Nach Zahlen des Bundeskriminalamts wurden 2024 knapp 332.000 Cyber-Angriffe in Deutschland registriert. In rund zwei Drittel der Fälle stammten die Täter aus dem Ausland oder der Aufenthaltsort konnte nicht ermittelt werden. Der Digitalverband Bitkom beziffert den jährlichen Schaden für die deutsche Wirtschaft durch Datendiebstahl, Sabotage und Spionage mittlerweile auf über 200 Milliarden Euro. Cyber-Kriminalität ist für Täter ein lohnendes Geschäft. Längst gibt es im Untergrund sogar Cyber-crime-as-a-Service-Modelle – die Täter müssen also nicht selbst über die technischen Kompetenzen verfügen, sondern können sich entsprechende Dienstleistungen einkaufen. Neben der gewöhnlichen Kriminalität ist Deutschland als NATO-Mitglied und Unterstützer der Ukraine im Ukrainekrieg zunehmend Ziel von aggressiven, hybriden Angriffskampagnen, stellt das Bundeskriminalamt fest. Die Ziele seien die Schwächung und Destabilisierung von Staat, Gesellschaft und Wirtschaft. Der aktuelle Lagebericht des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) fasst die Situation 2025 entsprechend zusammen: „Zwar sind wiederholt Erfolge gegen Cyber-Kriminalität zu verzeichnen, die sich weiter zuspitzende geopolitische Lage führt aber zu einer unverändert angespannten IT‑Sicherheitslage.“ Irina Rosensaft, Mitglied der Geschäftsleitung und Governance Director beim Cyberintelligence Institute (CII), sagt: „Jeden Tag werden Unternehmen und Organisationen jeglicher Größe oder Branche Opfer von Angriffen, hybriden Bedrohungen, Desinformation und Sabotage.“ Regulierung werde als lästig empfunden. Sie sei aber eine Chance für Cyber-Sicherheitsmaßnahmen. „Hacker fragen nicht, ob Unternehmen compliant sind.“
Unternehmen müssen lernen, sich zu schützen. Dabei geht es längst nicht mehr nur um einzelne technische Maßnahmen, sondern um die Widerstandsfähigkeit ganzer Organisationen gegenüber einer dauerhaften Bedrohungslage. Das Ziel: Unternehmen sollen Cyber-Resilienz entwickeln. Die EU hat diesen Bedarf erkannt und den Cyber Resilience Act (CRA) beschlossen. Dieser Act schafft erstmals ein europäisches Produktsicherheitsregime, das Cyber-Sicherheit zur verpflichtenden Eigenschaft digitaler Produkte macht. Durch die Regulierung wird die Rechtsabteilung zu einer wichtigen Schnittstelle bei der Cyber-Sicherheit.
Lange war IT-Sicherheit sehr stark aus dem Blickwinkel der IT betrachtet worden, in Teilen von Datenschutz und Compliance. Jetzt geht es um die Sicherheitskultur des ganzen Unternehmens.
Irina Rosensaft,
Mitglied der Geschäftsleitung und Governance Director beim
Cyberintelligence Institute (CII)
Der Hersteller als Gatekeeper
Der CRA gilt für alle „Produkte mit digitalen Elementen“, also Software oder Hardware, deren Verwendung eine Datenverbindung zu einem Gerät oder Netzwerk umfasst. Dazu zählen etwa Smartphones, Laptops oder Smartwatches. Aber auch vernetztes Spielzeug gehört beispielsweise dazu. Auch reine Software-Produkte wie Buchhaltungs-Software, Computerspiele oder mobile Apps fallen laut BSI darunter.
Kern des CRA sind grundlegende Sicherheitsanforderungen. Unternehmen müssen Risiken bereits in der Konzeption eines Produkts identifizieren und während des gesamten Lebenszyklus fortlaufend bewerten. Vorgeschrieben sind unter anderem ein strukturiertes Schwachstellenmanagement, die Erstellung einer detaillierten Inventarliste aller Software-Komponenten (SBOM) sowie regelmäßige Sicherheits-Updates für mindestens fünf Jahre. Der Gesetzgeber verfolgt einen risikobasierten Ansatz, der technische Maßnahmen nicht schematisch vorgibt, sondern an die konkrete Ausgestaltung des Produkts knüpft. Produkte müssen nach den Prinzipien „Secure by Design“ und „Secure by Default“ gestaltet sein. „Secure by Design“ bedeutet, dass Sicherheit von Anfang an als grundlegender Bestandteil eines Systems berücksichtigt wird. Sicherheitsanforderungen fließen früh in Architektur, Entwicklung und Tests ein, statt nachträglich ergänzt zu werden. Ziel ist es, Risiken zu minimieren und Angriffsflächen klein zu halten. „Secure by Default“ steht dafür, dass Systeme standardmäßig mit sicheren Einstellungen ausgeliefert werden. Funktionen sind nur aktiviert, wenn sie benötigt werden, Berechtigungen sind restriktiv vergeben und Nutzer müssen Sicherheit nicht selbst konfigurieren, um ein grundlegendes Schutzniveau zu erreichen. Der CRA verlangt, dass Unternehmen Risikoanalysen, Sicherheitsmaßnahmen und Prozesse über den gesamten Produktlebenszyklus nachweisen können. Ein weiterer Schwerpunkt des CRA sind Meldepflichten. Ab 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen melden, die ihnen bekannt werden. Sie haben hierfür lediglich 24 Stunden Zeit. Die Meldung erfolgt gegenüber der EU-Cyber-Sicherheitsagentur ENISA und dem zuständigen nationalen Computer Security Incident Response Team (CSIRT). In Deutschland ist dies das CERT Bund. Produkte, die unter den CRA fallen, brauchen eine CE-Kennzeichnung. Bisher zeigte das CE-Zeichen Verbrauchern, ob ein Produkt sicher ist und bestimmte Umweltregeln eingehalten werden. Jetzt wird der Anwendungsbereich erweitert und umfasst auch Cyber-Sicherheit. Hersteller müssen nachweisen können, dass ihre Produkte angemessen gegen potenzielle CyberAngriffe geschützt sind und über geeignete technische und organisatorische Maßnahmen verfügen, um Risiken zu minimieren. Der CRA enthält keinen eigenen Artikel ausschließlich für Zulieferer. Allerdings leitet sich aus verschiedenen Bestimmungen eine Mitverantwortung für Drittanbieter ab. Das ist unabhängig davon, ob sie aus der EU oder anderen Teilen der Welt stammen. So ist nach Art. 13 Absatz 5 CRA die Überprüfung von Drittkomponenten vorgeschrieben, um die Sicherheit des Endprodukts zu gewährleisten. Unternehmen stehen vor der Aufgabe, die Anforderungen des CRA in ihre Prozesse einzubetten, erklärt Irina Rosensaft: „Zu Beginn steht die Prüfung der eigenen Betroffenheit: Unterliegen die Produkte des Unternehmens dem Cyber Resilience Act? Danach muss eine Gap-Analyse folgen: Was ist schon implementiert? Außerdem muss ich ein Schwachstellenmanagement aufbauen.“ Wichtig sei, dass auch die Lieferkette mitgedacht werde. Ab 11. Dezember 2027 müssen bei neuen Produkten alle CRA-Anforderungen eingehalten werden. Schon ab 11. September 2026 jedoch gelten bereits die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle. Unternehmen müssen daher Prozesse etablieren, die eine schnelle Bewertung erlauben und sicherstellen, dass interne Zuständigkeiten klar geregelt sind. Für die Rechtsabteilung bedeutet das, technische Anforderungen in regulatorische, vertragliche und haftungsrechtliche Strukturen zu übersetzen. „Der Cyber Resilience Act verfolgt einen neuen Ansatz, da er nicht mehr datenbezogen, sondern produktbezogen ist“, unterstreicht Irina Rosensaft. „Das ist auch sinnvoll, schließlich ist der Hersteller der Gatekeeper. Er muss Updates bereitstellen und Schwachstellen kennen.“ Leitungsebene, Entwicklung und Produktion, Vermarktung und Kundendienst müssen sich plötzlich mit Cyber-Sicherheit beschäftigen. „Lange war IT-Sicherheit sehr stark aus dem Blickwinkel der IT betrachtet worden, in Teilen von Datenschutz und Compliance“, sagt Rosensaft und stellt klar: „Jetzt geht es allerdings um die Sicherheitskultur des ganzen Unternehmens.“
Das wird ein wichtiges Thema bei Vertragsverhandlungen, wer die Risiken aus dem CRA tragen muss. Wer soll wofür geradestehen?
Dr. Christoph Enaux,
Rechtsanwalt und Partner,
Greenberg Traurig
Baustein im europäischen Datenrecht
Der Cyber Resilience Act steht nicht isoliert, sondern ergänzt eine Reihe europäischer Vorgaben, die unterschiedliche Ebenen der IT- und Produktsicherheit adressieren. Für Unternehmen entsteht dadurch ein Geflecht aus Pflichten, das rechtlich und organisatorisch geordnet werden muss. Die Datenschutzgrundverordnung (DSGVO) dient dem Schutz personenbezogener Daten. Sie legt fest, unter welchen Voraussetzungen Daten verarbeitet werden dürfen, welche Rechte betroffene Personen haben und welche Pflichten Unternehmen sowie Behörden treffen. Die DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen (TOMs) zu treffen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten sicherzustellen. Dazu zählen unter anderem Zugriffsbeschränkungen, Verschlüsselung, Pseudonymisierung, Protokollierung, Datensparsamkeit, klare Rollen- und Berechtigungskonzepte, Schulungen sowie Verfahren zur Sicherstellung von Verfügbarkeit und Wiederherstellung. Grundlage ist eine Risikoabwägung, die Art, Umfang, Umstände und Zwecke der Verarbeitung berücksichtigt. NIS2 richtet sich an bestimmte besonders sensible Sektoren – etwa Energie, Telekommunikation oder Finanzen – und verpflichtet Unternehmen aus diesen Sektoren zu einem Sicherheitskonzept sowie einem Meldesystem für erhebliche Vorfälle. NIS2 knüpfe zwar an die Tätigkeit in bestimmten Sektoren an und das Gesetz definiere einen verbindlichen Katalog an zu berücksichtigenden Maßnahmen. Dennoch folge die konkrete Umsetzung dem Verhältnismäßigkeitsgrundsatz, erläutert Dr. Christoph Enaux, Rechtsanwalt und Partner bei der Sozietät Greenberg Traurig und Leiter der Branchengruppe Telekommunikation: „Auch wenn es Branchenrichtlinien geben wird, muss jedes Unternehmen letztlich selbst bewerten, welche Auswirkungen Angriffe auf seine IT-Systeme haben können und ein individuelles Sicherheitskonzept entwickeln.“ DORA (Digital Operational Resilience Act) ist speziell auf den Finanzsektor ausgerichtet. Der Schwerpunkt liegt auf der digitalen operativen Resilienz, also der Fähigkeit, trotz IT-Störungen regulierungskonform zu funktionieren. Governance, IT-Risikomanagement und die Steuerung kritischer Dienstleister sind hier zentrale Anknüpfungspunkte. Der Data Act regelt unter anderem, wer auf Daten aus vernetzten Produkten zugreifen darf und zu welchen Bedingungen. Der Data Act erfasst insbesondere alle Akteure, die vernetzte Produkte in der EU in Verkehr bringen oder verbundene Dienste anbieten, und zwar unabhängig vom Ort ihrer Niederlassung. Davon unterschieden werden Dateninhaber, die berechtigt oder verpflichtet sind, Daten zu nutzen und bereitzustellen. Für die Cybersicherheit ist das relevant, weil Datenzugriffe und Interoperabilität neue Angriffsflächen schaffen können, die in technischen und vertraglichen Sicherheitskonzepten berücksichtigt werden müssen. Der CRA setzt jetzt ergänzend an der Produktseite an und definiert Sicherheitsanforderungen für Entwicklung, Betrieb und Wartung von Produkten mit digitalen Elementen. Dr. Philip Radlanski, ebenfalls Rechtsanwalt und Partner bei Greenberg Traurig mit Schwerpunkt KI, Datenschutz und Cyber-Security, plädiert dafür, in Zukunft die Regeln zum europäischen Datenrecht nicht mehr getrennt zu betrachten.
Das Ziel: Ein Single Point of Truth im Unternehmen
Sicherheitsmechanismen gebe es zum Beispiel nicht nur beim Datenschutz, sondern auch in den anderen Gesetzen. Radlanski weist darauf hin, dass die zugrunde liegenden Sicherheitsmechanismen in den Regelwerken oft ähnlich seien und es deshalb Sinn mache, diese in einem gemeinsamen Konzept zusammenzuführen: „Das Ziel im Unternehmen sollte eine Single Source of Truth sein, in der alle Informationen zusammengefasst sind.“ Für die Rechtsabteilungen in den Unternehmen liegt die Herausforderung darin, die Vorgaben dergestalt zu harmonisieren, dass sie in ein integriertes Sicherheits- und Compliance-System münden, das sowohl organisatorische als auch produktbezogene Anforderungen zuverlässig abbildet. Mit dem Cyber Resilience Act treten nicht nur technische und organisatorische Anforderungen in den Vordergrund, sondern auch Fragen der Verantwortlichkeit und Haftung. Dr. Christoph Enaux weist auf die Haftung innerhalb der Lieferkette hin: „Das wird ein wichtiges Thema bei Vertragsverhandlungen, wer die Risiken aus dem CRA tragen muss. Wer soll wofür geradestehen?“ Für Rechtsabteilungen bedeutet dies, vertragliche Regelungen so zu gestalten, dass Risiken eindeutig zugewiesen und Pflichten entlang der gesamten Kette nachvollziehbar verankert werden.
■ Henning Zander
