Cybersicherheit in der Chemieindustrie

Immer wieder geraten Chemieunternehmen in das Fadenkreuz von Cyberkriminellen. Im Februar 2025 konnten Hacker Daten des Chemiekonzerns Covestro stehlen. Spektakulärer war ein anderer Angriff bereits 2017: Der Triton-Virus sollte eine saudische Petrochemieanlage lahmlegen. Die Attacke galt einem Steuerungsmodul, das bei Notfällen die Anlage herunterfährt. 2019 hat eine Hackergruppe auch deutsche Unternehmen wie BASF und Henkel ausspioniert. Diese Fälle sind zumindest nachgewiesen. Die Dunkelziffer ist wie immer weit höher.

Für Hacker sind solche Unternehmen besonders lohnende Ziele. Mit Ransomware können sie Systeme infizieren, ganze Anlagen lahmlegen und nur gegen eine hohe Lösegeldzahlung wieder freigeben. Die Verantwortlichen stehen dann unter besonderem Druck, da es nicht nur um wirtschaftliche Einbußen geht, sondern möglicherweise auch Gefahr für Mensch und Umwelt besteht. In einer Forsa-Umfrage gaben 30 % der befragten Chemieunternehmen an, bereits Opfer eines Hackerangriffs geworden zu sein.

Ein Schritt hin zu mehr Sicherheit

Es hat in der Vergangenheit schon mehrere Vorstöße gegeben, um die Gefahren aus der digitalen Welt einzudämmen – auch auf EU-Ebene. Bereits 2019 wurde der Cybersecurity Act verabschiedet, wenig später folgte die Sicherheitsrichtlinie NIS2. Nun markiert der CRA einen weiteren Meilenstein beim Schutz digitaler Infrastrukturen.
Der CRA ist, vereinfacht ausgedrückt, ein Prüfsiegel, das die Sicherheit einer Hard- oder Software bescheinigt. Oder ausführlicher: Vertreiber, Importeure und Hersteller müssen über den gesamten Lebenszyklus ihres Produkts Richtlinien erfüllen und regelmäßig Sicherheitsupdates anbieten. Und zwar bei jeder neuen Version. Insgesamt also eine gute Sache, um gegen Cyberbedrohungen gewappnet zu sein.

Besonders das Thema Open Source hat bei der Entstehung des CRA zu intensiven Diskussionen zwischen Politik, Wirtschaft und Verbänden geführt. Das war auch notwendig, denn Open Source kann bei der Bekämpfung von Cyberkriminalität ein wichtiges Puzzleteil sein. Da sämtliche User den Quellcode einsehen und verändern können, lassen sich mögliche Schwachstellen schnell identifizieren und beheben.

Ursprünglich hätte der erste CRA-Entwurf dazu geführt, dass Open-Source-Entwickler und Stiftungen denselben Verpflichtungen ausgesetzt wären wie kommerzielle Softwareanbieter. Diese Regelung hätte potenziell das Open-Source-Ökosystem in Europa gefährdet, da viele Entwickler sich gezwungen gesehen hätten, eine Nutzung ihrer Software im europäischen Raum zu untersagen.

In der finalen Version des CRA wurde eine differenzierte Lösung gefunden: Die Unterscheidung zwischen kommerzieller und nicht kommerzieller Nutzung wurde geschärft, und mit der Einführung des Begriffs „Open Source Steward“ erhalten nicht kommerzielle Projekte eine regulatorische Sonderstellung mit reduzierten Verpflichtungen. Dies trägt dazu bei, dass Open Source weiterhin eine tragende Rolle in der europäischen Digitalwirtschaft spielen kann. Und muss. In der Expertengruppe zum CRA gehören Open Source und welche Pflichten die Hersteller in der gesamten Lieferkette haben, auch weiterhin zu den Kernthemen.

Es gibt aber noch ungelöste Probleme, mit denen sich die Expertengruppe auseinandersetzen muss – etwa die internationale Abstimmung. Während Europa mit dem CRA einen ambitionierten Weg geht, sind in anderen Teilen der Welt vergleichbare Regulierungen noch nicht auf demselben Niveau. Dies könnte dazu führen, dass europäische Unternehmen im globalen Wettbewerb benachteiligt werden, während außereuropäische Anbieter weniger strenge Sicherheitsauflagen erfüllen müssen. Eine enge Zusammenarbeit mit anderen Wirtschaftsräumen bleibt für die Expertengruppe daher enorm wichtig.

Eine längere Diskussion gab es auch beim Thema Risikobewertung. Ein Punkt, der vor allem in vielen kleineren und mittleren Unternehmen bisher oft nur eine untergeordnete Rolle gespielt hat. Welche Szenarien und Leitlinien zu berücksichtigen sind, ist vielerorts nicht klar. Manche Teilnehmer der Expertengruppe sprachen sich für minimale Vorgaben aus, um das Thema nicht zu kompliziert zu gestalten. Andere sprachen sich für Anleitungen von der Kommission aus, damit Unternehmen einen Fahrplan an der Hand haben. Letztere Variante dürfte vor allem für kleine Unternehmen hilfreich sein. Doch auch jetzt sollten sich alle Marktteilnehmer bereits damit auseinandersetzen. Die Zeit drängt.

Empfehlungen für Unternehmen

Unternehmen haben eine Übergangsfrist bis Dezember 2027, um sich auf die neuen regulatorischen Anforderungen einzustellen. Ab September 2026 greift sogar schon die Berichtspflicht, etwa bei Vorfällen oder Schwachstellen – viel Zeit bleibt also nicht. Vor allem, weil die Umstellung eine sorgfältige Analyse der eigenen Prozesse und Systeme erfordert. Wer bisher keine systematische Dokumentation seiner Softwareentwicklungs- und Sicherheitspraktiken vorgenommen hat, muss damit beginnen, eine lückenlose Nachweisführung zu etablieren.

Unternehmen in der Chemie- und Prozessindustrie müssen ihre bestehenden Systeme und Komponenten überprüfen, um sicherzustellen, dass sie den neuen Anforderungen entsprechen. Dies kann Investitionen in die Aktualisierung oder den Austausch nicht konformer Systeme erfordern. Es gilt detailliert zu erfassen, welche Softwarekomponenten und Drittanbieterlösungen im Einsatz sind und welche Sicherheitsmaßnahmen implementiert wurden.

Ein funktionierendes Schwachstellenmanagement ist essenziell. Unternehmen müssen in der Lage sein, Bedrohungen frühzeitig zu identifizieren und angemessen darauf zu reagieren. Dazu gehört auch eine umfassende Transparenz über die gesamte Softwarelieferkette hinweg. Woher stammen genutzte Code-Komponenten? Welche potenziellen Risiken bergen sie? Nur wer diese Fragen klar beantworten kann, wird langfristig regulatorische Sicherheit gewährleisten können.

Die Umsetzung darf nicht aufgeschoben werden. Eine schrittweise Integration der neuen Vorgaben sollte sofort angegangen werden, um Nachholbedarf kurz vor der Frist zu vermeiden und Compliance-Prozesse nachhaltig zu verankern. Unternehmen in der Chemie- und Prozessindustrie sollten proaktiv Maßnahmen ergreifen, um die Einhaltung des CRA sicherzustellen. Dazu gehören die Bewertung der aktuellen Cybersicherheitspraktiken, die Schulung von Mitarbeitern und die enge Zusammenarbeit mit Lieferanten und Herstellern, um die Konformität aller eingesetzten digitalen Produkte zu gewährleisten. So kann der Cyber Resilience Act zu einem weiteren wichtigen Baustein werden, um die Cybersicherheit zu erhöhen.