{"id":1911,"date":"2026-02-16T10:12:22","date_gmt":"2026-02-16T10:12:22","guid":{"rendered":"https:\/\/www.carmasec.com\/?post_type=knowledge-center&p=1911"},"modified":"2026-04-24T07:32:09","modified_gmt":"2026-04-24T07:32:09","slug":"ase-study-cra-compcomplaince-sichere-produktentwicklung","status":"publish","type":"knowledge-center","link":"https:\/\/www.carmasec.com\/de\/security-knowledge\/ase-study-cra-compcomplaince-sichere-produktentwicklung\/","title":{"rendered":"Case Study: Product Security und Cyber Resilience Act"},"content":{"rendered":"\n
\n
\n
\n
<\/div>\n
\n
\n

Kunde<\/p>\n

Global t\u00e4tiger Hersteller smarter Haushaltsger\u00e4te, Hauptsitz Deutschland
\r\n<\/p>\n <\/div>\n

\n

Branche <\/p>\n

Elektronik \/ Consumer Electronics
\r\n
\r\n<\/p>\n <\/div>\n

\n

Herausforderung<\/p>\n

CRA-Compliance f\u00fcr ein Produkt unter Ber\u00fccksichtigung komplexer Unternehmensstruktur und Kundenanforderungen
\r\n<\/p>\n <\/div>\n

\n

Rolle carmasec<\/p>\n

Cyber-Security-Beratung und Implementierungspartner
\r\n<\/p>\n <\/div><\/div>\n <\/div>\n <\/div>\n<\/section>\n\n\n

\n
\n
\n

Ein global t\u00e4tiger Elektronikhersteller muss seinen gesamten Entwicklungsprozess auf den Cyber Resilience Act ausrichten. Keine kritischen Produkte, aber komplexe Strukturen, historisch gewachsene Prozesse und Kompetenzl\u00fccken in mehreren Abteilungen. Was folgt, ist kein Compliance-Projekt. Es ist ein Neustart der Produktsicherheit.<\/p>\n\n <\/article>\n <\/div>\n <\/div>\n<\/section>\n\n\n

\n
\n
\n

Ausgangssituation: Viel Unsicherheit, wenig Zeit<\/h2>\n

Durch das Inkrafttreten des Cyber Resilience Acts (CRA)<\/a> muss ein global t\u00e4tiger Hersteller smarter Haushaltsger\u00e4te mit Sitz in Deutschland die Cybersicherheit seiner Produkte mit digitalen Elementen\/Komponenten auch f\u00fcr die gesamte Produktlebensdauer sicherstellen. Es herrschte zun\u00e4chst gro\u00dfe Unsicherheit, welche Bedeutung genau der CRA f\u00fcr ein digitales Produkt hat und wie sich das mit bestehenden Produkt- & Softwareentwicklungsprozessen vereinbaren l\u00e4sst. Unklar war ebenfalls, welche Produkte (nicht) vom CRA betroffen und welche Anforderungen des CRA bereits (teilweise) umgesetzt sind.<\/p>\n

Der Hersteller beauftragte unser fach\u00fcbergreifendes Expertenteam, eine holistische Strategie zur Erreichung der CRA-Compliance zu entwickeln, um fortan ein hohes Niveau an Cybersicherheit entlang des gesamten Lebenszyklus der digitalen Produkte zu erreichen.<\/p>\n

 <\/p>\n

Herausforderungen<\/strong><\/h2>\n

<\/h3>\n

Historisch gewachsene Prozesse<\/h3>\n

Die bisherigen Prozesse des Herstellers zur Produkt- und Softwareentwicklung haben sich teilweise \u00fcber einen langen Zeitraum hinweg sowie uneinheitlich entwickelt. Au\u00dferdem wurden Aspekte der Cybersecurity bisher nicht sonderlich stark oder nur vereinzelt bedacht.<\/p>\n

Komplexe Unternehmensstruktur<\/h3>\n

Die Komplexit\u00e4t der Unternehmensstruktur unseres global t\u00e4tigen Kunden stellt eine weitere Herausforderung dar. So besteht das Unternehmen aus zahlreichen autarken Abteilungen mit teils geringen Kommunikationsschnittstellen zueinander. Cybersecurity wurde bisher nur in wenigen Abteilungen, und dort jeweils sehr unterschiedlich, ber\u00fccksichtigt.<\/p>\n

Ressourcen und Kompetenzen<\/h3>\n

Die f\u00fcr die Umsetzung des Cyber Resilience Act (CRA) erforderlichen personellen und finanziellen Ressourcen sowie das notwendige Fachwissen waren sehr unterschiedlich in den Abteilungen vorhanden und fehlten an einigen Stellen ganz. Infolgedessen herrschte gro\u00dfe Unsicherheit \u00fcber die erforderlichen Ma\u00dfnahmen, um den Anforderungen des CRA zu entsprechen.<\/p>\n

Integration mit anderen Regularien und unternehmensinternen Vorgaben<\/h3>\n

Da auch andere nationale, europ\u00e4ische und internationale Regularien auf das Unternehmen einwirken, sind \u00dcberschneidungen und Dopplungen zwischen diesen nicht bekannt und einbezogen. Au\u00dferdem decken unternehmensinterne Vorgaben diese Regularien teilweise bereits ab oder behindern deren Erf\u00fcllung. Eine Harmonisierung dieser Regularien und Vorgaben fand noch nicht statt.<\/p>\n

Um diesen Herausforderungen zu begegnen und L\u00f6sungen zu entwickeln, wurden unser CRA Cybersecurity Expertenteam<\/a> beauftragt.<\/p>\n\n <\/article>\n <\/div>\n <\/div>\n<\/section>\n\n\n

\n
\n
\n

Vorgehen: Strukturiert, Schritt f\u00fcr Schritt<\/h2>\n\n <\/article>\n <\/div>\n <\/div>\n<\/section>\n\n\n
\n
\n
\n
\n \n
\n \"Icon\n

Produkte & Regularien identifizieren
\n<\/strong><\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \"Icon\n

Verantwortlichkeiten & Budget kl\u00e4ren<\/strong><\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \"Icon\n

Gap-Analyse durchf\u00fchren<\/strong><\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n <\/div>\n <\/div>\n<\/section>\n\n\n

\n
\n
\n
\n \n
\n \"Icon\n

Risiken priorisieren<\/strong><\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \"Grafik\n

Ma\u00dfnahmen umsetzen<\/strong><\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n

\n \n
\n \"Grafik\n

Konformit\u00e4t nachweisen<\/strong><\/p>\n<\/figcaption>\n <\/figure>\n \n <\/div>\n <\/div>\n <\/div>\n<\/section>\n\n\n

\n
\n
\n

Betroffene Produkte und Regularien identifizieren<\/h4>\n

Der erste Schritt f\u00fcr eine erfolgreiche Einf\u00fchrung des CRA bestand darin, die betroffenen Produkte zu identifizieren. Daf\u00fcr musste das gesamte Portfolio sowie die komplexe Struktur des Unternehmens analysiert und die Produkte die unter den CRA fallen identifiziert werden. Bei der \u00dcberpr\u00fcfung erfolgte au\u00dferdem eine Analyse, ob der Kunde oder das Produkt gegebenenfalls auch unter andere relevante Regularien (NIS-2 oder RED – Radio Equipment Directive) f\u00e4llt.<\/p>\n

Diese Einordnung diente als Basis f\u00fcr die weiteren Schritte.<\/p>\n

Verantwortlichkeiten und Budget kl\u00e4ren<\/h4>\n

Nach der Identifikation der betroffenene Produkte wurde gemeinsam eine klare Zuweisung von Verantwortlichkeiten erarbeitet. Dabei wurden Rollen f\u00fcr die Umsetzung des CRA innerhalb des Unternehmens definiert und auf der Managementebene Sichtbarkeit f\u00fcr das Thema erzielt. Gleichzeitig wurde das ben\u00f6tigte Budget f\u00fcr die Umsetzung der Anforderungen des CRA abgesch\u00e4tzt und so berechnet, dass genug Ressourcen und Kompetenzen f\u00fcr die Umsetzung zur Verf\u00fcgung stehen. Bei der Budgetplanung wurden sowohl die einmaligen als auch die laufenden Kosten ber\u00fccksichtigt. Ein klar definiertes Budget erm\u00f6glichte eine realistische und effiziente Umsetzung der Sicherheitsma\u00dfnahmen.<\/p>\n

Zum Abschluss der Planung wurde der weitere zeitliche Ablauf definiert, um die wichtigen Fristen der EU einzuhalten und Verz\u00f6gerungen bei den Releases neuer Produkte zu vermeiden. Da sich das Unternehmen rechtzeitig mit dem CRA auseinandersetzte, entstanden keine gr\u00f6\u00dferen Verz\u00f6gerungen.<\/p>\n

Soll\/Ist Analyse der Anforderungen des CRA<\/h4>\n

Nun wurden bei einer Soll-Ist-Analyse die bestehenden Sicherheitsma\u00dfnahmen des Unternehmens und der Produkte mit den Anforderungen des CRA verglichen und L\u00fccken identifiziert. Durch eine Dokumentenpr\u00fcfung, fachliche Interviews mit Ansprechpartnern sowie Sichtung von Auditberichten kamen wir zu folgenden Ergebnissen:<\/p>\n

Die Produkte des Unternehmens verf\u00fcgten schon \u00fcber die grundlegenden Sicherheitsmechanismen, jedoch waren die Strukturen und Prozesse im Unternehmen nicht auf die neuen Anforderungen des CRA ausgerichtet. Es existierten zwar Ma\u00dfnahmen wie Software-Updates und Zugriffskontrollen, doch dem Produktlebenszyklus fehlte ein systematisches Sicherheitskonzept nach dem Prinzip Security by Design. Die Sicherheitsaspekte wurden nicht bereits in der Entwurfsphase beachtet, sondern erst kurz vor oder sogar erst nach dem Release der Produkte. Au\u00dferdem fehlte manchen Produkten das Prinzip Security by Default, da sie mit einem Standardpasswort ausgeliefert wurden. Die Software-Updates wurden aufgrund von mangelnden technischen M\u00f6glichkeiten nicht \u00fcber den kompletten Lebenszyklus der Ger\u00e4te verf\u00fcgbar gemacht, sondern wurden oft bereits nach 3 Jahren eingestellt. Zudem wurde festgestellt, dass dem Unternehmen die Prozesse und die Infrastruktur f\u00fcr das geforderte Incident Response Management und Security Monitoring fehlten. Die Mitarbeitenden waren nur teilweise im Bereich Cybersicherheit geschult. Die Dokumentationen (allgemeine Produktbeschreibung, Risikobewertungen und angewandte Normen) des Unternehmens waren teilweise vorhanden, es fehlte jedoch die geforderte SBOM (Software Bill of Materials).<\/p>\n

Diese Ergebnisse wurden dann in einem Bericht zusammengefasst, um dem Kunden einen transparenten \u00dcberblick \u00fcber seinen aktuellen Stand zu geben. Das Ergebnis zeigte auf, welche Ma\u00dfnahmen bereits konform waren und welche Ma\u00dfnahmen im weiteren Verlauf noch eingef\u00fchrt werden m\u00fcssten. Auf der Basis des Berichts wurden konkrete Handlungsempfehlungen formuliert.<\/p>\n

Risiken innerhalb der betroffenen Produkte analysieren<\/h4>\n

Nach der Soll-Ist-Analyse wurde eine detaillierte Risikoanalyse durchgef\u00fchrt. Es wurden potenzielle Sicherheitsrisiken f\u00fcr die Produkte evaluiert. Dabei wurden klassische Schwachstellenanalysen mit Threat-Informed Defense (TID) kombiniert, um eine fundierte Priorisierung der erforderlichen Sicherheitsma\u00dfnahmen vorzunehmen.<\/p>\n

Au\u00dferdem wurden bei einigen Produkten Penetrationstests durchgef\u00fchrt mit dem Ziel, die kritischen Schwachstellen der Produkte zu identifizieren. Wir vervollst\u00e4ndigten auf diese Weise unser Bild vom Unternehmen. Auf Grundlage der gewonnenen Erkenntnissen nahmen wir eine Priorisierung der erforderlichen Sicherheitsma\u00dfnahmen vor und sie flossen in unsere Handlungsempfehlungen ein.<\/p>\n

 <\/p>\n

Umsetzung identifizierter Ma\u00dfnahmen (prozessual & technisch)<\/h2>\n

Die erste durchgef\u00fchrte Ma\u00dfnahme war die Schulung des relevanten Personals. Neben dem vermittelten Wissen hatte dies den Nebeneffekt, dass wir die Mitarbeitenden besser in die Umsetzung der Ma\u00dfnahmen einbeziehen konnten.<\/p>\n

Eine besondere Herausforderung stellten die historisch gewachsenen Produkt- und Softwareentwicklungsprozesse dar, die \u00fcber Jahre hinweg ohne einheitliche Sicherheitsstrategie entstanden waren. Diese haben wir angepasst, indem wir strukturierte Security by Design Prinzipien eingef\u00fchrt und somit einen sicheren Produktentwicklungsprozess und Lebenszyklus eingef\u00fchrt haben. Die Produktsicherheit wird im Unternehmen nun schon ab der Designphase in allen Phasen des Produktslebenszyklus ber\u00fccksichtigt. Dabei wurde auch miteinbezogen, dass die Sicherheitsupdates f\u00fcr Produkte nun der Lebensdauer der Produkte entsprechen m\u00fcssen. Die Technik wird so gew\u00e4hlt, dass sie auch nach 5 Jahren noch Sicherheitsupdates erhalten kann.<\/p>\n

Dar\u00fcber hinaus f\u00fchrte das Unternehmen mit unserer Unterst\u00fctzung eine neue Continuous Integration und Continuous Delivery (CI\/CD) Pipeline mit automatisierten Sicherheitspr\u00fcfungen ein. Dazu wurde eine Application Security Platform eingef\u00fchrt, die den Code der Entwickler automatisch \u00fcberpr\u00fcft und schon w\u00e4hrend der Programmierung Schwachstellen im Code und in Bibliotheken meldet. Au\u00dferdem kann dieses Programm die vom CRA geforderte SBOM f\u00fcr die gesamte entwickelte Software des Unternehmens erstellen.<\/p>\n

Zeitgleich wurde ein Incident Response Team im Unternehmen eingerichtet und die Infrastruktur f\u00fcr Incident Response Management und Security Monitoring geschaffen. Das Unternehmen ist jetzt in der Lage, innerhalb von maximal 24 Stunden Schwachstellen und Sicherheitsvorf\u00e4lle zu melden. Es kann schnell auf interne, sowie externe Meldungen reagiert werden und den Nutzern Sicherheitsupdates f\u00fcr ihre Produkte zur Verf\u00fcgung gestellt werden.<\/p>\n

Aufgrund der neuen Prozesse und des neuen Sicherheitsdenkens erf\u00fcllen die Produkte jetzt die Prinzipien Security by Design & Default.<\/strong><\/p>\n

Durchf\u00fchrung der Konformit\u00e4tsbewertung<\/h3>\n

Das Unternehmen hatte keine kritischen Produkte, somit konnte die Konformit\u00e4tsbewertung vom Unternehmen selbst durchgef\u00fchrt werden, es brauchte keine Evaluation durch einen Dritten. Bei der Selbstevaluation unterst\u00fctzten wir das Unternehmen und konnten die CE Kennzeichnung f\u00fcr die neuen Produkte erlangen, sodass diese ohne Verz\u00f6gerung nach Dezember 2027 auf den EU-Markt kommen k\u00f6nnen.<\/p>\n

Mehrwert<\/h2>\n

Dank des tiefgehenden Fachwissens unseres CRA Cybersecurity Expertenteams sowie unserer langj\u00e4hrigen Erfahrung im Bereich der Product Security und der sicheren Softwareentwicklung waren wir in der Lage, die spezifischen Herausforderungen unseres Kunden sowie der einzelnen Organisationseinheiten genau zu erfassen und passgenaue L\u00f6sungen zu erarbeiten.<\/p>\n

Neben unserer transparenten und ganzheitlichen Herangehensweise trugen auch eine enge kundenorientierte Kommunikation und Flexibilit\u00e4t ma\u00dfgeblich zum Erfolg bei. Durch eine gr\u00fcndliche Bewertung des bestehenden Reifegrads in den Abteilungen sowie eine umfassende Aufkl\u00e4rung \u00fcber gesetzliche Vorgaben verschafften wir dem Kunden einen klaren \u00dcberblick und f\u00f6rderten sein Sicherheitsbewusstsein.<\/p>\n

Bei carmasec legen wir gro\u00dfen Wert auf eine enge Zusammenarbeit mit unseren Kunden. Durch ausf\u00fchrliche zielgerichtete Interviews und die Einbindung aller relevanten Stakeholder konnten wir in diesem Projekt ein tiefgehendes Verst\u00e4ndnis f\u00fcr die spezifischen Herausforderungen erzeugen. So war es uns m\u00f6glich, ma\u00dfgeschneiderte Empfehlungen zu erarbeiten, um die Erf\u00fcllung des CRA und weiterer kundenspezifischen Anforderungen sicherzustellen. Dabei setzten wir auf einen integrativen Ansatz mit unseren Open Source Security Experten, der sowohl in der Strategieentwicklung als auch bei der Definition konkreter Ma\u00dfnahmen ber\u00fccksichtigt wurde. Neben der Analyse und Bewertung unterst\u00fctzten wir auch die praktische Umsetzung, indem wir den Kunden bef\u00e4higten, nachhaltige und praxisnahe Product Security-Strukturen aufzubauen. Gemeinsam definierten wir Rollen und Verantwortlichkeiten und entwickelten eine Roadmap f\u00fcr die Implementierung von Sicherheitsma\u00dfnahmen, wie die Integration von Security-Schritten in den Entwicklungsprozess, die Definition von Secure Coding Standards und die Einf\u00fchrung eines Prozesses f\u00fcr Vulnerability- und Incident-Management. Zus\u00e4tzlich standen wir als Experten bei der Erstellung erforderlicher Dokumentationen und Prozesse beratend zur Seite.<\/p>\n

Binnen eines Jahres haben wir die Rahmenbedingungen f\u00fcr CRA festgelegt und sowohl einen sicheren Entwicklungsprozess als auch ein umfassendes Vulnerability Management mitsamt der CRA-Meldepflichten implementiert.<\/p>\n

Dies ersparte dem Kunden die Herausforderung, schwer verf\u00fcgbare Expert:innen zu rekrutieren, und erm\u00f6glichte ihm stattdessen, internes Wissen gezielt aufzubauen. Dadurch konnte er Product Security effektiv implementieren und die Weichen f\u00fcr sichere Produkte von morgen stellen.<\/p>\n\n <\/article>\n <\/div>\n <\/div>\n<\/section>\n\n\n

\n
\n
\n

Fazit<\/h3>\n

Compliance mit dem Cyber Resilience Act ist kein einmaliges Projekt. Sie ist eine Strukturfrage. Unternehmen, die Sicherheit sp\u00e4t im Entwicklungsprozess einbauen, zahlen zweimal: einmal f\u00fcr die Nachr\u00fcstung, einmal f\u00fcr den Zeitverlust.<\/p>\n

Dieses Projekt zeigt, was m\u00f6glich ist, wenn fr\u00fch angefangen wird. Security by Design als Prinzip. Eine SBOM als Grundlage. Incident Response als Infrastruktur. Und ein Team, das die Anforderungen nicht von au\u00dfen aufgedr\u00fcckt bekommt, sondern versteht, warum sie sinnvoll sind.<\/p>\n

Das Ergebnis ist kein abgehaktes Compliance-Dokument. Es ist ein Produktentwicklungsprozess, der ab sofort sicher startet.<\/p>\n\n <\/article>\n <\/div>\n <\/div>\n<\/section>\n\n\n

\n
\n
\n

FAQ zur CRA-Umsetzung in der Praxis<\/h3>\n\n <\/article>\n <\/div>\n <\/div>\n<\/section>\n\n\n
\n
\n
\n
\n
\n
\n
\n

\n Wie lange dauert eine CRA-Compliance-Implementierung? \n <\/p>\n <\/div>\n

\n

Das h\u00e4ngt von der Ausgangssituation ab. In diesem Projekt wurden die vollst\u00e4ndigen Rahmenbedingungen inklusive CE-Kennzeichnung innerhalb eines Jahres erreicht. Unternehmen mit reiferem Sicherheitsniveau k\u00f6nnen schneller sein, solche mit komplexeren Strukturen ben\u00f6tigen mehr Zeit.<\/span><\/p>\n<\/div>\n <\/div>\n <\/div>\n

\n
\n

\n M\u00fcssen alle Produkte des Unternehmens CRA-konform sein? \n <\/p>\n <\/div>\n

\n

Nein. Der CRA gilt f\u00fcr Produkte mit digitalen Elementen, die nach Inkrafttreten auf dem EU-Markt in Verkehr gebracht werden. Der erste Schritt ist immer die produktspezifische Betroffenheitsanalyse: Was f\u00e4llt unter den CRA, was nicht?<\/p>\n<\/div>\n <\/div>\n <\/div>\n

\n
\n

\n Was ist der Unterschied zwischen Standard- und kritischen Produkten? \n <\/p>\n <\/div>\n

\n

Standardprodukte k\u00f6nnen per Selbstbewertung zertifiziert werden. Produkte der Klasse I und II erfordern eine externe Pr\u00fcfung durch eine notifizierte Stelle. Die Einstufung richtet sich nach dem Risikopotenzial des Produkts und ist im Anhang der EU-Verordnung 2024\/2847 definiert.<\/p>\n<\/div>\n <\/div>\n <\/div>\n

\n
\n

\n Was kostet eine CRA-Gap-Analyse? \n <\/p>\n <\/div>\n

\n

Die Kosten h\u00e4ngen von der Gr\u00f6\u00dfe des Unternehmens, der Anzahl betroffener Produkte und der Komplexit\u00e4t der bestehenden Prozesse ab. Wir besprechen den Rahmen im Erstgespr\u00e4ch.<\/p>\n<\/div>\n <\/div>\n <\/div>\n

\n
\n

\n Kann carmasec auch die Umsetzung \u00fcbernehmen, nicht nur die Analyse? \n <\/p>\n <\/div>\n

\n

Ja. carmasec begleitet den gesamten Prozess: von der Betroffenheitsanalyse \u00fcber die Gap-Analyse und Risikoanalyse bis zur Implementierung technischer Ma\u00dfnahmen, dem Aufbau von SBOM und Incident Response Infrastruktur und der Vorbereitung auf die Konformit\u00e4tsbewertung.<\/p>\n<\/div>\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n<\/section>\n\n\n

\n
\n
\n

Dein Team steht vor \u00e4hnlichen Fragen?<\/p>\n

Unser Team unterst\u00fctzt dich von der ersten Bestandsaufnahme bis zur CE-Kennzeichnung. Kompetent, direkt und ohne Umwege.<\/p>\n

Erstgespr\u00e4ch vereinbaren<\/a><\/p>\n\n <\/article>\n <\/div>\n <\/div>\n<\/section>","protected":false},"excerpt":{"rendered":"

Wie gelingt CRA-Compliance, wenn gewachsene Strukturen, Kompetenzl\u00fccken und mehrere Regularien gleichzeitig auf ein Unternehmen einwirken? In diesem Artikel zeigen wir, wie aus einem Compliance-Projekt ein grundlegender Neustart der Produktsicherheit wird.<\/p>\n","protected":false},"author":4,"featured_media":2438,"parent":0,"menu_order":0,"template":"","meta":{"_acf_changed":false},"content-type":[21],"industry":[33,38,35,40],"persona":[27,30,29,28],"topic":[11,13,16],"class_list":["post-1911","knowledge-center","type-knowledge-center","status-publish","has-post-thumbnail","hentry","content-type-case-study","industry-automotive","industry-logistics-transportation","industry-manufacturing-industry","industry-other-industries","persona-ciso-security-leadership","persona-compliance-legal-privacy","persona-dev-devops-engineering","persona-it-operations-infrastructure","topic-information-security-compliance","topic-offensive-security","topic-risk-crisis-management"],"acf":[],"yoast_head":"\nCase Study: Product Security und Cyber Resilience Act Case Study: CRA-Compliance in der Praxis | carmasec - carmasec<\/title>\n<meta name=\"description\" content=\"Wie ein Elektronikhersteller binnen eines Jahres CRA-konform wurde. SBOM, Security by Design, Incident Response: Der vollst\u00e4ndige Umsetzungsweg\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.carmasec.com\/de\/security-knowledge\/ase-study-cra-compcomplaince-sichere-produktentwicklung\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Case Study: Product Security und Cyber Resilience Act\" \/>\n<meta property=\"og:description\" content=\"Wie ein Elektronikhersteller binnen eines Jahres CRA-konform wurde. SBOM, Security by Design, Incident Response: Der vollst\u00e4ndige Umsetzungsweg\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.carmasec.com\/de\/security-knowledge\/ase-study-cra-compcomplaince-sichere-produktentwicklung\/\" \/>\n<meta property=\"og:site_name\" content=\"carmasec\" \/>\n<meta property=\"article:modified_time\" content=\"2026-04-24T07:32:09+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.carmasec.com\/wp-content\/uploads\/2026\/04\/caramsec_CRA_CE-1.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"1068\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data1\" content=\"12\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/security-knowledge\\\/ase-study-cra-compcomplaince-sichere-produktentwicklung\\\/\",\"url\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/security-knowledge\\\/ase-study-cra-compcomplaince-sichere-produktentwicklung\\\/\",\"name\":\"Case Study: Product Security und Cyber Resilience Act Case Study: CRA-Compliance in der Praxis | carmasec - carmasec\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/security-knowledge\\\/ase-study-cra-compcomplaince-sichere-produktentwicklung\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/security-knowledge\\\/ase-study-cra-compcomplaince-sichere-produktentwicklung\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.carmasec.com\\\/wp-content\\\/uploads\\\/2026\\\/04\\\/caramsec_CRA_CE-1.jpg\",\"datePublished\":\"2026-02-16T10:12:22+00:00\",\"dateModified\":\"2026-04-24T07:32:09+00:00\",\"description\":\"Wie ein Elektronikhersteller binnen eines Jahres CRA-konform wurde. SBOM, Security by Design, Incident Response: Der vollst\u00e4ndige Umsetzungsweg\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/security-knowledge\\\/ase-study-cra-compcomplaince-sichere-produktentwicklung\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.carmasec.com\\\/de\\\/security-knowledge\\\/ase-study-cra-compcomplaince-sichere-produktentwicklung\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/security-knowledge\\\/ase-study-cra-compcomplaince-sichere-produktentwicklung\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.carmasec.com\\\/wp-content\\\/uploads\\\/2026\\\/04\\\/caramsec_CRA_CE-1.jpg\",\"contentUrl\":\"https:\\\/\\\/www.carmasec.com\\\/wp-content\\\/uploads\\\/2026\\\/04\\\/caramsec_CRA_CE-1.jpg\",\"width\":1920,\"height\":1068,\"caption\":\"Illustration einer Robotergreifhand, die ein technisch geformtes Element festh\u00e4lt und CE eingraviert.\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/security-knowledge\\\/ase-study-cra-compcomplaince-sichere-produktentwicklung\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Startseite\",\"item\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Case Study: Product Security und Cyber Resilience Act\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/#website\",\"url\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/\",\"name\":\"carmasec\",\"description\":\"\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":[\"Organization\",\"Place\"],\"@id\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/#organization\",\"name\":\"carmasec GmbH & Co. KG\",\"alternateName\":\"carmasec\",\"url\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/\",\"logo\":{\"@id\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/security-knowledge\\\/ase-study-cra-compcomplaince-sichere-produktentwicklung\\\/#local-main-organization-logo\"},\"image\":{\"@id\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/security-knowledge\\\/ase-study-cra-compcomplaince-sichere-produktentwicklung\\\/#local-main-organization-logo\"},\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/company\\\/carmasec\\\/\"],\"description\":\"Die carmasec GmbH & Co. KG ist eine auf Cybersicherheit und Cyberresilienz spezialisierte Beratungsunternehmen mit Sitz in Essen. Das Leistungsspektrum verbindet zwei essenzielle Welten: strategische Compliance und dem Schutz vor Cyberangriffen. Mit einem klaren Fokus auf agile Sicherheitsprozesse unterst\u00fctzt carmasec Kunden branchenneutral und herstellerunabh\u00e4ngig. Das interdisziplin\u00e4re Team integriert langj\u00e4hrige Beratungserfahrung mit modernen Arbeitsweisen, um komplexe Anforderungen \u2013 von ISMS und Risikomanagement bis hin zu Cloud Security und Offensive Security \u2013 effizient umzusetzen. Zu den Kunden z\u00e4hlen der gehobene Mittelstand sowie internationale Konzerne, insbesondere aus Finanz- und Versicherungswesen, Fertigungsindustrie, Automotive sowie Kritischen Infrastrukturen. Mit der etablierten Veranstaltungsreihe \u201efriends of carmasec\\\" schafft das Unternehmen eine zentrale Plattform f\u00fcr den Branchen-Dialog und vernetzt regelm\u00e4\u00dfig Entscheidungstr\u00e4ger:innen und Expert:innen aus der Security-Community. carmasec bef\u00e4higt Organisationen, Risiken ganzheitlich zu managen und digitale Infrastrukturen proaktiv zu sch\u00fctzen.\",\"legalName\":\"carmasec GmbH & Co. KG\",\"foundingDate\":\"2018-12-18\",\"numberOfEmployees\":{\"@type\":\"QuantitativeValue\",\"minValue\":\"11\",\"maxValue\":\"50\"},\"telephone\":[],\"openingHoursSpecification\":[{\"@type\":\"OpeningHoursSpecification\",\"dayOfWeek\":[\"Monday\",\"Tuesday\",\"Wednesday\",\"Thursday\",\"Friday\",\"Saturday\",\"Sunday\"],\"opens\":\"09:00\",\"closes\":\"17:00\"}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.carmasec.com\\\/de\\\/security-knowledge\\\/ase-study-cra-compcomplaince-sichere-produktentwicklung\\\/#local-main-organization-logo\",\"url\":\"https:\\\/\\\/www.carmasec.com\\\/wp-content\\\/uploads\\\/2026\\\/02\\\/logo-carmasec.svg\",\"contentUrl\":\"https:\\\/\\\/www.carmasec.com\\\/wp-content\\\/uploads\\\/2026\\\/02\\\/logo-carmasec.svg\",\"width\":299,\"height\":40,\"caption\":\"carmasec GmbH & Co. KG\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Case Study: Product Security und Cyber Resilience Act Case Study: CRA-Compliance in der Praxis | carmasec - carmasec","description":"Wie ein Elektronikhersteller binnen eines Jahres CRA-konform wurde. SBOM, Security by Design, Incident Response: Der vollst\u00e4ndige Umsetzungsweg","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.carmasec.com\/de\/security-knowledge\/ase-study-cra-compcomplaince-sichere-produktentwicklung\/","og_locale":"de_DE","og_type":"article","og_title":"Case Study: Product Security und Cyber Resilience Act","og_description":"Wie ein Elektronikhersteller binnen eines Jahres CRA-konform wurde. SBOM, Security by Design, Incident Response: Der vollst\u00e4ndige Umsetzungsweg","og_url":"https:\/\/www.carmasec.com\/de\/security-knowledge\/ase-study-cra-compcomplaince-sichere-produktentwicklung\/","og_site_name":"carmasec","article_modified_time":"2026-04-24T07:32:09+00:00","og_image":[{"width":1920,"height":1068,"url":"https:\/\/www.carmasec.com\/wp-content\/uploads\/2026\/04\/caramsec_CRA_CE-1.jpg","type":"image\/jpeg"}],"twitter_card":"summary_large_image","twitter_misc":{"Gesch\u00e4tzte Lesezeit":"12\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.carmasec.com\/de\/security-knowledge\/ase-study-cra-compcomplaince-sichere-produktentwicklung\/","url":"https:\/\/www.carmasec.com\/de\/security-knowledge\/ase-study-cra-compcomplaince-sichere-produktentwicklung\/","name":"Case Study: Product Security und Cyber Resilience Act Case Study: CRA-Compliance in der Praxis | carmasec - carmasec","isPartOf":{"@id":"https:\/\/www.carmasec.com\/de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.carmasec.com\/de\/security-knowledge\/ase-study-cra-compcomplaince-sichere-produktentwicklung\/#primaryimage"},"image":{"@id":"https:\/\/www.carmasec.com\/de\/security-knowledge\/ase-study-cra-compcomplaince-sichere-produktentwicklung\/#primaryimage"},"thumbnailUrl":"https:\/\/www.carmasec.com\/wp-content\/uploads\/2026\/04\/caramsec_CRA_CE-1.jpg","datePublished":"2026-02-16T10:12:22+00:00","dateModified":"2026-04-24T07:32:09+00:00","description":"Wie ein Elektronikhersteller binnen eines Jahres CRA-konform wurde. SBOM, Security by Design, Incident Response: Der vollst\u00e4ndige Umsetzungsweg","breadcrumb":{"@id":"https:\/\/www.carmasec.com\/de\/security-knowledge\/ase-study-cra-compcomplaince-sichere-produktentwicklung\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.carmasec.com\/de\/security-knowledge\/ase-study-cra-compcomplaince-sichere-produktentwicklung\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.carmasec.com\/de\/security-knowledge\/ase-study-cra-compcomplaince-sichere-produktentwicklung\/#primaryimage","url":"https:\/\/www.carmasec.com\/wp-content\/uploads\/2026\/04\/caramsec_CRA_CE-1.jpg","contentUrl":"https:\/\/www.carmasec.com\/wp-content\/uploads\/2026\/04\/caramsec_CRA_CE-1.jpg","width":1920,"height":1068,"caption":"Illustration einer Robotergreifhand, die ein technisch geformtes Element festh\u00e4lt und CE eingraviert."},{"@type":"BreadcrumbList","@id":"https:\/\/www.carmasec.com\/de\/security-knowledge\/ase-study-cra-compcomplaince-sichere-produktentwicklung\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Startseite","item":"https:\/\/www.carmasec.com\/de\/"},{"@type":"ListItem","position":2,"name":"Case Study: Product Security und Cyber Resilience Act"}]},{"@type":"WebSite","@id":"https:\/\/www.carmasec.com\/de\/#website","url":"https:\/\/www.carmasec.com\/de\/","name":"carmasec","description":"","publisher":{"@id":"https:\/\/www.carmasec.com\/de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.carmasec.com\/de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":["Organization","Place"],"@id":"https:\/\/www.carmasec.com\/de\/#organization","name":"carmasec GmbH & Co. KG","alternateName":"carmasec","url":"https:\/\/www.carmasec.com\/de\/","logo":{"@id":"https:\/\/www.carmasec.com\/de\/security-knowledge\/ase-study-cra-compcomplaince-sichere-produktentwicklung\/#local-main-organization-logo"},"image":{"@id":"https:\/\/www.carmasec.com\/de\/security-knowledge\/ase-study-cra-compcomplaince-sichere-produktentwicklung\/#local-main-organization-logo"},"sameAs":["https:\/\/www.linkedin.com\/company\/carmasec\/"],"description":"Die carmasec GmbH & Co. KG ist eine auf Cybersicherheit und Cyberresilienz spezialisierte Beratungsunternehmen mit Sitz in Essen. Das Leistungsspektrum verbindet zwei essenzielle Welten: strategische Compliance und dem Schutz vor Cyberangriffen. Mit einem klaren Fokus auf agile Sicherheitsprozesse unterst\u00fctzt carmasec Kunden branchenneutral und herstellerunabh\u00e4ngig. Das interdisziplin\u00e4re Team integriert langj\u00e4hrige Beratungserfahrung mit modernen Arbeitsweisen, um komplexe Anforderungen \u2013 von ISMS und Risikomanagement bis hin zu Cloud Security und Offensive Security \u2013 effizient umzusetzen. Zu den Kunden z\u00e4hlen der gehobene Mittelstand sowie internationale Konzerne, insbesondere aus Finanz- und Versicherungswesen, Fertigungsindustrie, Automotive sowie Kritischen Infrastrukturen. Mit der etablierten Veranstaltungsreihe \u201efriends of carmasec\" schafft das Unternehmen eine zentrale Plattform f\u00fcr den Branchen-Dialog und vernetzt regelm\u00e4\u00dfig Entscheidungstr\u00e4ger:innen und Expert:innen aus der Security-Community. carmasec bef\u00e4higt Organisationen, Risiken ganzheitlich zu managen und digitale Infrastrukturen proaktiv zu sch\u00fctzen.","legalName":"carmasec GmbH & Co. KG","foundingDate":"2018-12-18","numberOfEmployees":{"@type":"QuantitativeValue","minValue":"11","maxValue":"50"},"telephone":[],"openingHoursSpecification":[{"@type":"OpeningHoursSpecification","dayOfWeek":["Monday","Tuesday","Wednesday","Thursday","Friday","Saturday","Sunday"],"opens":"09:00","closes":"17:00"}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.carmasec.com\/de\/security-knowledge\/ase-study-cra-compcomplaince-sichere-produktentwicklung\/#local-main-organization-logo","url":"https:\/\/www.carmasec.com\/wp-content\/uploads\/2026\/02\/logo-carmasec.svg","contentUrl":"https:\/\/www.carmasec.com\/wp-content\/uploads\/2026\/02\/logo-carmasec.svg","width":299,"height":40,"caption":"carmasec GmbH & Co. KG"}]}},"_links":{"self":[{"href":"https:\/\/www.carmasec.com\/de\/wp-json\/wp\/v2\/knowledge-center\/1911","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.carmasec.com\/de\/wp-json\/wp\/v2\/knowledge-center"}],"about":[{"href":"https:\/\/www.carmasec.com\/de\/wp-json\/wp\/v2\/types\/knowledge-center"}],"author":[{"embeddable":true,"href":"https:\/\/www.carmasec.com\/de\/wp-json\/wp\/v2\/users\/4"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.carmasec.com\/de\/wp-json\/wp\/v2\/media\/2438"}],"wp:attachment":[{"href":"https:\/\/www.carmasec.com\/de\/wp-json\/wp\/v2\/media?parent=1911"}],"wp:term":[{"taxonomy":"content-type","embeddable":true,"href":"https:\/\/www.carmasec.com\/de\/wp-json\/wp\/v2\/content-type?post=1911"},{"taxonomy":"industry","embeddable":true,"href":"https:\/\/www.carmasec.com\/de\/wp-json\/wp\/v2\/industry?post=1911"},{"taxonomy":"persona","embeddable":true,"href":"https:\/\/www.carmasec.com\/de\/wp-json\/wp\/v2\/persona?post=1911"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/www.carmasec.com\/de\/wp-json\/wp\/v2\/topic?post=1911"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}