Cyber Resilience Act: Wie KMUs Sicherheit und Compliance vereinen

Anbieter zum Thema

CADFEM Germany GmbH

d.velop AG

xSuite Group GmbH

Cyber Resilience Act für KMUs umsetzen

Cyber Resilience Act: KMUs stecken in der Klemme

Warum scheitern KMUs häufig an der praktischen Umsetzung? Aus unserer Erfahrung gibt es drei Hauptbarrieren:

1. Dokumentation: es herrscht Chaos. Excel-FMEA oder -TARA hier, PDF-Risikoanalysen dort, CAD-Daten im dritten System. Es gibt keine durchgängige Traceability zwischen Anforderung und Testnachweisen. Bei Audits wird aber genau das gefordert.

2. Ressourcen: Sicherheits-Ingenieure – gerade mit Cybersecurity Expertise – sind Mangelware. Externe Berater kosten 1.500-2.000 Euro pro Tag. Die Kosten summieren sich für vollständige Projekte schnell in sechsstellige Höhen.

3. Prozesse: gerade in KMUs wird noch viel nach dem Trial-and-Error-Prinzip anstelle von systematischen und standardisierten Workflows gearbeitet. Dr. Christian Geiss von clockworkX: „Kunden ohne Governance auf Geschäftsführerebene scheitern – nicht an der Technik, sondern an der fehlenden Organisation.“

Die Crux: Viele verstehen das Risiko des Nichthandelns nicht. Risk of Inaction übersteigt den Return on Investment bei Weitem.

Risikoanalyse in fünf Schritten

Gehen wir durch eine TARA anhand des Beispiels „smartes Ventilsystem im Kontext industrieller Automatisierung und kritischer Infrastruktur“:

Schritt 1 – Asset-Identifikation: Was muss geschützt werden? Es sind die Steuerungssoftware, Konfigurationsdaten und der Remote-Zugang zum Ventil.
Schritt 2 – Threat-Analyse: Typische Angriffsmöglichkeiten werden über standardisierte Methoden betrachtet, hier einige Beispiele aus STRIDE: Spoofing (gefälschte Firmware-Updates), DoS (Denial of Service, Ventil absichtlich blockieren), Privilege Escalation (Angreifer erlangt Admin-Rechte).
Schritt 3 – Attack-Path Analysis: Jetzt geht es in die konkreten Szenarios: der Angreifer greift über ein ungeschütztes Produktionsnetzwerk eine digitale Schnittstelle an, zum Beispiel Feldbus, OPC-UA oder IoT-API, und manipuliert die Firmware. Der Schaden entsteht.
Schritt 4 – Risiko-Bewertung: Es folgt die Einschätzung der Situation nach: Safety (Prozessstillstand gefährdet Mitarbeiter), Financial (100.000 Euro Produktionsausfall), Operational (24 Stunden Downtime), Privacy (keine personenbezogenen Daten betroffen).
Schritt 5 – Maßnahmen: Über eine Risikomatrix wird ein High Risk erkannt und Maßnahmen werden definiert: Verschlüsselte Updates + Multi-Faktor-Authentifizierung.

Medini unterstützt diese Schritte durch Automatisierung und über vordefinierte Templates, beispielsweise IEC 62443), und CADFEM hilft bei Toolfragen. Die clockworkX unterstützt die Risikobewertung im Rahmen eines Assessments – eine externe Validierung, die typischerweise vor dem offiziellen Audit erfolgt, um Lücken frühzeitig zu schließen.

Was kostet das Ganze – und was kostet Nichtstun?

Die zentrale Frage ist nicht "Wie viel kostet Enablement?", sondern "Was kostet die Alternative?". Die gesetzliche Realität ist unmissverständlich: CRA ist ab 11.12.2027 bindend. Ein Cybersecurity Management System (CSMS) muss her.

Ein typisches KMU kann nicht unbegrenzt in Compliance investieren. Es wird vielleicht maximal eine Mann-Ressource sein, die sich um das Thema kümmert. Und die wird mit Excel scheitern. Nicht aus Unzulänglichkeit, sondern aus mathematischer Notwendigkeit heraus. Manuelle Analysen und kosten unverhältnismäßig viel Zeit.

Letztlich geht es deshalb um die Robustheit und Effizienz des CSMS. Das Risiko eines Audit-Durchfalls mag zunächst als größte Gefahr erscheinen, das CSMS ist aber Bestandteil des Produktentwicklungsprozesses im Alltag. Da darf es keinen Bottleneck geben. Jede Verzögerung verursacht zusätzliche Kosten, die schlimmste Konsequenz wäre möglicherweise das Verlieren des Marktzuganges.

Nicht-Handeln ist also keine Option. Wie stellen KMUs also heute sicher, dass das Thema Cybersecurity morgen in einer minimalen Kostenstruktur getragen wird? Ein Enablement-Ansatz mit professionellem Tool und externem Coaching zur Einführung des CSMS reduziert hier die Risiken dramatisch – und schafft gleichzeitig die interne Expertise für die Zukunft. Das ist keine Investition in Compliance. Es ist eine Investition in Unabhängigkeit und dient der Aufrechterhaltung der Handlungsfähigkeit des Unternehmens.

Enablement – Die Einzigartigkeit des Ansatzes

Was gibt es also jetzt für Möglichkeiten, in das Thema einzusteigen? Eine Unternehmensberatung kann Konzepte und Roadmaps bieten, scheitert allerdings an der Tool-Integration. Das KMU bleibt mit theoretischen Dokumenten allein. Tool-Anbieter verkaufen Software, bieten aber kein Prozess-Coaching. Das KMU kauft einen „Briefbeschwerer“, weil niemand das Tool richtig nutzt. Klassisches Outsourcing: Externe machen die Arbeit. Das ist schnell, aber das KMU lernt nichts. Die Abhängigkeit bleibt dauerhaft bestehen.

Die Partnerschaft zwischen clockworkX und CADFEM ist der Schlüssel. Sie sichert den Zugang zum Tool Ansys Medini und damit zu einer Technologie des weltweiten Marktführers für physikbasierte Simulation. Das Unternehmen investiert jährlich über 20 Prozent seines Umsatzes in F&E – mehr als jeder Wettbewerber. Damit ist jeder Prozess auf Grundlage dieses Tools zukunftssicher. clockworkX gehört zur TÜV Austria Gruppe und arbeitet täglich mit Auditoren zusammen. Die Prüfkriterien sind also bekannt und dieses Wissen fließt ein in die robuste Prozessimplementierung.

Die Enablement-Philosophie dieser Partnerschaft lautet: „Wir machen uns selbst überflüssig“. Der Kunde steht im Vordergrund und wird in seiner Not verstanden. Innerhalb von zwölf Monaten erhalten KMUs Zugriff auf Expertise, Tool und Prozesse und werden unabhängig.

Cyber Resilience Act Dr. Christian T. Geiss
ist Geschäftsführer clockworkX GmbH, die zur TÜV Austria Gruppe gehört. Dr. Geiss hat im Bereich probabilistisches Risikomanagement an der TU München promoviert. Mit über 15 Jahren Erfahrung in ISO 21434, ISO 26262 und UN-ECE R155 begleitet er als TÜV-zertifizierter Auditor KMUs beim Aufbau von Cybersecurity Management Systemen (CSMS).

Bildquelle: clockworkX

Cyber Resilience Act Dr. Jan Seyfarth
ist Business Development Manager Safe & Secure bei der CADFEM GmbH. Dort verantwortet er den Bereich Funktionale Sicherheit und Cybersecurity. Als Ansys Medini-Experte trainiert er Ingenieure in modellbasierter Sicherheits-Analysen und kümmert sich um die Prozess-Integration bei Kunden.

Bildquelle: Cadfem

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 16.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Safe & Secure by Design