Bedrohungen und Risiken systematisch erkennen: Der Game Changer für den Cyber Resilience Act (CRA)

Als Anbieter von Antriebs- und Steuerungstechnologien setzt die Bosch Rexroth AG auf software-gesteuerte und vernetzte Produkte für die Automatisierungstechnik. Entsprechend hoch sind die Anforderungen an die Cybersicherheit der hergestellten Produkte, ohne die auch die implementierten Safety-Maßnahmen gefährdet sind. Bosch Rexroth muss als Hersteller von Produkten mit digitalen Elementen zudem die Vorgaben des EU Cyber Resilience Acts (CRA) erfüllen, dessen Übergangszeit 2027 ausläuft. Eine Kernanforderung des Cyber Resilience Act ist ein risikobasiertes Vorgehen – sowohl in der Entwicklung als auch über den gesamten Produktlebenszyklus. Durch regelmäßige Bedrohungs- und Risikoanalysen sollen Unternehmen Sicherheitsrisiken für konkrete Produkte identifizieren und geeignete, risikoreduzierende Gegenmaßnahmen treffen.

Im Zentrum der Zusammenarbeit von Bosch Rexroth und Fraunhofer IEM stand die Durchführung einer Bedrohungs- und Risikoanalyse für ein ausgewähltes Produkt der Bosch Rexroth AG. Ziel war es, den aktuellen Stand der Cyber Resilience Act-Konformität zu ermitteln und die noch ausstehenden Maßnahmen bis zum vollständigen Inkrafttreten des Cyber Resilience Act im Dezember 2027 zu planen.

Das Fraunhofer IEM und Bosch Rexroth führten gemeinsam einen zweitägigen Cyber Resilience Act-Bedrohungsanalyse-Workshop durch. Dabei stellte das Fraunhofer IEM die konkreten Anforderungen des Cyber Resilience Act vor und moderierte im Anschluss den Bedrohungsanalyseprozess. So erarbeiteten die Mitarbeitenden von Bosch Rexroth gemeinsam mit den Expert:innen des Fraunhofer IEM ein umfassendes Bedrohungsmodell für das ausgewählte Automatisierungsprodukt.

In einem ersten Schritt definierten sie schützenswerte Daten (Assets) wie Kunden- und Produktionsdaten sowie zugehörige Schutzziele, z.B. Systemverfügbarkeit. Das Bosch-Rexroth-Produktteam analysierte interne Systemprozesse und dokumentierte externe Schnittstellen mithilfe eines Datenflussdiagramms. Dieses hält unter anderem fest, wo sicherheitskritische Informationen im System liegen und welche Daten zwischen einzelnen Systemprozessen ausgetauscht werden. Anschließend betrachtete es gemeinsam mit den Fraunhofer-Wissenschaftler:innen mögliche Bedrohungsszenarien, stellte einen Risikostatus fest und ermittelte geeignete Gegenmaßnahmen. Basierend auf diesen Erkenntnissen priorisierte das Produktteam weitere Maßnahmen.

Die Zusammenarbeit mit dem Fraunhofer IEM ermöglichte es dem Produktteam von Bosch Rexroth, einen neuen, systematischen und tool-unterstützten Ansatz zur Bedrohungsanalyse und Risikobewertung kennenzulernen, und mit internen Methoden abzugleichen. Bosch Rexroth wird die mit dem Fraunhofer IEM erarbeiteten Erkenntnisse in die zukünftige Arbeit einfließen lassen, um die Anforderungen des Cyber Resilience Act zielgerichtet und effizient zu erfüllen.