Umsetzung von OT-Security-Prozessen deutscher Unternehmen im Kontext des Cyber Resilience Act (CRA) in Zusammenarbeit mit dem CERT@VDE

Thesis type	Master Thesis
Supervisor	Prof. Dr.-Ing. Thomas Schreck
Starting date	As soon as possible
Skills	LaTeX, IT-Security
Language	English, German
Industry cooperation	not possible
Publish date	2025-11-17

Problem and context

Mit dem Inkrafttreten des Cyber Resilience Act (CRA) der Europäischen Union Ende 2027 werden Hersteller und Inverkehrbringer digitaler Produkte verpflichtet, über den gesamten Produktlebenszyklus hinweg ein durchgängiges Schwachstellenmanagement zu betreiben – beginnend mit der Markteinführung bis zum Ende der Produktunterstützung. Dabei ist Meldepflicht für Schwachstellen und Sicherheitsvorfälle bereits für den 11.09.2026 verpflichtend. Der CRA verfolgt das Ziel, ein einheitliches und hohes Cybersecurity-Niveau in der europäischen Digitalwirtschaft zu schaffen. Dadurch sollen insbesondere kritische Infrastrukturen (KRITIS) und Operational-Tech- nology-(OT)-Systeme in Industrie und Medizintechnik besser gegen Cyberangriffe geschützt werden. In Deutschland konkretisiert die Technische Richtlinie BSI TR-03183-3 “Coordinated Vulnerability Disclosure (CVD) Processes” die Anforderungen an den sicheren Umgang mit Schwachstellen. Sie definiert insbesondere die organisatorischen und technischen Prozesse, die zwischen Herstellern, CERTs und CNAs (CVE Numbering Authorities) zur verantwortungsvollen Veröffentlichung von Sicherheitslücken eingehalten werden müssen. Das CERT@VDE als koordinierendes Produkt-CERT für Industrieautomation und embedded SW Systeme ist vom MITRE CVE-Programm als root CNA (CVE Numbering Authority) autorisiert. Es unterstützt insbeson- dere mittelständische Unternehmen bei der Einführung sicherer Schwachstellenmanagement-Prozesse, bei der Koordination von Sicherheitsmeldungen sowie bei der Umsetzung der CRA- und BSI-Anforderungen.

Goals

Wie können OT-Security-Prozesse deutscher Industrieunternehmen in Zusammenarbeit mit dem CERT@VDE als CNA und koordinierndes PSIRT effizient gestaltet und implementiert werden, um die Anforderungen des Cyber Resilience Act (CRA) effizient und wirtschaftlich zu erfüllen?

Im Rahmen dieser Masterarbeit sollen:

die regulatorischen, normativen und technischen Anforderungen des CRA an Hersteller und Betreiber von OT-Systemen systematisch analysiert und aufbereitet werden,
die Schnittstellen, Rollen und Verantwortlichkeiten zwischen Unternehmen, PSIRTs (Product Security Incident Response Teams) und dem CERT@VDE untersucht werden,
ein praxisorientiertes Handbuch zur Umsetzung von Schwachstellenmanagement- und CVD-Prozessen im Kontext des CRA entwickelt werden.

Das Ergebnis der Masterarbeit ist ein praxisorientiertes Handbuch, das die Anforderungen des CRA, der harmoniserten europöischen Normen (HEN) und der BSI TR-03183-3 zusammenföhrt und folgende Aspekte im Detail beschreibt:

Aufbau, Aufgaben und organisatorische Verankerung eines PSIRT (Product Security Incident Response Team),
Kommunikations- und Meldeprozesse zwischen Unternehmen und dem CERT@VDE als CNA,
Erstellung und Veröffentlichung von Security Advisories im CSAF-Format (Common Security Advisory Framework),
Rechte, Pflichten und Verantwortlichkeiten von Partnern des CERT@VDE,
Überblick über die Mission, Services und Unterstützungsangebote des CERT@VDE,
Verhaltenskodex und Anforderungen an die Zusammenarbeit im Rahmen koordinierter Schwachstellenbearbeitung.

Das Handbuch soll als Leitfaden für deutsche Unternehmen dienen, die ihre internen Prozesse zusammen mit dem CERT@VDE an die Anforderungen des CRA und die Vorgaben des BSI anpassen müssen.

Literature

https://www.first.org/standards/frameworks/psirts/psirt_maturity_document
https://digital-strategy.ec.europa.eu/de/policies/cyber-resilience-act
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Technische-Richtlinien/TR-nach-Thema-sortiert/tr03183/TR-03183_node.html
https://docs.oasis-open.org/csaf/csaf/v2.0/os/csaf-v2.0-os.html
Security Journal Ausgabe 138 April 2025