CRA im Maschinenbau: Was kleine und mittelständische OEMs jetzt wissen müssen

Stefan Safran, Leiter Business Unit Automation

Sie wollen mehr Infos? Ich freue mich auf Ihre Kontaktaufnahme!
Telefon: +423 377 13 33 | E-Mail

Ab 2027 wird der Cyber Resilience Act (CRA) in der EU verpflichtend. Für kleine und mittelständische Maschinenbauer bedeutet das, dass Maschinen ohne den Nachweis einer konformen Cybersecurity nicht mehr das CE-Kennzeichen tragen dürfen. Wer dann noch Produkte verkauft, riskiert nicht nur Verkaufsverbote, sondern auch Haftung und Imageschäden.

Wer glaubt, dass dieses Thema ausschließlich die Maschinensteuerung betrifft, irrt. Jeder Teilbereich, der über Cyberzugriffe manipuliert werden kann, gehört dazu – zum Beispiel ergänzende Hardware, Industrie-PCs, HMI-Systeme, Software-Komponenten oder vernetzte Schnittstellen.

Doch beim Produkt allein ist es nicht getan: Am Ende des Tages muss sichergestellt sein, dass der gesamte Entwicklungs- und Serviceprozess die Maschine oder Anlage über den gesamten Lebenszyklus sicher macht und alle CRA-Anforderungen erfüllt.

Dieser Beitrag gibt einen praxisnahen Überblick, welche Herausforderungen der CRA mit sich bringt und wie Unternehmen Schritt für Schritt den Einstieg in die Compliance gestalten können.

1. CRA: Ziele und Anforderungen

Der CRA verfolgt das Ziel, alle Produkte in der EU ab Werk gegen Cyberangriffe abzusichern. Betroffen sind insbesondere Maschinen und Anlagen, die digitale Steuerungen, Software-Komponenten oder vernetzte Schnittstellen enthalten.

Für Maschinenbauer bedeutet das konkret:

  • Sicherheitsanforderungen müssen schon beim Design berücksichtigt werden (Security by Design)
  • Softwareupdates und Patch-Management müssen über den gesamten Lebenszyklus möglich sein
  • Hersteller müssen eine Software-Stückliste (SBOM – Software Bill of Materials) für alle Software-Komponenten aufbereiten
  • Manipulationsschutz und Hardening der eingesetzten Systeme müssen gewährleistet sein
  • Risiken durch Drittsoftware müssen überwacht und dokumentiert werden

Für kleine und mittelständische Unternehmen ist das besonders herausfordernd, da oft Bestandsmaschinen ohne Sicherheitsarchitektur existieren und Ressourcen für langfristige Compliance fehlen.

Die 5 CRA-Pflichten für den Maschinen- und Anlagenbau auf einen Blick: Sie zeigen Security by Design, Risikobewertung, SBOM, Update-Management und Incident Reporting als neue durchgängige Produktanforderungen.

2. Typische Herausforderungen für kleine und mittelständische OEMs

Basierend auf unseren Erfahrungen treten die folgenden Probleme besonders häufig auf:

Fehlende Awareness

Viele Maschinenbauer wissen nicht genau, welche Pflichten CRA für ihre Produkte bedeutet. Ohne klares Verständnis werden Maßnahmen verschleppt oder halbherzig umgesetzt – ein Risiko, das ab 2027 existenzbedrohend sein kann.


Die Windows-HMI-Falle

Eigenentwickelte Visualisierungslösungen laufen oft auf End-of-Life-Windows-Versionen. Sicherheitsupdates gibt es nicht mehr, die Maschinen sind anfällig für Ransomware, und gesetzliche Anforderungen an Support und Updatefähigkeit werden verletzt.


Cybersecurity-Lücken in Bestandsmaschinen

Viele Maschinen verfügen weder über Verschlüsselung noch über Patch-Management oder sichere Benutzerverwaltung. Ein fehlendes Security-by-Design sorgt dafür, dass Schwachstellen über den gesamten Lifecycle bestehen bleiben.

Haftungsrisiken bei Software-Updates

CRA sieht vor, dass wesentliche Veränderungen an Software als Neuzertifizierungspflicht gewertet werden können. Viele OEMs wissen nicht, ab wann ein Update oder Retrofit sie zum Hersteller der gesamten Maschine macht. Fehler hier können vollständige Haftung für die gesamte Anlage nach sich ziehen.

Dokumentationsaufwand (SBOM)

Die Erstellung einer Software-Stückliste für jede Maschine, inklusive Open-Source-Komponenten, ist Pflicht. Ohne automatisierte Tools bedeutet das: hoher manueller Aufwand, kaum Möglichkeit zur kontinuierlichen Schwachstellenüberwachung und potenzielle Haftung bei unentdeckten Sicherheitslücken.

Prozess- und Lifecycle-Management

Ohne strukturierte Entwicklungsprozesse werden Schwachstellen im Lifecycle nicht erkannt. Für kleine Unternehmen, die nachrüsten oder Retrofit-Komponenten einbauen, steigt der Aufwand exponentiell. Nachverfolgbarkeit, Updates und Dokumentation müssen digital abgebildet werden, um CRA-konform zu bleiben.


Drittanbieter-Risiken

CRA verlangt die Überwachung von Schwachstellen in allen Software- und Hardware-Komponenten, auch bei Drittsoftware. Kleine Unternehmen haben oft keine Systeme dafür, was zu Compliance- und Haftungsrisiken führt.

3. Praxisnaher Einstieg

Viele der Herausforderungen lassen sich nicht über Nacht lösen. Es gibt jedoch Themen, die sich praxisnah und mit unmittelbarem Mehrwert umsetzen lassen und so den ersten Schritt hin zur CRA-Konformität ermöglichen.

HMI Migration

Ein praxisnaher Einstieg ist die Modernisierung der HMI-Systeme, da sie häufig den größten Compliance-kritischen Punkt darstellen:

  • Migration von Windows-Eigenbau auf gehärtete, updatefähige Plattformen, z. B. Web-HMI oder XAMControl
  • Erfüllung von Patch-Management- und Sicherheitsanforderungen
  • Reduktion des Risikos für Ransomware und Manipulation
  • Schaffung einer soliden Basis für weitere CRA-Maßnahmen

So lassen sich erste sichtbare Verbesserungen erzielen, ohne dass die gesamte Produktionslandschaft sofort angepasst werden muss.

Mehrwert-Update auf eine neue, CRA-kompatible Entwicklungsumgebung

Viele Plattformhersteller für Maschinensteuerung bieten bereits CRA-kompatible Entwicklungsumgebungen an. Der reine technische Transfer ist dabei selten das Hauptproblem. Schwieriger sind oft folgende Punkte:

  • Gewachsene Softwarestrukturen
  • Alte Workarounds
  • Fehlende Dokumentation
  • Varianten, die niemand mehr sauber erklären kann

Ein einfacher 1:1-Transfer schleift all diese Altlasten einfach weiter.

Unsere Erfahrung: Gerade dieser Moment eignet sich perfekt, um Struktur, Klarheit und Verständnis zurückzugewinnen. So legen Sie die Basis für sichere, CRA-konforme Maschinen und einen sauberen Entwicklungsprozess über den gesamten Lebenszyklus.

CTA – HMI & Entwicklungsumgebung

Bei HMI-Modernisierung oder Wechsel auf eine CRA-kompatible Entwicklungsumgebung lohnt sich eine frühe Einordnung, um Altlasten und Risiken richtig zu bewerten.

Sprechen Sie dazu direkt mit Bernhard Natter, um mögliche Vorgehensweisen für Ihre Maschinen zu besprechen.

Email 

Tel: +423 377 13 33

4. Weitere Themen mit Potenzial

Neben HMI-Migration gibt es weitere Bereiche, die mittelfristig großen Mehrwert bringen – wir beraten unsere Kunden bereits heute dazu:

  • Security-as-a-Service: Vollständiges Vulnerability-Monitoring und Lifecycle-Patch-Management
  • Compliance-Audit: GAP-Analysen zur Bewertung der Abweichung von CRA/MVO-Konformität
  • SBOM-Erstellung: Automatisierte Inventur und gesetzlich konforme Dokumentation
  • Hardening: Absicherung von Industrie-PCs inkl. Kiosk-Mode, Schreibschutz und Zugriffskontrolle

Damit entsteht ein klarer Fahrplan von Risiko zu CRA-konformer Maschine, den Unternehmen Schritt für Schritt umsetzen können.


5. Fazit für kleine und mittelständische OEMs


CRA betrifft jeden, auch kleine Maschinenbauer. Wer früh beginnt, kann Compliance Schritt für Schritt umsetzen, Risiken minimieren und Haftung vermeiden. Ein pragmatischer Einstieg ist die HMI-Migration, die sofort spürbare Sicherheitsverbesserungen bringt.

Langfristig gilt: Prozesse, Dokumentation, Security-by-Design und Lifecycle-Management müssen so aufgebaut werden, dass Maschinen auch nach 10–15 Jahren noch CRA-konform betrieben werden können.

Jetzt CRA aktiv angehen!

Sie wollen das Thema CRA anpacken, wissen aber noch nicht genau, wie Sie starten sollen?


Lassen Sie uns sprechen – gemeinsam entwickeln wir einen pragmatischen Fahrplan für Ihre Maschinen und Anlagen.

Ich freue mich auf Ihre Kontaktaufnahme und darauf, Sie auf dem Weg zu sicheren, CRA-konformen Maschinen zu begleiten.

Stefan Safran

Leiter Business Unit
T: +423 377 13 56
E-Mail