Lösungen für mobile Maschinen
Cybersecurity: warum OEMs jetzt handeln müssen
Der Cyber Resilience Act (CRA) verändert die Compliance-Anforderungen für mobile Arbeitsmaschinen grundlegend. Teil drei unserer Blogserie „Safety, Security & KI“ zeigt, wie Hersteller ihre mobilen Maschinen absichern und die Kosten im Griff behalten.
Die Herausforderung ist real: Ab 11. Dezember 2027 ist der Cyber Resilience Act (CRA) vollständig verpflichtend für alle Produkte mit digitalen Elementen, die neu in den EU-Markt gebracht werden. Bereits ab dem 11. Juni 2026 verkürzen sich die Fristen zur Konformitätsbewertung und – ab dem 11. September 2026 – für Meldepflichten zu Sicherheitsvorfällen. Off-Highway-Hersteller müssen die Cybersicherheit für den gesamten Lebenszyklus eines Produkts gewährleisten – von der Entwicklung über den Betrieb bis hin zur Außerbetriebnahme. Dazu führen OEMs die Themen Cybersicherheit und funktionale Sicherheit zusammen, aber auch das Umstellen aller noch in Serie befindlichen Altsysteme ist für sie verpflichtend. Im dritten Teil unserer Blogserie „Safety, Security & KI“ geht es um das Thema Cybersecurity und um die Frage, wie OEMs die Compliance-Anforderungen in Wettbewerbsvorteile verwandeln können.
Was bedeutet der CRA für mobile Maschinen?
Nach den Vorgaben des CRA muss das Thema Cybersecurity in einem Security-by-Design-Ansatz vom Start der Entwicklung über den kompletten Produktlebenszyklus hinweg berücksichtigt werden. Dazu gehören:
- Risikoanalysen und Bedrohungsbewertungen (TARA)
- Nachweisführung über Sicherheitsmaßnahmen
- Security-Monitoring und Incident-Management im Betrieb
Für mobile Arbeitsmaschinen ist dies ein komplexes Unterfangen, denn sie sind hochgradig vernetzt, bewegen sich in rauen Umgebungen und besitzen teils offene Architekturen – alles Faktoren, die die Angriffsfläche vergrößern. Wer die CRA-Compliance vernachlässigt, riskiert hohe Bußgelder (bis zu 2 % des weltweiten Jahresumsatzes), empfindliche Versicherungs-, Haftungs- und Reputationsschäden sowie den Verlust des Marktzugangs (z. B. durch ein fehlendes CE-Zertifikat). Im Klartext: Im Binnenmarkt der EU dürfen dann nur noch CRA-konforme Maschinen in Verkehr gebracht werden. Die zentrale Frage ist also: Wie können OEMs mit begrenzten Kapazitäten Security-Compliance herstellen, ohne dass die Kosten explodieren oder sie ihre Maschinen nicht mehr in der EU verkaufen dürfen?
Gemeinsam zur gewährleisteten Security-Compliance
Mit BODAS bietet Bosch Rexroth ein ganzheitliches Ökosystem, das OEMs bei der Umsetzung der komplexen regulatorischen Anforderungen unterstützt. Das Fundament: bewährte Security-Prozesse und -Technologien von Bosch aus dem Automotive-Sektor, die Bosch Rexroth mit seiner ausgeprägten Off-Highway-Erfahrung auf die mobile Arbeitsmaschine übertragen hat. Ein entscheidender Punkt: Das komplette BODAS Angebot an modularen Lösungen, Produkten und Support orientiert sich an der ISO 21434 und deckt den kompletten Lebenszyklus ab – vom Security Design über die Implementierung bis hin zur Außerbetriebnahme, inklusive Vulnerability- und Incident-Management.
Durchgängig, transparent, zukunftssicher: Bewährte Lösungen und Prozesse von Bosch aus dem Automotive-Sektor sorgen auch bei mobilen Arbeitsmaschinen zuverlässig für CRA-Compliance. (Grafik: Bosch Rexroth AG)
1. Methodische Grundlage: der Security-Engineering-Prozess
Im Rahmen ihres Security-by-Design-Ansatzes müssen OEMs die Cybersicherheit über den gesamten Produktlebenszyklus nachweisen – von der Konzeption über die Produktion bis hin zum Betrieb (z. B. für die CE-Zertifizierung). Ohne klaren Security-Prozess ist dies kaum möglich.
Lösungsansatz: Mit Bosch Rexroth als Partner profitieren OEMs von einem erprobten Security-Engineering-Prozess von Bosch aus dem Automotive-Sektor, den auch das BODAS Ecosystem als solide Basis nutzt. Dazu gehören klare Vorgaben für Entwicklung, Produktion und Betrieb, eine dokumentierte Konformität der eingesetzten Produkte (Steuerungen, Telematik-Einheiten oder Assistenzfunktionen) sowie die Integration von Safety und Security in einem durchgängigen Lifecycle-Modell.
2. Implementierung: Risiken erkennen, bewerten und absichern
In der Implementierungsphase wird der definierte Security-Prozess in die Praxis umgesetzt. Eine wesentliche Rolle spielt dabei – wie auch im weiteren Lebenszyklus – die Risikobewertung. Im Rahmen von Threat Analysis & Risk Assessments (TARAs) werden die Angriffsflächen systematisch identifiziert und bewertet. Außerdem müssen die OEMs konkrete Maßnahmen definieren, mit denen sich die identifizierten Sicherheitsrisiken auf ein akzeptables Niveau bringen lassen. Des Weiteren ist ein transparenter Nachweis für jede eingesetzte Software-Komponente über eine Software Bill of Materials (SBOM) vorgeschrieben. Alle Security-Features müssen state-of-the-art sowie aktualisierbar sein, damit sie mit der Weiterentwicklung von Standards Schritt halten können.
Lösungsansatz: Der Implementierungsaufwand für OEMs reduziert sich allein dadurch, dass Bosch Rexroth die TARA- und SBOM-Pflicht konsequent für jede BODAS Software umsetzt. Damit können OEMs sehr einfach ihrer eigenen Nachweispflicht nachkommen und wirkungsvolle Maßnahmen für das Incident-Management ableiten und dokumentieren. State-of-the-art Security-Features wie Secure Boot, Secure Logging, Verschlüsselung oder digitale Signaturen sind Standard im BODAS Ecosystem und werden laufend weiterentwickelt. Darüber hinaus hilft Bosch Rexroth OEMs, die CRA-Sicherheitskonformität noch effizienter zu erreichen, indem es ready-to-use APIs, ready-to-use Toolchains und CRA-Software-Migrationsunterstützung bereitstellt.
3. Security-Monitoring – Sicherheit im Betrieb gewährleisten
Implementierung erfolgt, Aufgabe erledigt? Keineswegs. Auch nach der Auslieferung bleibt Security eine Daueraufgabe. Denn die Hersteller sind verpflichtet, ihre Systeme zu überwachen, Sicherheitsvorfälle zu erkennen, zu bewerten und ihren Kunden sowie den Behörden zu melden. Beim Security Monitoring – dem längsten Abschnitt des Security-Prozesses über die Produktlebensdauer – müssen die OEMs laufend nach potenziellen Schwachstellen Ausschau halten. Weil diese jederzeit entstehen können, ist auch ein lückenloses Vulnerability Management Pflicht. Kommt es zu einem Sicherheitsvorfall (engl.: Incident), müssen die Sicherheitslücken schnell – und ohne Stillstand der Maschine – geschlossen werden.
Lösungsansatz: Auch in der Betriebsphase können sich OEMs beim Thema Security ganz auf die Produktqualität des BODAS Ecosystem verlassen. Das BOSCH Incident Monitoring System fasst die bewährte Infrastruktur mit strukturierten Prozessen zur Bewertung und Meldung von Sicherheitsvorfällen zusammen, die alle CRA-Anforderungen out-of-the-Box abdeckt – einschließlich Incident Management, Vulnerability-Handling und 24x7 Monitoring. Das BOSCH Incident Response Team behält dabei alle Rexroth Systeme rund um die Uhr im Blick, analysiert Alarme und vergleicht die Ergebnisse mit öffentlichen Verwundbarkeitsdatenbanken. Mithilfe der BODAS Over-the-Air-Services (OTA) können OEMs bei Bedarf Patches und Updates effizient, sicher und nachvollziehbar auf einzelne Maschinen und definierte Flottenteile übertragen. Ein nicht unerheblicher Mehrwert: Das nicht-proprietäre Flashing over the Air (FOTA) funktioniert auch mit Drittanbietern von IoT Lösungen (BODAS OTA Partner).
Gemeinsam durchstarten – effizient und sicher
Auch beim Thema Security lohnt sich ein frühzeitiges Handeln. Wer die regulatorische Sicherheit für die gesamte Fahrzeugflotte ordnungsgemäß auf- und umsetzt, sichert sich den Zugang zum EU-Binnenmarkt und verschafft sich dadurch einen klaren Wettbewerbsvorteil. Die gute Nachricht: OEMs müssen die komplexen Anforderungen nicht allein stemmen. Gemeinsam mit Bosch Rexroth, dem regelkonformen BODAS Ecosystem und den erprobten Prozessen von Bosch aus dem Automotive-Sektor meistern sie jede einzelne Projektphase des Security-Lebenszyklus gemäß ISO21434 mit deutlich reduziertem Aufwand: vom Security-Engineering über die Implementierung bis hin zum Monitoring und Incident-Management.
Doch das ist nur ein Aspekt. Denn gemeinsam mit Bosch Rexroth und dem BODAS Ecosystem legen Hersteller mobiler Maschinen die Basis für eine rundum zukunftssichere Fahrzeugflotte. Denn die erprobte und modulare BODAS Plattform hat viel zu bieten: Sie ist offen, um neue Funktionen bedarfsgerecht zu integrieren, skalierbar, um alle Maschinenserien effizient abzusichern, und leicht zugänglich, um schnell, effizient und sicher mit innovativen Maschinen am Markt zu punkten.
Sie sehen Compliance ebenfalls als Hebel für Vertrauen, Marktposition und Zukunftssicherheit? Treffen Sie jetzt die Experten und Mitglieder der myBODAS Community und verschaffen Sie sich einen Wissensvorsprung, oder kontaktieren sie uns direkt bezüglich Safety & Security Consulting.
» Premium Support & Consultancy BODAS
Alle Artikel aus dieser Blogserie "Safety, Security, and AI for Mobile Working Machines":
01. Cybersecurity, funktionale Sicherheit und KI: Worauf es für Off-Highway-Hersteller jetzt ankommt
02. Funktionale Sicherheit: Wie OEMs die Vorgaben von EU-MVO, CRA und AI Act meistern können
03. Cybersecurity: Warum OEMs jetzt handeln müssen
Yves Dasse ist Bosch Cybersecurity Expert und Excellence Owner Software Development in der Business Unit Mobile Solutions bei Bosch Rexroth. Er verfügt über umfassende Erfahrung in der Systementwicklung für Off-Highway-Maschinen und den Automobilbereich.
Wanjing Su ist Software Group Leader in der Business Unit Mobile Solutions bei Bosch Rexroth. Sie verfügt über umfangreiche Erfahrung in Funktionaler Sicherheit, eingebetteter Software und Tool-Softwareentwicklung für Off-Highway-Maschinen.
Martin Sykora ist Leiter Vertrieb für Mobilelektronik bei Bosch Rexroth. Er ist seit über 22 Jahren in der Bosch Gruppe tätig und arbeitet seit über 19 Jahren im Produktfeld der Mobilelektronik. In seiner Position ist Martin mit seinem Team für alle Mobilkunden weltweit der Ansprechpartner für BODAS-basierte Lösungen zur digitalen Transformation von mobilen Arbeitsmaschinen.