
Der CRA macht Produktsicherheit zur Rechtspflicht
Mit dem Cyber Resilience Act (Verordnung (EU) 2024/2847) hat die EU erstmals verbindliche Cybersecurity-Anforderungen für nahezu alle Produkte mit digitalen Elementen geschaffen. Die Verordnung ist seit dem 10. Dezember 2024 in Kraft. Die Meldepflichten für aktiv ausgenutzte Schwachstellen gelten ab dem 11. September 2026, die Hauptpflichten ab dem 11. Dezember 2027. Wer Software oder vernetzte Geräte auf den europäischen Markt bringt, muss dann nachweisen, dass das Produkt sicher entwickelt wurde und über den gesamten Supportzeitraum sicher bleibt.
Ein Punkt wird in der Diskussion um Meldefristen und CE-Kennzeichnung oft übersehen: Der CRA verlangt von Herstellern, die Sicherheit ihrer Produkte aktiv und regelmäßig zu prüfen. Genau hier kommt Security-Testing ins Spiel, und in der Praxis führt an einem Penetrationstest kaum ein Weg vorbei. Dieser Beitrag ordnet ein, was der CRA konkret fordert und warum ein strukturierter Pentest der belastbarste Weg ist, diese Anforderung zu erfüllen.
Was der CRA über Sicherheitstests sagt
Die inhaltlichen Anforderungen stehen in Anhang I der Verordnung. Teil I beschreibt die grundlegenden Sicherheitseigenschaften, die ein Produkt mitbringen muss. Dazu gehört die zentrale Vorgabe, dass ein Produkt ohne bekannte ausnutzbare Schwachstellen ausgeliefert werden muss. Teil II regelt das Schwachstellen-Handling über den Lebenszyklus und verlangt ausdrücklich, dass Hersteller wirksame und regelmäßige Tests und Überprüfungen der Produktsicherheit durchführen.
Wichtig für die ehrliche Einordnung: Der CRA ist technologieneutral formuliert. Er schreibt keine bestimmte Methode vor und nennt den Begriff Penetrationstest nicht. Der Gesetzgeber definiert ein Ergebnis, nämlich nachweisbar geprüfte und gehärtete Produkte, und überlässt die Wahl der Mittel dem Hersteller. Diese Offenheit ist kein Freibrief. Wer belegen soll, dass sein Produkt keine bekannten ausnutzbaren Schwachstellen enthält, muss aktiv danach gesucht haben. Ein reiner Konfigurationscheck oder ein automatischer Scan reicht dafür in der Regel nicht aus.
Warum ein Penetrationstest der praktische Nachweis ist
Der Unterschied zwischen einem automatisierten Schwachstellenscan und einem Penetrationstest entscheidet darüber, ob die CRA-Anforderung tatsächlich erfüllt wird. Ein Scanner findet bekannte Signaturen und offensichtliche Fehlkonfigurationen. Er erkennt aber weder verkettete Angriffe noch Logikfehler in der Anwendung, fehlerhafte Autorisierung oder Schwachstellen in der individuellen Geschäftslogik. Genau solche Fehler führen in der Praxis zu ausnutzbaren Sicherheitslücken.
Ein Penetrationstest simuliert einen realen Angreifer und liefert damit den Beweis, den der CRA im Kern verlangt: Es wurde gezielt versucht, das Produkt zu kompromittieren, und die gefundenen Schwachstellen wurden dokumentiert und behoben. Für regulierte Produkte ist zusätzlich die Wiederholbarkeit entscheidend. Der CRA verlangt regelmäßige Tests, nicht eine einmalige Prüfung vor dem Marktstart. Jede wesentliche Änderung am Produkt, jede neue exponierte Schnittstelle und jede größere Version sollte einen erneuten Test auslösen. Ein sauberer Pentest-Bericht mit Befunden, Schweregraden und nachverfolgbarer Behebung ist damit der praktische Nachweis für die geforderte Prüftätigkeit.
Sicherheitstests, SBOM und Schwachstellen-Handling gehören zusammen
Der CRA behandelt Testing nicht isoliert, sondern als Teil eines durchgehenden Schwachstellenprozesses. Anhang I Teil II verpflichtet Hersteller, die Komponenten ihres Produkts zu identifizieren und zu dokumentieren, unter anderem in Form einer Software Bill of Materials in einem gängigen, maschinenlesbaren Format. Sie müssen Schwachstellen ohne unangemessene Verzögerung beheben, Sicherheitsupdates bereitstellen und Informationen über behobene Schwachstellen offenlegen.
Diese Anforderungen greifen ineinander. Eine SBOM-Analyse zeigt, welche Fremdkomponenten und Bibliotheken im Produkt stecken und welche davon bekannte Schwachstellen mitbringen. Der Penetrationstest prüft, ob diese und weitere Schwachstellen im konkreten Produktkontext tatsächlich ausnutzbar sind. Was der Test findet, fließt in ein strukturiertes Schwachstellenmanagement, das Behebung, Fristen und Nachweise über den Supportzeitraum steuert. Erst dieses Zusammenspiel aus Stückliste, Test und dokumentierter Behebung erfüllt den Anspruch des CRA an ein wirksames Schwachstellen-Handling.
Der Testnachweis in der Konformitätsbewertung
Nach Artikel 13 muss der Hersteller sicherstellen, dass ein Produkt gemäß den grundlegenden Anforderungen aus Anhang I entwickelt wurde, und eine Cybersecurity-Risikobewertung durchführen, deren Ergebnis in Planung, Entwicklung und Wartung einfließt. Die technische Dokumentation und die EU-Konformitätserklärung sind mindestens zehn Jahre lang für die Marktüberwachungsbehörden vorzuhalten.
Für die meisten Produkte kann die Konformität über eine Selbstbewertung erklärt werden. Für die in Anhang III und IV gelisteten wichtigen und kritischen Produkte, etwa Betriebssysteme, Passwortmanager, Firewalls oder Router, kann die Einbindung einer benannten Stelle nötig werden, insbesondere wenn keine harmonisierten Normen angewendet werden. In beiden Fällen gilt: Die Behörde oder die benannte Stelle will belegte Prüftätigkeit sehen. Ein nachvollziehbarer Pentest-Bericht, der Umfang, Methodik, Befunde und Behebung dokumentiert, ist genau das Beweisstück, das die Risikobewertung und die technische Dokumentation glaubwürdig untermauert. Wer diese Nachweise erst kurz vor dem Audit zusammensucht, gerät unter Druck, den er im laufenden Entwicklungszyklus nicht mehr auflösen kann.
Zeitplan: Was Hersteller jetzt tun sollten
Bis zum vollständigen Geltungsbeginn am 11. Dezember 2027 bleibt weniger Zeit, als der Termin vermuten lässt, denn Testing und Behebung brauchen mehrere Zyklen. Sinnvoll ist ein früher Start:
- Produktumfang bestimmen: Klären Sie, ob Ihr Produkt als Standard-, wichtiges oder kritisches Produkt einzuordnen ist, denn davon hängt die Strenge der Konformitätsbewertung ab.
- SBOM aufbauen: Erstellen Sie eine maschinenlesbare Software Bill of Materials und halten Sie sie aktuell.
- Testregime festlegen: Definieren Sie, bei welchen Auslösern ein Penetrationstest stattfindet, mindestens vor dem Marktstart und bei jeder wesentlichen Änderung.
- Schwachstellenprozess etablieren: Sorgen Sie dafür, dass Befunde fristgerecht behoben, dokumentiert und über den Supportzeitraum nachgehalten werden.
- Meldeprozess vorbereiten: Richten Sie den Ablauf für die ab September 2026 geltende Meldepflicht ein, inklusive der Frühwarnung binnen 24 Stunden über die zentrale Meldeplattform an das zuständige CSIRT und die ENISA.
Eine strukturierte Übersicht der regulatorischen Einordnung finden Sie auf unserer Seite zum Cyber Resilience Act.
Fazit
Der Cyber Resilience Act verlangt keinen Penetrationstest mit diesem Namen, aber er verlangt den Nachweis, den nur ein echter Sicherheitstest liefern kann: dass ein Produkt gezielt auf ausnutzbare Schwachstellen geprüft und gehärtet wurde, und zwar wiederholt über seinen Lebenszyklus. Hersteller, die Testing, SBOM und ein belastbares Schwachstellen-Handling jetzt zusammenführen, erfüllen nicht nur eine kommende Rechtspflicht. Sie bringen sicherere Produkte auf den Markt und können das im Ernstfall auch belegen. Die offizielle Verordnung im Volltext steht bei EUR-Lex, die aktuellen Meldepflichten erläutert die Europäische Kommission.