EU-Vorgaben für Cybersicherheit zwingt Embedded-Systems-Branche zu Veränderungen

Der Cyber Resilience Act (CRA) der EU ist ein wichtiges Thema der Fachmesse embedded world 2026 in Nürnberg. Die CRA-Verordnung, die „ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt“, zwingt viele Hersteller von Industriesteuerungen, Robotern, Messgeräten zu tiefgreifenden Veränderungen über den gesamten Lebenszyklus ihrer Produkte.

Zahlreiche Produkte dürfen ab Ende 2027 nicht mehr in der EU verkauft werden, falls sie die CRA-Vorgaben nicht erfüllen.

Branchenkenner erwarten Nebenwirkungen, beispielsweise die Abkündigung älterer Chips und IT-Komponenten. Der CRA könnte sich ähnlich auswirken wie die seit 2022 verschärften Vorschriften für die Cybersicherheit von Autos: Die führten dazu, dass Modelle wie Audi TT und R8, VW T6.1, Porsche Cayman und Boxster, Smart EQ Fortwo und Renault Zoe nicht mehr in der EU ausgeliefert wurden. Laut den jeweiligen Herstellern lohnte sich der Aufwand für die Überarbeitungen bei diesen älteren Fahrzeugtypen nicht mehr.

Ersatzteilschwund

Produktions- oder Lieferstopps für ältere IT-Komponenten können Probleme bei der Ersatzteilversorgung für alte Systeme nach sich ziehen. Dazu kommt aktuell noch ein zweites Problem: Die schlechte Verfügbarkeit von DRAM- und NAND-Flash-Chips.

Gegenüber heise online äußerten einige Aussteller auf der Fachmesse embedded world 2026, dass sie vor allem die Einstellung von günstigeren Versionen älterer Produktbaureihen erwarten. Denn bei denen ließen sich zusätzliche Kosten erst durch höhere Stückzahlen wieder einspielen. Und letztere seien noch schwieriger zu erreichen, wenn RAM und Flash-Speicher immer teurer würden.

CRA-Aufwand und PQC

Die CRA-Vorgaben wirken oberflächlich betrachtet nicht besonders aufwendig. Doch der Teufel steckt in vielen Details. So ist schon seit Jahren sehr viel Software im Spiel, meistens aus unterschiedlichen Quellen. Dazu kommt die Firmware für jeden einzelnen eingebauten Mikrocontroller oder auch das UEFI-BIOS.

Die Sicherheitsregeln, Meldepflichten für Schwachstellen und Dokumentationsvorgaben gelten zudem für zahlreiche Bauteile eines Systems und entlang deren Lieferkette.

Bei vielen Embedded Systems kommt hinzu, dass sie relativ lange Entwicklungszeiten haben und dann beispielsweise in Industriesteuerungen mehr als zehn Jahre lang betrieben werden. Heute in der Entwicklung befindliche Geräte dürften also bis in die späten 2030er-Jahre hinein laufen.

Deshalb wiederum empfehlen manche Hersteller den Einsatz oder jedenfalls die Vorbereitung quantensicherer Verschlüsselung (Postquantenkryptografie, Post Quantum Cryptography/PQC), zumindest für geschützte Firmware-Updates.

(ciw)