17 www.net-im-web.de 6-7/2026 KRITISCHE KOMMUNIKATION Cybersicherheit beginnt am Eingang Zutrittskontrolle im CRA-Zeitalter Sergii Levitov ist Lead Engineer bei Interflex Datensysteme GmbH und begleitet die CRA-Umsetzung seit 2024 Sergii Levitov NIS-2, KRITIS, Cyber Resilience Act: Das Thema Cybersicherheit ist für Betreiber, IT-Abteilungen und Sicherheitsbeauftragte in deutschen Unternehmen aktueller denn je – und war noch nie so anspruchsvoll wie heute. Der Cyber Resilience Act schafft Abhilfe, indem er die Verantwortung stärker auf Produktebene verlagert. Somit verpflichtet er Hersteller, Händler und Importeure, Cybersicherheit über den gesamten Produktlebenszyklus zu verankern. Obwohl Zutrittskontrollsysteme nur selten direkt mit Cybersicherheit in Verbindung gebracht werden, sind sie heute fester Bestandteil der IT-Sicherheitsarchitektur. Der Cyber Resilience Act (CRA) wurde als EU-weite Verordnung am 10. Dezember 2024 verabschiedet – und wird bis Jahresende 2027 schrittweise wirksam. Eine wichtige Zwischenetappe: Im September 2026 treten erste Meldepflichten für Schwachstellen und sicherheitsrelevante Vorfälle in Kraft. Die verbindlichen Cybersicherheits- und Compliance-Anforderungen für alle Produkte mit digitalen Elementen gelten ab Dezember 2027 – von sicherheitskritischen Industriesystemen bis zur eigenen Smartwatch. Hierfür gelten verschiedene Grundprinzipien – angefangen bei Security by Design und Security by Default. Doppelt abgesichert „Security by Design“ bedeutet, dass Sicherheit als fester Bestandteil des Entwicklungsprozesses mitgedacht wird – nicht als nachträgliche Aufrüstoption oder optionales Feature. Für Hersteller bedeutet das: Sicherheitsanforderungen fließen von Beginn an in die Produktarchitektur ein. Außerdem müssen Produkthersteller etwaige Schwachstellen systematisch identifizieren und bewerten, bevor sie ihr Produkt auf den Markt bringen. „Security by Default“ ergänzt dieses Prinzip mit Blick auf die Installation: Produkte müssen im Auslieferungszustand sicher konfiguriert sein, um aufwändige Sicherheitskonfigurationen von Betreiberseite zu verhindern. Beispiele hierfür sind etwa unsichere Standardpasswörter oder vermeidbare offene Dienste und Schnittstellen. Schwachstellen gezielt aufdecken Ergänzt werden diese Leitprinzipien durch ein prozessorientiertes Schwachstellenmanagement: Hersteller sind verpflichtet, bekannte Schwachstellen systematisch zu verfolgen, zu bewerten und verbindlich während eines klar definierten Supportzeitraums durch Sicherheits-Updates zu schließen. Obwohl die Produkthersteller Vernetzte Zutrittskontrollsysteme sind in vernetzte IT- und Gebäudemanagement-Systeme eingebunden und mit Videoüberwachung sowie Einbruchmelde- und Brandschutz-Systemen verwoben (Foto: Susanne Plank, Pixabay)
RkJQdWJsaXNoZXIy MjE2Mzk=