Austausch zum Cyber Resilience Act der EU am TTZ Donauwörth

Der Cyber Resilience Act der Europäischen Union definiert Standards für Cybersicherheit von vernetzten Produkten in der gesamten EU. An diesen müssen sich Hersteller bereits innerhalb von drei Jahre halten – ansonsten wird ihnen der Zugang zum EU-Markt verwehrt und es drohen Geldstrafen in Millionenhöhe. 

Aus der Praxis des CRA berichtete der Maschinenbaukonzern Grob aus Mindelheim. Mit dem Gastvortrag „CRA: Wer zieht den Karren aus dem Dreck? Herausforderungen für den Maschinenbau“ gewährte das Unternehmen Einblicke in seine Lösungen und Herausforderungen mit Bezug auf den Cyber Resilience Act. 

Die mehr als 30 Teilnehmenden stammten aus verschiedensten Unternehmen aller Größen aus dem Donau-Ries und darüber hinaus wie Airbus Helicopters Deutschland GmbH, BMK professional electronics GmbH, Grenzebach Maschinenbau GmbH, Hama GmbH & Co KG, Hilti Entwicklungsgesellschaft mbH, KPMG AG, KUKA Deutschland GmbH, MAN Energy Solutions und TÜV Nord. 

Prof. Dr. Björn Häckel, wissenschaftlicher Leiter des TTZ Data Analytics der THA, sagt: „Der Cyber Resilience Act verändert vieles in Unternehmen. Mit ihm wird IT-Sicherheit zur Pflicht für alle vernetzten Produkte. Sonst bleibt ihnen im Worst-Case der EU-Markt versperrt und es drohen empfindliche Geldstrafen. Für die bayerische Industrie und besonders das Donau-Ries ist das eine einschneidende Veränderung – vom Hersteller von kleinen Elektrogeräten bis zu großen Maschinen und Anlagen.“

Prof. Dr. Dominik Merli ist Leiter des Instituts für innovative Sicherheit und ist stellvertretender Leiter des TTZ Donauwörth. Er meint zum Event: „Mit unserer angewandten Forschung unterstützen wir die Unternehmen bei der Umsetzung des CRA. Das heutige Event am TTZ Donauwörth ist ein erster Schritt, mit dem Hersteller in Bayern sich bereits jetzt darauf vorbereiten. Ich freue mich über den Austausch und die frühe Initiative der regionalen Wirtschaft. Denn schon in drei Jahren ist die Übergangsfrist des CRA vorbei!“ 

Im Programm stellte Merli die Arbeit des TTZ Donauwörth im Bereich der Digitalisierung vor – digitale Geschäftsmodelle, Künstliche Intelligenz und IT-Sicherheit. Danach zeigte er einige Fakten und Details zum kürzlich veröffentlichten CRA auf.

Die Referenten Fabian Glöckler, Abteilungsleiter Konstruktion Elektrik, und Tim Ringwald, Netzwerkspezialist IT/OT bei Grob präsentierten den Umgang des Maschinenbauers mit dem CRA. Dabei ging es zum einen um die abteilungsübergreifenden Aufgaben, die in einem Unternehmen dieser Größe notwendig sind. Zum anderen um die technische Machbarkeit und Umsetzung in Prozessen. Zudem betonten sie, dass der Austausch mit anderen Unternehmen und mit Forschungseinrichtungen wie der Technischen Hochschule Augsburg relevant ist.

Im Zentrum des Vortrags von Andreas Halbritter, wissenschaftlicher Mitarbeiter am Institut für innovative Sicherheit, stand die sogenannte „Software Bill of Materials“ (SBOM). Eine SBOM ist eine detaillierte Auflistung aller Komponenten, Bibliotheken und Module, die ein Software-Produkt verwendet. Eine solche Liste ist sicherheitsrelevant, da so potenzielle Schwachstellen oder veraltete Komponenten schnell identifiziert und behoben werden können. Außerdem ist sie eine Anforderung des CRA an Produkte mit digitalen Elementen. 

SBOMs sollen also helfen, die Sicherheit von Software-Lieferketten zu verbessern. Allerdings zeigt die aktuelle Untersuchung von THA_innos, dass die Tools zur Erstellung dieser SBOMs noch Schwächen aufweisen.

Das im Rahmen der Hightech Agenda Bayern geförderte Technologietransferzentrum (TTZ) Data Analytics der Technischen Hochschule Augsburg (THA) ist besonders auf die Bedürfnisse der Industrie in Bayerisch-Schwaben und dem Landkreis Donau-Ries ausgerichtet. Es unterstützt Unternehmen bei datenbasierter Innovation wie digitalen Geschäftsmodellen und Services, bei der Optimierung von Prozessen mittels KI sowie der IT-Sicherheit. (dra)