Im Dezember 2024 ist der Cyber Resilience Act (CRA) europaweit in Kraft getreten. Spätestens Ende 2027 müssen Unternehmen nachweisen können, dass ihre digitalen Produkte umfassend sicher sind. Das Betriebssystem ctrlX OS von Bosch Rexroth ist laut Pressemitteilung des Herstellers vom 18. März 2025 bereits für die Anforderungen des CRA gerüstet.
Der Cyber Resilience Act verpflichtet Hersteller von Produkten mit digitalen Komponenten, einerseits die Cybersicherheit solcher Produkte zu garantieren, andererseits Schwachstellen so zu behandeln, dass die Cybersicherheit für den gesamten Lebenszyklus sichergestellt ist. Neben einer gründlichen Risikobewertung sind Cyberrisiken bereits im Engineering zu berücksichtigen. Von den Produkten wird verlangt, dass sie standardmäßig sicher und update-fähig konzipiert sind. Laut CRA müssen kritische Sicherheitsvorfälle und für Angriffe genutzte Schwachstellen außerdem binnen 24 Stunden gemeldet und schnell durch Updates behoben werden können.
Steffen Winkler, Vertriebsleiter der Business Unit Automation & Electrification Solutions bei Bosch Rexroth, erklärt: „Der Cyber Resilience Act legt sowohl für Hersteller als auch für Händler verpflichtende Cybersicherheitsanforderungen über den gesamten Produktlebenszyklus hinweg fest – und zwar für alle Produkte, die mit einem anderen Gerät oder Netzwerk verbunden sind. Mit ctrlX OS sind wir bereits jetzt bestens auf die Anforderungen des CRA vorbereitet. Kunden können sich darauf verlassen, dass sie mit unseren Produkten zukunftsfähig aufgestellt sind“.
Das Linux-basierte Betriebssystem ctrlX OS ist das Herzstück der Automatisierungswelt von Bosch Rexroth und der Plattform ctrlX AUTOMATION. ctrlX OS ist „Secure by Design“ und „Secure by Default“ und durch den TÜV Rheinland nach IEC 62443-4-2 Security Level 2 zertifiziert. Daten, die gespeichert, übertragen oder verarbeitet werden, sind geschützt. Die schnelle und zuverlässige Verteilung und Anwendung von Security-Patches geschieht im laufenden, davon unberührten Betrieb.
Das Betriebssystem kann auch von anderen Anbietern auf ihren Automatisierungskomponenten eingesetzt werden. Alle auf ctrlX OS laufenden Geräte – ob von Bosch Rexroth oder Drittanbietern – erfüllen schon jetzt sehr hohe Standards in Bezug auf Cybersicherheit.
Das Linux-Betriebssystem ctrlX OS ist bereit für die Anforderungen des CRA und nach IEC 62443-4-2 zertifiziert. (Bildquelle: Bosch Rexroth AG, mithilfe von KI erstellt)
Die Steuerung ctrlX CORE beispielsweise ist sicher konzipiert. Alle Nutzerzugänge auf den Geräten unterliegen standardmäßig besonders starken Passwortregeln. Bei Bedarf kann das Schutzniveau noch weiter erhöht werden. Regelmäßig werden über einen sicheren Kanal Updates für funktionale Erweiterungen und zur Schwachstellenbehebung bereitgestellt. Der Zugriff auf Daten des Geräts erfordert stets Authentifizierung und Autorisierung.
Im Übrigen lässt sich die Steuerung bei Bedarf durch zusätzliche Sicherheitsanwendungen aus dem ctrlX OS Store erweitern, etwa durch Apps Security Scanner, Firewall und VPN-Client. So können Anwender die Anforderungen des CRA auch für ihre Maschinen erfüllen. Mit der Firewall-App werden Angriffsflächen auf ein Minimum reduziert. Der VPN-Client gewährleistet eine sichere Fernwartung und einen geschützten Gerätezugriff aus externen Netzwerken. Der Zugriff kann, basierend auf dem Maschinenstatus und einer Vor-Ort-Genehmigung, beschränkt werden. Im Rahmen von Maschinenabnahmeprüfungen auf Netzwerkebene ermöglicht der Security Scanner die vollständige Inventarisierung aller Komponenten sowie die Bewertung des Sicherheitsstatus des gesamten Maschinenparks. Potenzielle Angriffsflächen lassen sich so identifizieren und gezielt angehen.
Die Steuerung ctrlX CORE bringt Cybersicherheit sowohl in neue als auch in bestehende Industrieumgebungen. „Um die Anforderungen des CRA zu erfüllen und besonders im Kontext von zunehmenden Cyberangriffen ist es essenziell, auch bestehende Maschinen abzusichern. Die ctrlX CORE kann zusätzlich als Security-Gateway in Automatisierungslösungen mit Hard- und Software von Drittanbietern eingesetzt werden, um diese sicher zu gestalten. Mit der ctrlX CORE können also moderne Cybersicherheitsfunktionen auch in ältere Systeme integriert werden. Das ist im Brownfield-Umfeld ein entscheidender Vorteil“, sagt Winkler.
Darüber hinaus unterstützt Bosch Rexroth Unternehmen mit umfassenden Beratungs- und Serviceleistungen zur Cybersicherheit. Dazu gehören zum Beispiel die Durchführung von Bedrohungsanalyse und Risikobewertung, Security-Scans und Schulungen für den Aufbau von IT-Sicherheitskompetenzen. Gemeinsam mit den Anwendern werden individuelle Cybersicherheitskonzepte entwickelt und umgesetzt.
„Wir richten aktuell konsequent alle Produkte und Leistungen darauf aus, dass Unternehmen die Regularien erfüllen und somit ihre Systeme langfristig sicher und robust gestalten können – nur so sind sie zukunftsfähig“, so Winkler.