Sidney vd Boogaard - stock.adobe
Vernetzte Systeme, digitale Produktpässe und die Sicherheit
Der Cyber Resilience Act verpflichtet Hersteller zu durchgängiger Cybersicherheit. Dabei agiert der digitale Produktpass als zentrale Datenbasis und erhöht so die Transparenz.
Vernetzte Hard- und Softwareprodukte sind anfällig für Cyberangriffe und müssen dagegen abgesichert sein. Deshalb gilt ab Ende 2027 gilt für sie die Vorgabe, dass Sicherheit von Anfang an in die Produktentwicklung integriert sein muss. Grundlage dafür ist der Cyber Resilience Act (CRA) der EU. Er definiert Anforderungen an die Sicherheit von Produkten und deren zuverlässigen Betrieb.
Der CRA richtet sich vor allem auf Produkte mit digitalen Komponenten wie IoT-Geräte, klassische IT-Lösungen und Unterhaltungselektronik sowie Anwendungen in Bereichen wie Medizintechnik, Automotive und Energieversorgung. Die Verordnung erfasst damit einen großen Teil moderner technischer Systeme in Industrie und Alltag.
Sicherheitsanforderungen in der Entwicklung
Im Zentrum des CRA steht die Forderung, dass vernetzte Produkte ein festgelegtes Mindestniveau an Cybersicherheit erreichen. Das Ziel: Risiken frühzeitig reduzieren und spätere Sicherheitsprobleme vermeiden. Dabei helfen zwei Prinzipien: Security by Design und Security by Default. Deshalb müssen Unternehmen ihre Produkte so entwerfen, dass sie ein angemessenes Sicherheitsniveau erreichen. Darüber hinaus sind sie verpflichtet, Schwachstellen während des gesamten Supportzeitraums schnell zu beheben.
Das bedeutet mehr als nur die Einhaltung einzelner Vorschriften. Für Security by Design müssen Hersteller ihre internen Abläufe anpassen. Unter anderem ist wichtig, dass sie einen vollständigen Überblick über alle Hardware- und Softwarekomponenten und andere Zulieferer haben. Alle Anforderungen des CRA können sie nur dann erfüllen, wenn sich der gesamte Lebenszyklus ihrer Produkte an Sicherheit orientiert.
Lebenslange Sicherheit betrifft also Entwicklung, Produktion, Vertrieb und After-Sales-Services. Denn anders als bei herkömmlichen Produkten endet die Verantwortlichkeit der Hersteller bei vernetzten Produkten nicht mit dem Verkauf. Dies bringt spezifische Herausforderungen mit sich, etwa im Gebrauchtmarkt. Ein Beispiel: Software-Updates sollten auch nach einem Besitzerwechsel möglich sein. Letztlich müssen die Sicherheitsanforderungen auch diese Situation berücksichtigen. Das funktioniert nur, wenn die Lebenszyklusdaten direkt mit dem einzelnen Produkt verknüpft sind.
Der digitale Produktpass als zentrale Datenbasis
Hier spielt der digitale Produktpass (DPP) eine wichtige Rolle als zentraler Datenspeicher. Er ist Teil der Ecodesign for Sustainable Products Regulation (ESPR) und wird ab 2027 für Elektronikprodukte verpflichtend. Jede beteiligte Partei in der Lieferkette muss eigene Produktinformationen bereitstellen. Zudem erhält nicht nur jedes einzelne Gerät einen solchen Pass, auch Komponenten oder Baugruppen. Dadurch entsteht eine durchgängige Datenbasis.
Ein digitaler Produktpass ist ein maschinenlesbarer Datensatz, der Informationen zu Softwarekomponenten, Sicherheitsupdates und zur Herkunft einzelner Bauteile enthält. Die Daten werden über Software gespeichert und abgerufen. Jedes Produkt erhält eine eindeutige und sichtbar angebrachte Kennzeichnung, häufig ein QR-Code. Nach dem Scannen führt er zu einer Cloud-Anwendung, in der alle relevanten Informationen abrufbar sind. Der Produktpass begleitet das Gerät über seine gesamte Lebensdauer. Er liefert Informationen für Reparatur, Weiterverarbeitung und Entsorgung und schafft eine konsistente Dokumentationsbasis.
Bei vernetzten Produkten lässt sich der DPP eng mit Cybersicherheit verbinden und dient auch als Speicher für sicherheitsrelevante Daten, die der CRA fordert. Dazu gehören Risikobewertungen, Angaben zur Systemarchitektur, Nachweise zu Schutzmaßnahmen, Testverfahren, Supportprozesse und Unterlagen für die Konformitätsbewertung. Auch Informationen zu Sicherheitsmaßnahmen und Update-Verläufen sind enthalten. Diese Daten machen die Sicherheit eines Produkts nachvollziehbar.
„In vielen Unternehmen liegen sicherheitsrelevante Informationen in verschiedenen IT-Systemen vor. Der digitale Produktpass führt diese Daten zusammen und macht sie dauerhaft zugänglich. Das erleichtert Prüfungen durch Behörden und verbessert die Transparenz in der Lieferkette.“
Dr. Carsten Stöcker, Spherity
Nutzen im Betrieb und am Lebensende
In vielen Unternehmen liegen sicherheitsrelevante Informationen in verschiedenen IT-Systemen vor. Der digitale Produktpass führt diese Daten zusammen und macht sie dauerhaft zugänglich. Das erleichtert Prüfungen durch Behörden und verbessert die Transparenz in der Lieferkette. Risiken durch externe Software oder Dienste lassen sich besser bewerten. Der Produktpass unterstützt zudem die Abstimmung zwischen beteiligten Akteuren.
Auch während des Betriebs bietet der Produktpass Vorteile. Die Anforderungen des CRA enden nicht mit dem Verkauf. Hersteller müssen während des gesamten Supportzeitraums auf Schwachstellen reagieren und Sicherheitsvorfälle bearbeiten. Eine aktuelle Datenbasis erleichtert diese Aufgaben. Am Ende des Lebenszyklus rücken Recycling und Rücknahme in den Fokus. Hersteller und Handel tragen hier Verantwortung. Eine zentrale Datenbasis verbessert die Effizienz dieser Prozesse.
Auch in anderen Branchen gibt es ähnliche Entwicklungen mit branchenspezifischen Perspektiven. In der Energiewirtschaft lassen sich Cyberrisiken durch eine konsistente Datenbasis besser bewerten, was die Transparenz der in einem Stromnetz verbauten Komponenten wie Steuerungselemente, Energiemanagementsysteme und Wechselrichter verbessert und damit die Resilienz der Infrastruktur stärkt. Die Elektromobilität ist in gewisser Weise ein Vorreiter für den DPP: Große Batteriesysteme mit mehr zwei KWh müssen ab Februar 2027 einen digitalen Batteriepass mit Informationen zu Herkunft, Nutzung und Zustand besitzen.
Transparente Cybersicherheit durch den DPP
Die branchenübergreifende Etablierung des digitalen Produktpasses bildet eine Grundlage für sichere technische Systeme. Er ist damit ein zentraler Faktor für die strategische Ausrichtung von Unternehmen. Vor allem der CRA wirkt sich auf Produktstrategie, Entwicklung, Einkauf und Service aus.
Der digitale Produktpass schafft Transparenz bei Sicherheitsprozessen und erleichtert deren Überprüfung. Unternehmen können Anforderungen früh umsetzen und den Marktzugang sichern. Der Produktpass entwickelt sich zu einem wichtigen Instrument für die Steuerung sicherer digitaler Produkte und stärkt langfristig die Wettbewerbsfähigkeit.
Über den Autor:
Dr. Carsten Stöcker ist Mitbegründer der Spherity GmbH. Er ist Physiker mit einem Doktortitel der Universität Aachen. Außerdem ist er Ratsmitglied des Global Future Forum für das Weltwirtschaftsforum. Vor der Gründung der Spherity GmbH arbeitete Dr. Stöcker für die innogy SE, das Deutsche Zentrum für Luft- und Raumfahrt (DLR) und die Accenture GmbH. Seit Ende 2014 beschäftigt sich Dr. Stöcker intensiv mit den Themen digitale Innovation, dezentrale Systeme, dezentrale Identität, European Business Wallet (EBW), Digitaler Produktpass (DPP) und Lieferkettenmanagement.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
