Onekey IoT&OT Cybersecurity Report 2025
Industrie erfüllt EU-Cybersicherheitsvorgaben nur teilweise
Mehr als die Hälfte der befragten Unternehmen hat bereits Schritte zur Umsetzung des EU Cyber Resilience Act (CRA) eingeleitet, doch viele bleiben bei der technischen Umsetzung zurück. Das zeigt der „IoT & OT Cybersecurity Report 2025“ von Onekey.
Von 300 befragten Firmen in Deutschland haben 38 Prozent erste Maßnahmen begonnen, 14 Prozent befinden sich in fortgeschrittener Umsetzung.
»Die EU hat mit dem Cyber Resilience Act ein sehr umfangreiches Regelwerk geschaffen, von technischen Normen bis hin zu Meldepflichten. Dem entsprechend hoch sind die Herausforderungen für die Industrie, den CRA vollumfänglich umzusetzen. Genau dies ist jedoch bald die Voraussetzung, um vernetzte Geräte, Systeme und Anlagen in der EU zu verkaufen, in Verkehr zu bringen oder zu betreiben«, erklärt Jan Wendenburg, CEO von Onekey.
Technische Normen werden kaum beachtet
Zentraler Bestandteil des CRA sind etablierte Sicherheitsstandards. Doch laut Report berücksichtigen nur 27 Prozent der Unternehmen die Norm IEC 62443-4-2, die Sicherheitsanforderungen für Komponenten industrieller Automatisierungs- und Steuerungssysteme definiert. Diese legt sieben Basisanforderungen fest – von Authentifizierung über Systemintegrität bis zur Verfügbarkeit – und teilt sie in vier Sicherheitsstufen ein.
Ebenso wenig verbreitet ist die Anwendung der Norm ETSI EN 303 645, die Cybersicherheitsanforderungen für vernetzte Verbrauchergeräte beschreibt. Nur rund ein Viertel der Firmen integriert sie in Entwicklungsprozesse, obwohl sie als harmonisierte Norm des CRA gilt und Voraussetzung für die CE-Kennzeichnung ist.
Funknorm RED mit großem Nachholbedarf
Auch die Funkanlagenrichtlinie RED (EN 18031) wird laut Studie von nur 16 Prozent der Unternehmen umgesetzt. Sie ist jedoch relevant für alle Geräte mit Funktechnologien, um elektromagnetische Verträglichkeit sicherzustellen und Störungen zu vermeiden. Die Erfüllung der RED-Anforderungen gilt ebenfalls als notwendiger Bestandteil der künftigen CRA-Compliance.
Unterstützung durch Assessments
Onekey bietet Unternehmen praxisorientierte Assessment-Workshops an, in denen konkrete Auswirkungen von RED und CRA auf den Betrieb analysiert werden. Eine GAP-Analyse deckt Compliance-Lücken auf, am Ende erhalten Teilnehmende eine Roadmap zur strukturierten Umsetzung der Anforderungen.
Automatisierte Sicherheitsanalysen
Zur Unterstützung der Umsetzung setzt Onekey auf seine Product Cybersecurity & Compliance Platform (OCP). Die Plattform kombiniert automatisierte Firmware-Analysen mit Expert Consulting und deckt mithilfe KI-basierter Technologie innerhalb von Minuten Sicherheitslücken im Binärcode auf – ohne Zugriff auf Quellcode, Geräte oder Netzwerke.
Eine integrierte Erstellung von Software Bills of Materials (SBOMs) ermöglicht die Prüfung von Software-Lieferketten. Mit sogenannten Digital Cyber Twins lassen sich Sicherheitszustände vernetzter Geräte über den gesamten Produktlebenszyklus hinweg kontinuierlich überwachen.
Compliance-Management mit Wizard
Der zum Patent angemeldete Compliance Wizard deckt laut ONEKEY bereits die Anforderungen des EU Cyber Resilience Act sowie relevanter Normen wie IEC 62443-4-2, ETSI EN 303 645 und UNECE R155 ab. Zudem unterstützt das integrierte Product-Security-Incident-Response-Team (PSIRT) durch automatische Priorisierung von Schwachstellen bei der schnelleren Behebung von Sicherheitsvorfällen.
Lesen Sie mehr zum Thema
