneffekt, dass wir die Mitarbeitenden besser in die Umsetzung der Maßnahmen einbeziehen konnten.

Eine besondere Herausforderung stellten die historisch gewachsenen Produkt- und Softwareentwicklungsprozesse dar, die über Jahre hinweg ohne einheitliche Sicherheitsstrategie entstanden waren. Diese haben wir angepasst, indem wir strukturierte Security by Design Prinzipien eingeführt und somit einen sicheren Produktentwicklungsprozess und Lebenszyklus eingeführt haben. Die Produktsicherheit wird im Unternehmen nun schon ab der Designphase in allen Phasen des Produktslebenszyklus berücksichtigt. Dabei wurde auch miteinbezogen, dass die Sicherheitsupdates für Produkte nun der Lebensdauer der Produkte entsprechen müssen. Die Technik wird so gewählt, dass sie auch nach 5 Jahren noch Sicherheitsupdates erhalten kann.

Darüber hinaus führte das Unternehmen mit unserer Unterstützung eine neue Continuous Integration und Continuous Delivery (CI/CD) Pipeline mit automatisierten Sicherheitsprüfungen ein. Dazu wurde eine Application Security Platform eingeführt, die den Code der Entwickler automatisch überprüft und schon während der Programmierung Schwachstellen im Code und in Bibliotheken meldet. Außerdem kann dieses Programm die vom CRA geforderte SBOM für die gesamte entwickelte Software des Unternehmens erstellen.

Zeitgleich wurde ein Incident Response Team im Unternehmen eingerichtet und die Infrastruktur für Incident Response Management und Security Monitoring geschaffen. Das Unternehmen ist jetzt in der Lage, innerhalb von maximal 24 Stunden Schwachstellen und Sicherheitsvorfälle zu melden. Es kann schnell auf interne, sowie externe Meldungen reagiert werden und den Nutzern Sicherheitsupdates für ihre Produkte zur Verfügung gestellt werden.

Aufgrund der neuen Prozesse und des neuen Sicherheitsdenkens erfüllen die Produkte jetzt die Prinzipien Security by Design & Default.

Durchführung der Konformitätsbewertung

Das Unternehmen hatte keine kritischen Produkte, somit konnte die Konformitätsbewertung vom Unternehmen selbst durchgeführt werden, es brauchte keine Evaluation durch einen Dritten. Bei der Selbstevaluation unterstützten wir das Unternehmen und konnten die CE Kennzeichnung für die neuen Produkte erlangen, sodass diese ohne Verzögerung nach Dezember 2027 auf den EU-Markt kommen können.

Mehrwert

Dank des tiefgehenden Fachwissens unseres CRA Cybersecurity Expertenteams sowie unserer langjährigen Erfahrung im Bereich der Product Security und der sicheren Softwareentwicklung waren wir in der Lage, die spezifischen Herausforderungen unseres Kunden sowie der einzelnen Organisationseinheiten genau zu erfassen und passgenaue Lösungen zu erarbeiten.

Neben unserer transparenten und ganzheitlichen Herangehensweise trugen auch eine enge kundenorientierte Kommunikation und Flexibilität maßgeblich zum Erfolg bei. Durch eine gründliche Bewertung des bestehenden Reifegrads in den Abteilungen sowie eine umfassende Aufklärung über gesetzliche Vorgaben verschafften wir dem Kunden einen klaren Überblick und förderten sein Sicherheitsbewusstsein.

Bei carmasec legen wir großen Wert auf eine enge Zusammenarbeit mit unseren Kunden. Durch ausführliche zielgerichtete Interviews und die Einbindung aller relevanten Stakeholder konnten wir in diesem Projekt ein tiefgehendes Verständnis für die spezifischen Herausforderungen erzeugen. So war es uns möglich, maßgeschneiderte Empfehlungen zu erarbeiten, um die Erfüllung des CRA und weiterer kundenspezifischen Anforderungen sicherzustellen. Dabei setzten wir auf einen integrativen Ansatz mit unseren Open Source Security Experten, der sowohl in der Strategieentwicklung als auch bei der Definition konkreter Maßnahmen berücksichtigt wurde. Neben der Analyse und Bewertung unterstützten wir auch die praktische Umsetzung, indem wir den Kunden befähigten, nachhaltige und praxisnahe Product Security-Strukturen aufzubauen. Gemeinsam definierten wir Rollen und Verantwortlichkeiten und entwickelten eine Roadmap für die Implementierung von Sicherheitsmaßnahmen, wie die Integration von Security-Schritten in den Entwicklungsprozess, die Definition von Secure Coding Standards und die Einführung eines Prozesses für Vulnerability- und Incident-Management. Zusätzlich standen wir als Experten bei der Erstellung erforderlicher Dokumentationen und Prozesse beratend zur Seite.

Binnen eines Jahres haben wir die Rahmenbedingungen für CRA festgelegt und sowohl einen sicheren Entwicklungsprozess als auch ein umfassendes Vulnerability Management mitsamt der CRA-Meldepflichten implementiert.

Dies ersparte dem Kunden die Herausforderung, schwer verfügbare Expert:innen zu rekrutieren, und ermöglichte ihm stattdessen, internes Wissen gezielt aufzubauen. Dadurch konnte er Product Security effektiv implementieren und die Weichen für sichere Produkte von morgen stellen.

Fazit

Compliance mit dem Cyber Resilience Act ist kein einmaliges Projekt. Sie ist eine Strukturfrage. Unternehmen, die Sicherheit spät im Entwicklungsprozess einbauen, zahlen zweimal: einmal für die Nachrüstung, einmal für den Zeitverlust.

Dieses Projekt zeigt, was möglich ist, wenn früh angefangen wird. Security by Design als Prinzip. Eine SBOM als Grundlage. Incident Response als Infrastruktur. Und ein Team, das die Anforderungen nicht von außen aufgedrückt bekommt, sondern versteht, warum sie sinnvoll sind.

Das Ergebnis ist kein abgehaktes Compliance-Dokument. Es ist ein Produktentwicklungsprozess, der ab sofort sicher startet.

FAQ zur CRA-Umsetzung in der Praxis

Dein Team steht vor ähnlichen Fragen?

Unser Team unterstützt dich von der ersten Bestandsaufnahme bis zur CE-Kennzeichnung. Kompetent, direkt und ohne Umwege.

Erstgespräch vereinbaren

Cyberlage verstehen. Verteidigung gezielt stärken.

Die digitale Bedrohungslage entwickelt sich rasant: professionalisierte Angriffe, automatisierte Malware, gezielte Phishing-Kampagnen und neue regulatorische Anforderungen erhöhen den Druck auf dein Unternehmen. Wenn du Sicherheit vor allem verwaltest statt sie aktiv zu gestalten, läufst du Gefahr, den Anschluss zu verlieren.

In diesem gemeinsamen Webinar von eco – Verband der Internetwirtschaft e. V. und carmasec erfährst du, wie du auf Basis eines aktuellen Cyberlagebilds Verteidigungsstrategien entwickelst, die sich an realen Angreifertechniken orientieren – praxisnah, wirksam und messbar.​

Eckdaten des Webinars

Titel: Cyberlagebild & Threat-Informed Defence – Von Compliance zu echter Sicherheit

Datum: 05.03.2026

Uhrzeit: 10:00 – 11:15 Uhr

Format: Online-Webinar

Veranstalter: eco – Verband der Internetwirtschaft e. V. in Kooperation mit carmasec
​​

Warum dieses Webinar für dich relevant ist

Viele Sicherheitsstrategien verpuffen, weil sie sich vor allem an Tools, Audits oder Standards orientieren – nicht aber an dem, was Angreifende tatsächlich tun. Gleichzeitig verschärfen professionellisierte Angriffe und neue Vorgaben wie NIS-2 den Handlungsdruck auf IT-Sicherheitsverantwortliche, CISOs und Geschäftsführungen.
​
​In diesem Webinar bekommst du beides: Ein fundiertes Lagebild vom BSI und einen konkreten Ansatz, wie du deine Verteidigung konsequent an realen Bedrohungen ausrichtest.

Für wen ist das Webinar gedacht?

Dieses Webinar ist ideal für dich, wenn du Verantwortung für Informationssicherheit oder IT-Security trägst (CISO, IT-Sicherheitsverantwortliche:r, Security-Lead), in der Geschäftsführung oder im Management Entscheidungen zu Cyberrisiken triffst und deine Organisation nicht nur compliant, sondern nachweislich widerstandsfähiger gegen Angriffe machen möchtest.

Deine Mehrwerte mit carmasec

carmasec unterstützt dich dabei, Sicherheit strategisch zu denken und deine Maßnahmen konsequent an realen Bedrohungen auszurichten.

Auf Basis von Threat-Informed Defense helfen wir dir, dein aktuelles Sicherheitsniveau realistisch einzuschätzen, relevante Angreifer und deren Taktiken zu identifizieren und Maßnahmen zu priorisieren, die einen nachweisbaren Effekt auf deine Resilienz haben. Wenn du nach dem Webinar tiefer einsteigen möchtest, kannst du dir zusätzlich unser kompaktes Playbook zu Threat-Informed Defense sichern – mit konkreten Schritten für mehr Resilienz in deinem Unternehmen.

Jetzt anmelden

Ein vorweihnachtlicher Abend, bei dem der offene Austausch im Mittelpunkt steht.
Am 11.12.2025 treffen sich in Köln Menschen aus der IT Security mit unterschiedlichen Hintergründen. Was sie verbindet, ist die geteilte Überzeugung, voneinander zu lernen, Themen offen zu besprechen und persönliche Kontakte zu vertiefen.

Tauche ein in die Welt der Cybersicherheit und werde Teil einer wachsenden Community.
Beim nächsten friends of carmasec Event erwarten dich anregende Gespräche, neue Denkanstöße und viele Gelegenheiten, dich mit anderen zu vernetzen – in einer offenen und persönlichen Atmosphäre..

Ablauf:

18:30 Uhr: Treffen und Networking Früh am Dom, Am Hof 12-18, 50667 Köln
19:30 Uhr: Wechsel zum Weihnachtsmarkt „Alter Markt“

Was erwartet dich bei unseren Events?

Unsere Treffen sind die perfekte Gelegenheit, um:

• dich mit Cyber Security-Expert:innen und Gleichgesinnten auszutauschen.
• Neue Perspektiven und Impulse für Deine Arbeit zu gewinnen.
• Wertvolle Kontakte in einer Community zu knüpfen, die bereits über 100 Mitglieder zählt.

Ob du zum ersten Mal kommst oder schon öfter dabei warst: Du bist willkommen.

Tauche ein in die Welt der Cybersicherheit und werde Teil einer wachsenden Community! Beim nächsten friends of carmasec Event in Essen erwarten dich spannende Gespräche mit Expert:innen und Interessierten, neue Impulse und jede Menge Networking-Möglichkeiten.

Ablauf:

18:00 Uhr: Treffen und Networking in unseren Büroräumen
18:45 Uhr: Gemeinsamer Wechsel in ein Restaurant (Details folgen)
19:00 Uhr: Abendessen und Austausch in entspannter Atmosphäre

Was erwartet dich bei unseren Events?

Unsere Treffen sind die perfekte Gelegenheit, um:

• Dich mit Cyber Security-Expert:innen und Gleichgesinnten auszutauschen.
• Neue Perspektiven und Impulse für deine Arbeit zu gewinnen.
• Wertvolle Kontakte in einer Community zu knüpfen, die bereits über 100 Mitglieder zählt.

Ob erfahrener Profi oder neugieriger Neuling – wir heißen alle Interessierten herzlich willkommen!

Wenn du ebenfalls Teil unseres Netzwerks werden möchtest, melde dich hier an und verpasse keine Einladung mehr.

Das Ausgangsproblem: OT wurde nicht für Vernetzung gebaut

Operational Technology in der Energieversorgung, in Wasserwerken, in der Verkehrsinfrastruktur oder im Gesundheitswesen hat einen grundlegenden Konstruktionsfehler aus heutiger Perspektive: Sie wurde für Verfügbarkeit und Prozessstabilität entwickelt, nicht für Sicherheit gegen Cyberangriffe. Steuerungssysteme auf Basis proprietärer Protokolle wie Modbus, Profibus oder DNP3 liefen jahrzehntelang in physisch isolierten Umgebungen. Der sogenannte Air Gap, die physische Trennung vom Internet, war das primäre Sicherheitskonzept.

Diese Isolation existiert in der Form nicht mehr. Die zunehmende IT/OT-Konvergenz, ausgelöst durch Fernwartungsanforderungen, Effizienzprogramme und die Integration von Smart Grid, SCADA und industriellen IoT-Komponenten, hat die Grenzen aufgelöst. Was früher eine Produktionsinsel war, ist heute über ZTNA-Gateways, Cloud-Backends und Wartungs-VPNs mit der Außenwelt verbunden. Und damit angreifbar.

Das Purdue Enterprise Reference Architecture Model (PERA), lange Zeit der konzeptuelle Rahmen für OT-Sicherheit, beschreibt eine klare Zonierung in Ebenen: von der Feldgeräteebene über die Steuerungsebene bis hin zur Unternehmens-IT. Theorie und Praxis klaffen hier weit auseinander. In der Praxis überspringen Wartungszugänge, Remote-Dienste und Datenintegrationspfade diese Zonen. Angreifer:innen auch.

Was Zero Trust bedeutet und wo der Begriff herkommt

Den Begriff „Zero Trust“ prägte John Kindervag 2010 während seiner Zeit als Analyst bei Forrester Research. Die Kernthese: Kein Gerät, kein Nutzer, keine Verbindung darf allein aufgrund seiner Netzwerklokation als vertrauenswürdig gelten. Weder innerhalb noch außerhalb des Perimeters. Vertrauen muss explizit und kontinuierlich hergestellt werden, nicht implizit vorausgesetzt.

Das National Institute of Standards and Technology (NIST) hat diesen Rahmen 2020 mit der SP 800-207 formalisiert. Drei Kernprinzipien stehen im Zentrum: „Verify explicitly“ bedeutet, dass jede Zugriffsanfrage anhand von Identität, Gerätekontext und Verhalten geprüft wird. „Use least privilege access“ begrenzt Berechtigungen strikt auf das, was für eine Aufgabe erforderlich ist. „Assume breach“ geht davon aus, dass eine Kompromittierung bereits stattgefunden haben kann, und entwirft Architekturen, die laterale Bewegungen innerhalb des Netzwerks verhindern.

Die CISA (Cybersecurity and Infrastructure Security Agency) hat darauf aufbauend ein Zero Trust Maturity Model entwickelt, das fünf Säulen definiert: Identity, Devices, Networks, Applications and Workloads sowie Data. Diese Säulen beschreiben, wo Zero Trust-Kontrollen ansetzt und in welcher Reihenfolge eine Reifegradentwicklung sinnvoll ist.

Warum KRITIS ein besonderes Problem hat

KRITIS-Betreiber stehen vor Einschränkungen, die in der klassischen IT-Welt so nicht vorkommen.

Zero Trust in der OT-Praxis: Was funktioniert und was nicht

Die direkte Übertragung von IT-seitigen Zero Trust-Architekturen auf OT-Umgebungen scheitert in der Regel. Ein Industrieregler kann kein Software-Agenten ausführen. Eine SPS unterstützt keine MFA. Ein SCADA-System toleriert keine Latenzen durch kontinuierliche Authentifizierungsprüfungen, wenn Echtzeitsteuerung erforderlich ist.

Das bedeutet aber nicht, dass Zero Trust-Prinzipien in OT-Umgebungen nicht umsetzbar sind. Es bedeutet, dass die Implementierung angepasst werden muss.

Wie der Einstieg gelingt: risikoorientiert, nicht maximal

Zero Trust ist kein Schalter, den man umlegt. Es ist ein Reifegradprozess. Der häufigste Fehler ist der Versuch, das gesamte Architekturkonzept auf einmal umzusetzen. Das scheitert an Ressourcen, an Legacy-Systemen und an der Komplexität der Abhängigkeiten.

Der richtige Ansatz ist risikobasiert: Welche Assets sind kritisch? Welche Zugänge sind am stärksten exponiert? Welche lateralen Bewegungspfade im Netz wären für Angreifer:innen am lukrativsten? Diese Fragen beantwortet eine strukturierte Risikoanalyse nach BSI IT-Grundschutz oder ISO 27001. Auf Basis dieser Antworten lässt sich eine Zero Trust-Roadmap entwickeln, die mit den wirkungsvollsten Maßnahmen beginnt und sukzessive ausbaut.

Das CISA Zero Trust Maturity Model beschreibt fünf Entwicklungsstufen je Säule: Traditional, Initial, Advanced, Optimal. Kein KRITIS-Betreiber muss auf Anhieb „Optimal“ erreichen. Ein klar definierter Ausgangszustand und ein realistischer Zielpfad sind wertvoller als eine ambitionierte Architektur, die in der Umsetzung steckenbleibt.

Fazit

Zero Trust für KRITIS ist kein Projekt, das du abschließt. Es ist eine Haltung gegenüber Sicherheit, die du in Architekturentscheidungen, Betriebsprozesse und Beschaffungsstrategien einbettest. Wer heute damit beginnt, gewinnt drei Dinge gleichzeitig: eine deutlich reduzierte Angriffsfläche durch Mikrosegmentierung und granulare Zugriffskontrollen, eine nachweisbare Erfüllung der NIS2-Anforderungen mit auditfähiger Evidenz, und die operative Sicherheit, dass ein erfolgreicher Einbruch in eine Teilinfrastruktur nicht zur vollständigen Kompromittierung der Gesamtanlage führt.

Sicherheit entsteht nicht durch den perfekten Perimeter. Sie entsteht durch die Annahme, dass der Perimeter bereits gefallen ist, und durch Architekturen, die genau darauf ausgelegt sind.

Maximale Sicherheit mit minimalem Aufwand

Besuch uns auf der it-sa 2025 in Nürnberg – Halle 7, Stand 416 und sicher dir jetzt deinen persönlichen Gesprächstermin mit uns.

Warum du bei carmasec vorbeischauen solltest?

Die it-sa ist Europas führende Fachmesse für IT-Security – aber was du brauchst, ist nicht noch ein Hochglanzversprechen, sondern echte Lösungen, die in der Praxis wirken.

Deine Herausforderung: Hohe Komplexität und unklare Wirksamkeit?

Genau hier setzt carmasec an. Wir sind dein Partner für pragmatische Cybersicherheit: Technisch stark, klar in der Sprache und schnell in der Umsetzung.
security. done. right.

Was dich bei uns erwartet:

• Kosteneffizienz: Nutze vorhandene Infrastruktur statt Neukauf.
• Zero‑Trust ohne Overhead: Schrittweise einführen mit sofortiger Wirkung.
• Compliance ohne Chaos: KRITIS, DORA, NIS2, CRA pragmatisch erfüllen.
• Lizenz‑Audit & Kosten‑Optimierung → Ø 18 % Einsparung
• Cyber‑Risk‑Assessment in 15  Minuten (kostenfrei)

Du willst mit jemandem sprechen, der zuhört, mitdenkt und nicht einfach nur den nächsten Sales-Pitch bei dir macht?
Dann buche dir jetzt deinen Termin an unserem Stand und erhalte ein kostenloses Ticket. Wir bieten dir echte Orientierung und zeigen dir, wie du dein Sicherheitsniveau wirksam erhöhst.

Jetzt Termin buchen

Warum jetzt handeln?

Die Anforderungen wachsen, die Komplexität steigt und deine internen Kapazitäten sind begrenzt. Mit carmasec holst du dir einen Sparringspartner, der dich durch den Security-Dschungel führt und dabei dein Business im Blick behält.

Setz auf Sicherheit, die Wirkung zeigt.
Triff uns vom 07.–09. Oktober 2025 auf der it-sa.

Der CRA verändert die Anforderungen an digitale Produkte tiefgreifend. Welche Pflichten auf Hersteller zukommen, erfährst du hier kompakt zusammengefasst.

Wen betrifft er und warum fast jedes Produkt dazugehört

Der EU Cyber Resilience Act betrifft alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Auch Unternehmen außerhalb der EU, die Produkte auf dem europäischen Markt vertreiben wollen, sind verpflichtet, den CRA zu erfüllen.

Bei kommerziellem Einsatz sind auch Open-Source-Produkte und -komponenten betroffen. Der CRA gilt für alle Produkte, die nach seinem Inkrafttreten auf dem EU-Markt in Verkehr gebracht werden. Bereits zuvor in Umlauf gebrachte Produkte sind nicht betroffen, solange keine wesentlichen Änderungen vorgenommen werden.

Explizit ausgenommen vom Anwendungsbereich

• Kraftfahrzeuge, Kraftfahrzeugteile, Luftfahrzeuge und deren Bestandteile
• Medizinische Geräte
• Produkte für die nationale Sicherheit / Militär
• Produkte für die Verarbeitung von Verschlusssachen

Fakten auf einen Blick

• Verabschiedung: 13. März 2024 durch das Europäische Parlament
• Inkrafttreten: 10. Dezember 2024 (anschließend 36 Monate Übergangsfrist)
• Ab 11. September 2026: Meldepflicht für aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle
• Ab 11. Dezember 2027: Alle CRA-Anforderungen für neu in Verkehr gebrachte Produkte verpflichtend
• Rechtsform: EU-Verordnung (direkt verbindlich, ohne nationale Umsetzung)
• Zielsetzung: Einheitliches Mindestniveau an Cybersicherheit für digitale Produkte

Wen betrifft er und warum fast jedes Produkt dazugehört

Der EU Cyber Resilience Act betrifft alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Auch Unternehmen außerhalb der EU, die Produkte auf dem europäischen Markt vertreiben wollen, sind verpflichtet, den CRA zu erfüllen.

Bei kommerziellem Einsatz sind auch Open-Source-Produkte und -komponenten betroffen. Der CRA gilt für alle Produkte, die nach seinem Inkrafttreten auf dem EU-Markt in Verkehr gebracht werden. Bereits zuvor in Umlauf gebrachte Produkte sind nicht betroffen, solange keine wesentlichen Änderungen vorgenommen werden.

Explizit ausgenommen vom Anwendungsbereich

• Kraftfahrzeuge, Kraftfahrzeugteile, Luftfahrzeuge und deren Bestandteile
• Medizinische Geräte
• Produkte für die nationale Sicherheit / Militär
• Produkte für die Verarbeitung von Verschlusssachen

Diese Infrastrukturen brauchst du

Der CRA verlangt Sicherheit entlang des gesamten Produktlebenszyklus. Das gelingt nur, wenn Unternehmen passende Infrastrukturen aufbauen. Sie sichern die Umsetzung technischer und organisatorischer Anforderungen und schaffen die Grundlage für dauerhafte Compliance.

Infrastruktur für Dokumentation und Transparenz

• Erstellung und Pflege einer SBOM (Software Bill of Materials / Software-Stückliste)
• Technische Dokumentation
• Risikoanalysen und Risikomanagement
• Kundeninformationen und Anwendungshinweise
• Meldeprozesse gegenüber Behörden wie der ENISA

Infrastruktur für Schwachstellenmanagement

• Schwachstellen müssen ohne Zeitverzug identifiziert, priorisiert und behoben werden.
• Sicherheitslücken, die von außen gemeldet werden, erfordern eine strukturierte und dokumentierte Reaktion (Incident Response).
• Informationen über behobene Schwachstellen müssen öffentlich nachvollziehbar gemacht werden (Incident Disclosure).
• Sicherheitsupdates müssen sicher, kostenfrei und sofort nach Bereitstellung verfügbar gemacht werden.

Infrastruktur für Sicherheitsprüfungen

• Statische Codeanalyse (SAST)
• Dynamische Tests (DAST)
• Penetrationstests

Infrastruktur für Transparenz und Meldungen

• Bereitstellung klarer Sicherheitsinformationen und Handlungsempfehlungen für Kunden
• Fristgerechte und strukturierte Meldungen an Behörden wie ENISA oder nationale Marktüberwachungsstellen
• Nachvollziehbare und dokumentierte Kommunikationsprozesse für Audit und Nachweisführung

Infrastruktur für Konformitätsbewertung

• Bewertung je nach Risikoklasse
• Selbstbewertung oder externe Prüfung durch notifizierte Stelle
• Nachweis der Konformität und CE-Kennzeichnung

Cyber Resilience Act umsetzen: Diese Schritte sind jetzt wichtig

Die Anforderungen des Cyber Resilience Act sind umfangreich. Mit einem strukturierten Vorgehen lassen sie sich klar priorisieren und umsetzen. Wichtig ist, früh zu klären, welche Produkte betroffen sind, welche Lücken bestehen und welche Maßnahmen notwendig sind. carmasec begleitet Unternehmen entlang des gesamten Prozesses von der Analyse bis zur Umsetzung sicherheitsrelevanter Maßnahmen.

Fazit

Der Cyber Resilience Act ist kein regulatorisches Randthema. Er verändert, wie digitale Produkte entwickelt, dokumentiert und auf den Markt gebracht werden. Wer bis Dezember 2027 nicht vorbereitet ist, verliert den Zugang zum EU-Markt. Das ist keine Drohkulisse, das ist Verordnungstext.

Die gute Nachricht: Die Anforderungen sind planbar. Betroffenheit analysieren, Lücken schließen, Prozesse aufbauen. Wer früh beginnt, vermeidet Zeitdruck, reduziert Haftungsrisiken und schafft Strukturen, die länger halten als eine Übergangsfrist.

Drei Dinge, die du aus diesem Artikel mitnimmst: Der CRA gilt für fast jedes vernetzte Produkt. Die ersten Pflichten greifen bereits ab September 2026. Und Unternehmen, die Schwachstellenmanagement, SBOM und Security by Design jetzt aufbauen, sind compliant und wettbewerbsfähig.

Quellen: EU-Verordnung 2024/2847 (Cyber Resilience Act), Amtsblatt der Europäischen Union, 20. November 2024, BSI TR-03183 Technische Richtlinie Cyber Resilience Requirements, Bundesamt fur Sicherheit in der Informationstechnik, BSI: Cyber Resilience Act, bsi.bund.de/CRA, Europäische Kommission: Cyber Resilience Act, digital-strategy.ec.europa.eu

Cybersicherheit ist keine Geheimwissenschaft und vieles, was Unternehmen für ausreichend halten, schützt im Ernstfall nicht. Aber kein Grund zur Panik: Wer Threat-Informed Defense konsequent anwendet, ist auf der sicheren Seite.