Industrieanlagen werden immer smarter und damit auch anfälliger für Cyberrisiken. Wo früher isolierte Systeme im Einsatz waren, prägen heute hochvernetzte, datengetriebene Automatisierungslösungen das Bild. Jede Schnittstelle, jede Kommunikationseinheit und jede Softwarekomponente eröffnet potenzielle Einfallstore für Cyberkriminelle. Die Folgen erfolgreicher Angriffe sind weitreichend: von Produktionsausfällen über Datenverlust bis hin zu langfristigem Reputationsschaden. Schätzungen zufolge können sich die wirtschaftlichen Schäden im Einzelfall auf mehrere Millionen Euro belaufen.

"Cybersicherheit ist in der industriellen Automatisierung längst keine Option mehr, sondern zwingende Voraussetzung für den Betrieb und zunehmend auch gesetzlich verpflichtend. Mit immer mehr regulatorischen Vorgaben wie dem europäischen Cyber Resilience Act zieht auch der Gesetzgeber klare Leitplanken", sagt Steffen Winkler, Vertriebsleiter der Business Unit Automation & Electrification Solutions bei Bosch Rexroth.

CRA fordert Sicherheit für vernetzte Produkte

Der Cyber Resilience Act (CRA), der seit Dezember 2024 in Kraft ist, zählt zu den aktuell bedeutendsten europäischen Verordnungen im Bereich Sicherheit. Ziel ist es, die Cybersicherheit digitaler Produkte – insbesondere vernetzter Produkte – mit digitalen Elementen deutlich zu stärken.

Ab dem 11. Dezember 2027 müssen alle digitalen Produkte, die im Europäischen Wirtschaftsraum (EWR) in Verkehr gebracht werden, die Vorgaben erfüllen. Der Anwendungsbereich umfasst dabei nicht nur Software, sondern auch Hardware sowie komplette Maschinen und Anlagen, sofern es sich um digitale Produkte im Sinne des CRA handelt. Schon eine einzige Möglichkeit des Datenaustauschs physischer oder logischer Art reicht mit wenigen Ausnahmen aus, um unter den Anwendungsbereich zu fallen. Das kann beispielsweise ein USB-Port, Bluetooth oder eine Diagnose-Schnittstelle sein.

Hersteller müssen sicherstellen, dass ihre Produkte ohne bekannte, ausnutzbare Schwachstellen in Verkehr gebracht werden und über den gesamten Unterstützungszeitraum hinweg abgesichert bleiben. Dieser Zeitraum beträgt mindestens fünf Jahre, kann aber je nach Produktnutzungsdauer und weiteren Faktoren auch deutlich länger ausfallen. Neben technischen Anforderungen wie der Updatefähigkeit und einer sicheren Standardkonfiguration sind auch weitere Maßnahmen wie ein Management für Schwachstellen und Sicherheitsvorfälle gefordert.

Ein erster wichtiger Stichtag, bevor der CRA verpflichtend umgesetzt werden muss, ist der 11. September 2026: Ab dann sind Hersteller verpflichtet, aktiv ausgenutzte Schwachstellen und sicherheitsrelevante Vorfälle innerhalb von 24 Stunden über das zentrale EU-Meldesystem zu melden – auch rückwirkend für bereits im Markt befindliche Produkte, sofern diese unter die Definition des CRA fallen. Die Schwachstellen müssen dann zügig durch Updates behoben oder es müssen Abhilfemaßnahmen definiert werden.

CRA-konforme Entwicklung: Folgen für Hersteller

Die Umsetzung der CRA-Vorgaben stellt insbesondere Maschinenbauer und Zulieferer vor Herausforderungen. Bestehende Produkte CRA-konform zu gestalten, ist in vielen Fällen aufwendig oder teilweise technisch kaum realisierbar. Gleichzeitig sind die Sanktionen bei Verstößen erheblich: Bußgelder von bis zu 15 Millionen Euro oder bis zu 2,5 % des weltweiten Jahresumsatzes drohen, je nachdem, welcher Betrag höher liegt.

Zudem kann ein nicht CRA-konformes Produkt, das ein erhebliches Cybersicherheitsrisiko darstellt, vom Markt genommen oder dessen Bereitstellung eingeschränkt beziehungsweise verboten werden. Auch formale Versäumnisse wie eine fehlende CE-Kennzeichnung oder unvollständige technische Unterlagen können Sanktionen nach sich ziehen, selbst wenn keine unmittelbare Gefährdung vorliegt.

Ganzheitliche Sicherheitsstrategie

Um den Anforderungen gerecht zu werden, setzt Bosch Rexroth auf eine ganzheitliche Sicherheitsstrategie. "Für uns bei Bosch Rexroth ist ganz klar: Cybersicherheit ist eine zentrale Voraussetzung für zuverlässige und zukunftssichere Automatisierungslösungen. Deshalb haben wir dies auch bereits bei der Entwicklung unseres Automatisierungssystems ‚ctrlX Automation‘ mit gedacht", sagt Steffen Winkler.

Das Linux-basierte Betriebssystem ‚ctrlX OS‘ wurde speziell für industrielle Anforderungen entwickelt und folgt den Prinzipien ‚Secure by Design‘ und ‚Secure by Default‘. Es erfüllt die Anforderungen gemäß IEC 62443-4-2 Security Level 2 und ist durch den TÜV Rheinland zertifiziert. Alle verarbeiteten, gespeicherten und übertragenen Daten sind durchgängigen Schutzmechanismen unterworfen. Damit ist das System technisch und regulatorisch CRA-ready und schafft das Fundament für den sicheren Betrieb automa-tisierter Anlagen.

Technische Umsetzung – ‚ctrlX OS‘

ctrlX OS basiert auf einer Microservice-Architektur und ist für den Einsatz in verschiedenen Automatisierungsszenarien ausgelegt, etwa auf der Steuerung ‚ctrlX Core‘. Sicherheitsfunktionen wie Passwortschutz, rollenbasierte Benutzerrechte, verschlüsselte Datenübertragung, sichere Authentifizierung und standardisierte Update-Prozesse sind fester Bestandteil. Von Haus aus sind nur sichere Protokolle wie HTTPS aktiviert, um gespeicherte, übertragene oder verarbeitete Daten konsequent zu schützen. Es wird mit einem minimalen Netzwerk-Footprint ausgeliefert, wodurch potenzielle Angriffsflächen stark reduziert sind.

Über die zentrale, kontrollierte Update-Infrastruktur können Schwachstellen schnell adressiert und Patches gezielt verteilt werden – ohne Betriebsunterbrechung. Ergänzend erfolgen regelmäßig interne und externe Sicherheitstests, etwa durch regelmäßige Penetrationstests, insbesondere bei jedem LTS-Release. Bei neuen Bedrohungslagen werden betroffene Stellen unmittelbar informiert. Damit erfüllt ‚ctrlX OS‘ die bereits bekannten sicherheitsrelevanten Anforderungen des CRA im Bereich Schwachstellenhandling.

Erweiterbarkeit durch Security-Apps

ctrlX OS ist als offenes Ökosystem konzipiert, das auch von Drittanbietern genutzt und erweitert werden kann. Auf dieser Basis entsteht ein industrielles Sicherheitsnetzwerk, das über Unternehmensgrenzen hinweg funktioniert. Alle Geräte, die mit ‚ctrlX OS‘ betrieben werden, unabhängig vom Hersteller, erfüllen damit dieselben Sicherheitsstandards.

Über den ‚ctrlX OS Store‘ können Anwendungen wie Security Scanner, Firewall App oder VPN-Clients von Bosch Rexroth ergänzt werden. Alle Geräte, Apps und Lizenzen lassen sich zentral und sicher über das ‚ctrlX Device Portal‘ verwalten.Security-Apps von Third-Party-Anbietern aus der Partnerwelt ‚ctrlX World‘ erweitern das Lösungsangebot. Beispiele von Partnerlösungen sind:

• IXON & MBconnect line: Absicherung von Fernzugriffen durch zustandsabhängige Freigaben
• TXOne Networks: Intrusion Prevention an der Netzwerkgrenze
• Paessler: Echtzeit-Monitoring von OT-, IT- und IoT-Infrastrukturen

Diese und weitere Partnerlösungen lassen sich nahtlos integrieren und schaffen so ein modulares Sicherheitskonzept, das individuell an Maschinen, Anlagen und Unternehmensstrukturen angepasst werden kann.

Cybersecurity auch im Brownfield realisierbar

Insbesondere bestehende Produktionsumgebungen, sogenannte Brownfield-Anlagen, stehen vor besonderen Herausforderungen. Viele Maschinen und Systeme, die noch jahrelang im Einsatz bleiben sollen, wurden zu einer Zeit entwickelt, als Cybersicherheit kaum eine Rolle spielte.

Bosch Rexroth bietet mit ‚ctrlX Core‘ ein Retrofit-fähiges Steuerungssystem an, das sich als Security Gateway auch in bestehende Automatisierungslösungen integrieren lässt; unabhängig von vorhandener Hard- und Software anderer Anbieter. Dadurch können moderne Sicherheitsfunktionen nachgerüstet werden. Gleichzeitig wird eine sichere Anbindung an Cloud-Services oder Engineering-Systeme ermöglicht.

Jetzt starten, um später regelkonform zu sein

Der CRA markiert einen grundlegenden Wandel im Umgang mit Cybersicherheit und stellt Unternehmen vor die Aufgabe, ihre Entwicklungs- und Produktstrategie anzupassen. Wer frühzeitig handelt, erhöht nicht nur die Sicherheit seiner Systeme und Anlagen, sondern stellt die Weichen für einen gesetzeskonformen Betrieb.

Bosch Rexroth sieht sich dabei als Partner für Unternehmen, die ihre Automatisierungslösungen sicher, flexibel und zukunftsfähig gestalten wollen. "Mit ‚ctrlX OS‘ ist Bosch Rexroth bereits heute auf die Richtlinien des CRA vorbereitet. Bis Ende 2027 werden alle Produkte aus der Welt unseres Automatisierungsbaukastens ‚ctrlX Automation‘ auf die Kriterien ausgerichtet sein. Unsere Kunden können sich also darauf verlassen, dass sie mit den Produkten zukunftsfähig aufgestellt sind", erklärt Steffen Winkler.

Kurzinterview: CRA-Konformität mit ctrlX OS sichern

Steffen Winkler, Vertriebsleiter der Business Unit Automation & Electrification Solutions bei Bosch Rexroth. © Bosch Rexroth

Wie gelingt CRA-Konformität in der Praxis? Steffen Winkler erläutert im Kurzinterview, wie Bosch Rexroth mit ‚ctrlX OS‘ einheitliche Sicherheitsmechanismen bereitstellt, interne wie externe Tests durchführt und seine Strategie laufend weiterentwickelt.

Wie stellen Sie sicher, dass Drittanbieter-Apps CRA-konform sind?

Im ‚ctrlX OS Store‘ werden ausschließlich Apps vertrieben, die den Anforderungen der CRA entsprechen. Die jeweiligen Anbieter müssen die Konformität nachweisen.Darüber hinaus stellen wir bei ctrlX OS viele der vom CRA geforderten Mechanismen auch über Schnittstellen direkt für Apps zur Verfügung. Dadurch wird der Entwicklungsaufwand für App-Anbieter reduziert und Anwender profitieren von einer einheitlichen Nutzererfahrung.

Wie läuft der Prozess der Sicherheitsüberprüfung bei ctrlX OS konkret ab – intern, durch Dritte oder automatisiert? Werden alle Releases getestet oder nur Long-Term-Support-Versionen?

Sowohl als auch. Wir führen intern automatisierte Tests auf Quelltext- und Schnittstellenebene durch. Diese erfolgen kontinuierlich während der gesamten Entwicklungsphase, um bei der Freigabe neuer Versionen ein hohes Cybersecurity-Niveau sicherzustellen. Dabei kommen sowohl selbst entwickelte als auch etablierte extern entwickelte Werkzeuge zum Einsatz.

Zusätzlich werden alle LTS-Versionen regelmäßig vor der Freigabe – und bei Bedarf auch danach – durch unabhängige Dritte mittels Penetrationstests überprüft.

Wie entwickeln Sie Ihre Sicherheitsstrategie weiter, um auch auf neue Bedrohungsszenarien und zukünftige regulatorische Anforderungen vorbereitet zu sein?

Cybersicherheit ist kein einmaliger Zustand, sondern ein kontinuierlicher Prozess. Deshalb verfolgen wir einen ganzheitlichen, dynamischen Ansatz. Unsere Entwicklungs- und Testprozesse werden laufend erweitert, um neue Angriffsmethoden frühzeitig zu adressieren. Gleichzeitig arbeiten wir eng mit Partnern aus der Industrie und mit unabhängigen Prüforganisationen zusammen, um neueste Erkenntnisse direkt in unsere Produkte einfließen zu lassen. Auch regulatorische Entwicklungen haben wir dabei im Blick: ctrlX OS ist so ausgelegt, dass es flexibel an zukünftige Standards angepasst werden kann. Damit stellen wir sicher, dass unsere Kunden dauerhaft auf einem hohen Sicherheitsniveau arbeiten können – heute und morgen.