Start / Leistungen / CRA Compliance

CRA Compliance & Monitoring

Von der automatisierten Firmware-Analyse bis zur strategischen CRA-Beratung – alles aus einer Hand.

CRA Compliance & Monitoring

Von der automatisierten Firmware-Analyse bis zur strategischen CRA-Beratung – alles aus einer Hand.

Automatisierte Firmware-Sicherheitsanalyse

Firmware-Image hochladen, automatische Extraktion und Analyse aller Komponenten. KI-gestützte Erkennung von Schwachstellen, Fehlkonfigurationen und Sicherheitslücken – priorisiert nach tatsächlichem Risiko.

SBOM-Generierung & Management

Automatische Erstellung einer Software Bill of Materials aus Firmware-Images und Source Code im Standardformat (SPDX, CycloneDX). Ab 2027 gesetzlich verpflichtend.

Kontinuierliches CVE-Monitoring

24/7-Überwachung Ihrer SBOM gegen NVD, GitHub Security Advisories und Vendor-spezifische Feeds. Kontextbezogene Priorisierung und automatische Benachrichtigung bei kritischen CVEs.

CRA-Compliance-Reporting

Automatisierte Generierung von Compliance-Reports: CRA Annex I, IEC 62443-4-2, ETSI EN 303 645 Mappings. Fertige Dokumente für Auditoren und Marktaufsicht.

Source-Code-Sicherheitsanalyse

KI-gestützte Analyse von Quellcode – vollständig lokal, ohne dass Code Ihr Unternehmen verlässt. Speziell für Embedded C/C++ und Firmware-Code. On-Premise oder Air-Gap möglich.

CRA-Compliance-Beratung

Strategische Beratung: Gap-Analyse, Threat Modeling, Aufbau eines Vulnerability Handling Prozesses, Begleitung bei der Konformitätsbewertung und Schulungen für Entwicklungsteams.

Was ist der Cyber Resilience Act?

Die EU-Verordnung, die ab 2027 jeden Hersteller von Produkten mit digitalen Elementen betrifft.

Deadline & Konsequenzen

Der CRA wird ab 2027 verpflichtend. Hersteller, die nicht compliant sind, dürfen ihre Produkte nicht mehr in der EU verkaufen. Es drohen Bußgelder bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes.

Gefordert werden unter anderem: Security by Design, SBOM-Pflicht, kontinuierliches Schwachstellenmanagement, Meldepflichten (24h/72h/14 Tage), sichere Update-Mechanismen und technische Dokumentation.

Relevante Standards

  • IEC 62443 – Industrielle Cybersecurity (De-facto-Standard, Vermutungswirkung für CRA)
  • ETSI EN 303 645 – Consumer IoT Security
  • UNECE R155 – Automotive Cybersecurity
  • RED – Cybersecurity für Funkgeräte

Der CRA definiert was erreicht werden muss. IEC 62443 definiert wie man es umsetzt.

Ihr Weg zur CRA-Compliance

In vier Schritten vom ersten Scan zum vollständigen Compliance-Nachweis.

01

Analyse

Firmware hochladen, automatische Sicherheitsanalyse und SBOM-Generierung

02

Ergebnis

Detaillierter Bericht mit Schwachstellen, Risikobewertung und Handlungsempfehlungen

03

Monitoring

Kontinuierliche CVE-Überwachung über die gesamte Produktlebensdauer

04

Compliance

Fertige Reports für Auditoren und Marktaufsicht – CRA-ready

Häufige Fragen

Die wichtigsten Fragen zum Cyber Resilience Act und unseren Leistungen.

Wen betrifft der Cyber Resilience Act?

Der CRA betrifft jeden Hersteller von Produkten mit digitalen Elementen, die in der EU verkauft werden. Das umfasst Embedded-Systeme, IoT-Geräte, Industriesteuerungen, Medizingeräte, Automotive-Komponenten und viele weitere vernetzte Produkte.

Ab wann ist der CRA verpflichtend?

Der CRA wird ab 2027 verpflichtend. Die Meldepflichten für aktiv ausgenutzte Schwachstellen gelten bereits ab September 2026. Hersteller sollten jetzt mit der Vorbereitung beginnen, um rechtzeitig compliant zu sein.

Was ist eine SBOM und warum brauche ich eine?

Eine Software Bill of Materials (SBOM) ist ein vollständiges Verzeichnis aller Software-Komponenten in Ihrem Produkt – vergleichbar mit einer Zutatenliste. Der CRA macht die SBOM zur Pflicht, da sie die Grundlage für Schwachstellenmanagement und Transparenz gegenüber Kunden und Behörden bildet.

Wie unterscheidet sich eure Analyse von einem reinen Scanner?

Reine Scanner liefern oft eine Flut von Findings ohne Kontext. Unsere Plattform kombiniert automatisierte Analyse mit einem proprietären Embedded Risk Score, der auf jahrelanger Pentesting-Erfahrung basiert. Zusätzlich validieren unsere Experten die Ergebnisse manuell – keine False Positives, nur echte Risiken.

Ist mein Quellcode bei euch sicher?

Absolut. Unsere Source-Code-Analyse läuft vollständig lokal – kein Quellcode verlässt Ihr Unternehmen. Für Binary-/Firmware-Analyse nutzen wir State-of-the-Art Cloud-KI, was bei kompilierten Binaries vertretbar ist. Cloud wo sinnvoll, lokal wo nötig.

Bereit für sichere Produkte?

Vereinbaren Sie ein kostenloses Erstgespräch und erfahren Sie, wie wir Ihre Embedded-Systeme absichern können.

Kostenlose Erstberatung