Cybersicherheit fürs SmartHome Hella: Steuerung Onyx erfüllt bereits EU-Cyber Resilience Act

Mit dem Cyber Resilience Act (CRA) wird digitale Sicherheit ab Ende 2027 zur Voraussetzung für die CE-Kennzeichnung vernetzter Produkte – auch im Sonnenschutz. Wie Hella die neuen Anforderungen mit der Steuerung Onyx bereits heute erfüllt und was das für Fachbetriebe bedeutet.

Die Onyx Steuerung ermöglicht die komfortable Bedienung vernetzter Sonnenschutzsysteme per Smartphone – Cybersicherheit ist dabei Teil der Systemarchitektur. - © Hella

Sobald ein Produkt Funksignale sendet oder per App steuerbar ist, gilt es als vernetzt – das trifft zunehmend auch auf Beschattungssysteme zu. Sicherheitsforscher haben in den vergangenen Jahren wiederholt gezeigt, dass sich Funksysteme von Garagentoren, Autoschlüsseln und SmartHome-Komponenten manipulieren lassen, wenn die Verschlüsselung nicht dem aktuellen Stand der Technik entspricht.

Auch in der Gebäudetechnik sind die Risiken laut Hella real: Wer Anwesenheitsmuster aus Rollladen-Bewegungen auslese oder Beschattungssysteme zur Unzeit ansteuere, könne Schaden anrichten – vom unbemerkten Ausspähen über Sachschäden bis zur Vorbereitung von Einbrüchen. Der Cyber Resilience Act (CRA) sei die regulatorische Antwort auf diese Entwicklung, vergleichbar mit der Wirkung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 auf den Datenschutz: ein einheitlicher europäischer Standard, der Verbraucher und kritische Infrastruktur schütze.

Betroffen von der Verordnung sind insbesondere Funksysteme, Apps und sämtliche digitalen Steuerungslösungen. Nicht-konforme Produkte verlieren künftig ihre CE-Kennzeichnung und dürfen in den 30 Ländern des europäischen Binnenmarkts nicht mehr vertrieben werden. Die Verordnung sieht laut Hella erhebliche Sanktionen vor – einschließlich Haftungs- und Rückrufrisiken sowie Bußgeldern von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.

Security by Design als neue Pflicht

Der CRA verpflichtet Hersteller, Cybersicherheit von Beginn an mitzudenken. Sicherheit muss Teil der Systemarchitektur sein (Security by Design), Voreinstellungen ab Werk müssen entsprechend ausgelegt sein (Security by Default), und Produkte mit digitalen Elementen müssen sich über den gesamten Lebenszyklus aktuell halten lassen. Damit werden Sonnenschutzlösungen mit Steuerungen regulatorisch zu digitalen Produkten. Entscheidend sei künftig nicht nur die mechanische Qualität, sondern auch die Widerstandsfähigkeit gegen Cyberangriffe, so Hella.

"Mit dem Cyber Resilience Act wird die Datensicherheit, die wir seit Jahren für unsere eigene Steuerungsentwicklung als Maßstab definiert haben, zur europäischen Norm", sagt Andreas Kraler, geschäftsführender Gesellschafter der Hella Gruppe. "Sicherheit darf bei vernetzten Sonnenschutzsystemen kein Zusatzfeature sein, sondern muss tief im System verankert sein."

Onyx: Architekturprinzip seit 2008

Mit Onyx setzt Hella seit dem Jahr 2008 auf Security by Architecture. Cybersicherheit sei von Beginn an Bestandteil der Systemarchitektur und kein nachträglich ergänztes Add-on. Ein Vorteil liege in der unternehmenseigenen Entwicklung: Hard- und Software stelle Hella selbst her und entwickle sie laufend weiter. Dadurch ließen sich Sicherheitsanforderungen, Updates und regulatorische Anpassungen unabhängig umsetzen und über den gesamten Produktlebenszyklus sicherstellen.

Die Steuerung verschlüsselt die Kommunikation nach aktuellem Stand der Technik und schützt dem Hersteller zufolge vor sogenannten Replay-Angriffen, bei denen Angreifer aufgezeichnete Funksignale erneut aussenden, um eine berechtigte Aktion vorzutäuschen. Darüber hinaus pflege Hella für Onyx eine Software Bill of Materials (SBOM) – eine vollständige, transparente Dokumentation aller verwendeten Software-Komponenten und Abhängigkeiten, wie sie der CRA künftig verlangt.

Ergänzt werde dies durch einen klar definierten und dokumentierten Update-Mechanismus über den gesamten Produktlebenszyklus sowie durch ein integriertes Schwachstellenmanagement – ein Prozess zur Erkennung, Dokumentation und Behebung von Sicherheitslücken. Für Endkunden ändere sich mit dem CRA nichts an der täglichen Nutzung: Die Systeme blieben einfach bedienbar, erfüllten im Hintergrund aber die geforderten Sicherheitsstandards für vernetzte Produkte.

Countdown bis 2027: Planungssicherheit für Fachbetriebe

Der CRA trat Ende 2024 in Kraft und gilt in vollem Umfang ab Ende 2027 für alle Produkte, die in der EU in Verkehr gebracht werden. Zwei Zwischenfristen sind für die Branche relevant: Bereits ab dem 11. September 2026 müssen Unternehmen erkannte Sicherheitslücken bei der Agentur für Cybersicherheit der Europäischen Union (ENISA) melden. Ab dem 11. Dezember 2027 dürfen am europäischen Binnenmarkt nur noch CRA-konforme Produkte in Verkehr gebracht werden. Eine Übergangsfrist für nicht-konforme Produkte ist nicht vorgesehen.

Hersteller, Importeure, Händler und Fachbetriebe tragen künftig eine durchgängige Verantwortung entlang der Lieferkette und müssen die Konformität eingesetzter Systeme nachweisen. Für den Handel werde die Wahl der Steuerungssysteme damit zu einer rechtlich relevanten und wirtschaftlich risikobehafteten Entscheidung. Planungssicherheit hätten Hersteller und Händler nur, wenn heute gekaufte und verkaufte Systeme auch künftig CE-konform blieben.

"Händler und Planer benötigen jetzt klare Orientierung, damit sie ihre Projekte zukunftssicher auslegen können", betont Kraler. "Genau diese Orientierung möchten wir ihnen frühzeitig geben."