Thought Leadership
Mit dem kommenden Cyber Resilience Act (CRA) verschärft die EU ihre Anforderungen an die Sicherheit digitaler Produkte deutlich.
Ab 2027 müssen Hersteller Security-by-Design verpflichtend in den gesamten Entwicklungsprozess integrieren. Open Systems hat in diesem Zusammenhang verbreitete Missverständnisse rund um das Thema analysiert und zeigt, warum veraltete Denkweisen zunehmend zum Risiko werden.
In vielen Unternehmen hält sich weiterhin die Vorstellung, Sicherheitsfunktionen könnten problemlos nachträglich ergänzt werden. Genau darin liegt laut Open Systems jedoch eines der größten Probleme moderner Produktentwicklung.
Entscheidende Sicherheitsfragen entstehen bereits in der Planungsphase – etwa bei Datenstrukturen, Schnittstellen oder Benutzerrechten. Werden diese Grundlagen ohne Sicherheitskonzept entwickelt, entstehen Schwachstellen, die später nur schwer oder mit hohem Aufwand behoben werden können.
Security-by-Design bedeutet deshalb, Sicherheitsaspekte von Beginn an mitzudenken und nicht erst nach Fertigstellung des Produkts.
Sicherheit ist keine reine IT-Aufgabe
Ein weiteres verbreitetes Missverständnis betrifft die Zuständigkeit für Cybersecurity. Häufig wird Sicherheit ausschließlich den IT- oder Security-Abteilungen zugeschrieben. Tatsächlich entstehen viele Risiken jedoch schon deutlich früher.
Bereits Produktentscheidungen darüber, welche Daten gesammelt werden oder wie offen Funktionen zugänglich sind, beeinflussen die spätere Angriffsfläche erheblich. Technische Teams können solche Vorgaben später meist nur noch absichern, aber nicht grundlegend korrigieren.
Damit wird Security-by-Design zu einer strategischen Aufgabe, die Produktmanagement, Entwicklung und Unternehmensführung gleichermaßen betrifft.
Bremst Sicherheit Innovationen?
Gerade in schnelllebigen Entwicklungsprozessen gilt Security oft als Hindernis für Innovation. Kurzfristig können zusätzliche Sicherheitsanforderungen tatsächlich mehr Aufwand verursachen. Langfristig sorgt fehlende Sicherheit jedoch häufig für größere Probleme.
Müssen Produkte nachträglich angepasst werden, weil Sicherheitslücken entdeckt werden, entstehen Verzögerungen, Zusatzkosten und instabile Systeme. Teams beschäftigen sich dann eher mit Krisenmanagement als mit neuen Funktionen.
Ein durchdachtes Sicherheitskonzept schafft laut Open Systems deshalb die Grundlage für stabile und nachhaltige Innovation.
Compliance allein reicht nicht aus
Auch die Gleichsetzung von Compliance und Sicherheit greift zu kurz. Gesetzliche Vorgaben und Zertifizierungen definieren lediglich Mindeststandards. Angreifer orientieren sich nicht an Checklisten, sondern suchen gezielt nach Schwachstellen.
Hinzu kommt, dass sich Bedrohungslagen permanent verändern. Sicherheit endet daher nicht mit der Markteinführung eines Produkts, sondern muss während des gesamten Lebenszyklus weitergeführt werden – inklusive Updates, Monitoring und Reaktion auf neue Risiken.
Genau dieses Lifecycle-Denken wird künftig auch durch den Cyber Resilience Act stärker eingefordert.
Unternehmen müssen Sicherheit strategisch denken
Open Systems sieht im CRA einen wichtigen Wendepunkt für die Branche. Stefan Keller, Chief Product Officer des Unternehmens, betont, dass Security-by-Design kein reines Dokumentationsprojekt sei. Entscheidend sei vielmehr das Zusammenspiel aus Architektur, Betrieb und klaren Verantwortlichkeiten über den gesamten Produktlebenszyklus hinweg.
Für Unternehmen bedeutet das: Cybersecurity entwickelt sich zunehmend von einer technischen Zusatzaufgabe zu einem festen Bestandteil moderner Produkt- und Unternehmensstrategie.
