Welche CRA-Anforderungen gelten speziell für Firmware-Updates?

Der CRA verlangt, dass Firmware-Updates sicher ausgeliefert werden, also signiert und integritätsgeprüft. Updates müssen über den gesamten erwarteten Produktlebenszyklus bereitgestellt werden, mindestens jedoch fünf Jahre. Zudem muss ein dokumentierter Prozess für die Entgegennahme und Behandlung von Schwachstellenmeldungen existieren.

Wie gehe ich mit Legacy-Embedded-Produkten um, die keine Updates unterstützen?

Für bestehende Produkte ohne Update-Fähigkeit müssen Hersteller eine Strategie entwickeln: Entweder wird eine Update-Fähigkeit nachgerüstet, oder es wird eine klare End-of-Support-Kommunikation mit Ablösungsempfehlungen erstellt. Der CRA gilt für Produkte, die nach dem Stichtag in Verkehr gebracht werden. Kunnus hilft bei der Planung beider Szenarien.

Wie erstelle ich einen SBOM für Firmware ohne Quellcode-Zugang?

Wenn der Quellcode nicht vollständig zugänglich ist, etwa bei Drittanbieter-Binärkomponenten, kann eine Binäranalyse eingesetzt werden. Dabei werden compilierte Bibliotheken und Versionen aus dem Firmware-Image identifiziert. Kunnus unterstützt diesen Prozess und ergänzt die Ergebnisse zu einem vollständigen SBOM.

Wie lange muss ich Sicherheitsupdates für Embedded-Produkte mit langer Lebensdauer bereitstellen?

Der CRA verlangt Sicherheitsupdates über den erwarteten Produktlebenszyklus, mindestens jedoch fünf Jahre. Bei Embedded-Produkten mit 15 bis 25 Jahren Lebensdauer empfiehlt sich eine gestaffelte Strategie mit aktivem Support, eingeschränktem Support und geplanter End-of-Life-Phase. Kunnus hilft Ihnen, diese Strategie CRA-konform zu dokumentieren.

Alle Branchen

Embedded Systems & Firmware

Firmware ist die unsichtbare Grundlage moderner Produkte mit digitalen Elementen und ein zentrales Thema des Cyber Resilience Act. Embedded Systems in Steuergeräten, Mikrocontrollern und Echtzeitsystemen haben oft Lebenszyklen von Jahrzehnten. Der CRA verlangt auch für diese Systeme kontinuierliche Sicherheitsupdates, lückenlose SBOMs und strukturierte Schwachstellenprozesse.

Jetzt CRA-Assessment starten

CRA-Relevanz für Embedded Systems & Firmware

Firmware ist als Kernbestandteil von Produkten mit digitalen Elementen direkt CRA-pflichtig. Die besonderen Merkmale eingebetteter Systeme, darunter lange Lebenszyklen, ressourcenbeschränkte Hardware und begrenzte Update-Möglichkeiten, machen die Compliance besonders anspruchsvoll.

Firmware in Steuergeräten, Sensoren und Aktoren ist ein integraler Bestandteil des Produkts mit digitalen Elementen und unterliegt vollständig dem CRA
Lange Produktlebenszyklen von 10 bis 25 Jahren erfordern nachhaltige Strategien für Sicherheitsupdates und Schwachstellenmanagement
Ressourcenbeschränkte Hardware mit begrenztem Speicher und Rechenleistung erschwert die Integration moderner Sicherheitsmechanismen
Echtzeit-Anforderungen in sicherheitskritischen Anwendungen setzen enge Grenzen für Patching und Update-Verfahren
Legacy-Systeme ohne vorgesehene Update-Mechanismen müssen nachgerüstet oder durch klare End-of-Life-Strategien abgelöst werden

Compliance-Herausforderungen bei Embedded Systems

Legacy-Firmware ohne Update-Mechanismen

Viele bestehende Embedded-Produkte wurden ohne OTA-Update-Fähigkeit konzipiert. Die Nachrüstung sicherer Update-Kanäle ist technisch aufwendig und erfordert oft Hardware-Anpassungen.

Ressourcenbeschränkungen für Sicherheitsfunktionen

Mikrocontroller mit begrenztem Speicher und Rechenleistung können nicht ohne Weiteres Verschlüsselung, sichere Boot-Prozesse oder umfangreiche Sicherheitsmonitore implementieren. Die CRA-Anforderungen müssen auf die Hardware-Realität abgestimmt werden.

Lange Produktlebenszyklen vs. Update-Pflichten

Embedded Systems in Industrieanlagen oder Medizingeräten werden für 15 bis 25 Jahre eingesetzt. Die Bereitstellung von Sicherheitsupdates über diesen Zeitraum erfordert langfristige Planung und Ressourcenbindung.

Hardware-Software-Schnittstellensicherheit

Die enge Verzahnung von Firmware und Hardware schafft spezifische Angriffsvektoren. Seitenkanalangriffe, Hardware-Manipulationen und Debug-Schnittstellen müssen in der CRA-Risikobewertung berücksichtigt werden.

Wie Kunnus Embedded-Hersteller unterstützt

Firmware-SBOM-Management

Kunnus erstellt und pflegt SBOMs für Firmware-Produkte, einschließlich Echtzeitbetriebssysteme, HAL-Schichten und eingebettete Bibliotheken. Die Plattform unterstützt sowohl Quellcode- als auch Binäranalyse-basierte SBOM-Erstellung.

Binäranalyse für Schwachstellenerkennung

Für Firmware ohne verfügbaren Quellcode oder mit Drittanbieter-Binärkomponenten bietet Kunnus Binäranalyse-Funktionen, um enthaltene Bibliotheken zu identifizieren und bekannte Schwachstellen aufzudecken.

OTA-Update-Strategie und Compliance

Kunnus dokumentiert Ihre OTA-Update-Infrastruktur CRA-konform und unterstützt bei der Planung sicherer Update-Mechanismen, von signierter Firmware-Auslieferung bis zu Rollback-Szenarien.

Lifecycle-Sicherheitsplanung

Planen Sie den gesamten Sicherheitslebenszyklus Ihrer Embedded-Produkte: Von der sicheren Entwicklung über die Marktüberwachung bis zum End-of-Life. Kunnus unterstützt bei der Dokumentation und Einhaltung langfristiger Verpflichtungen.

Alle Funktionen entdecken

Häufig gestellte Fragen

Häufige Fragen zur CRA-Compliance in dieser Branche.

CRA-Readiness Ihrer Embedded-Produkte prüfen

Ermitteln Sie in wenigen Minuten, wie gut Ihre Embedded Systems und Firmware-Produkte auf den Cyber Resilience Act vorbereitet sind und welche Schritte als Nächstes anstehen.

Jetzt CRA-Assessment starten

Embedded Systems & Firmware