Manche Cyberattacken beginnen nicht in einem Rechenzentrum oder durch einen kompromittierten Server. Das Einfallstor kann viel weniger offensichtlich sein: zum Beispiel ein vernetztes Aquarium.
In einem nordamerikanischen Kasino lief alles wie gewohnt. Die Systeme wurden überwacht, die Netze gesichert und Maßnahmen zur Cybersicherheit ergriffen – zumindest dort, wo sie als relevant erachtet wurden. In der Lobby befand sich jedoch ein Aquarium, das mit Sensoren zur Steuerung von Temperatur, Fütterungszyklen und Wasserqualität ausgestattet war. Wie viele Internet-of-Things (IoT)-Geräte war es mit dem lokalen Netzwerk verbunden und übertrug Daten nach außen.
Die Angreifer haben dieses Gerät als Schwachstelle identifiziert. Sie verschafften sich damit Zugang zum Netzwerk, bewegten sich lateral durch die Infrastruktur und gelangten schließlich an sensible Daten. Der Einbruch blieb zunächst unbemerkt, da die Eintrittsstelle nicht als kritisch angesehen wurde.
Was dieses Beispiel so relevant macht, ist nicht, wie ungewöhnlich es ist, sondern wie typisch es geworden ist. In vernetzten Umgebungen treten Schwachstellen oft an Stellen auf, die nie mit Blick auf Cybersicherheit entwickelt wurden. Das gesamte Ausmaß des Schadens wurde nie öffentlich bekannt gegeben.
Wechselnde Angriffsflächen
Der Übergang von isolierten IT-Systemen zu vernetzten Produkten und Ökosystemen hat die Rolle der Cyberssecurity grundlegend verändert. Sie beschränkt sich nicht mehr auf den Schutz interner IT-Systeme, sondern erstreckt sich auf Produkte, Dienstleistungen und ganze Wertschöpfungsketten.
Kunden erwarten sichere Produkte, Geschäftspartner verlangen Transparenz, und die Aufsichtsbehörden machen aus bisher freiwilligen Praktiken zwingende Vorschriften. Infolgedessen hat sich die Cybersecurity von einer operativen zu einer strategischen Angelegenheit entwickelt.
Viele Organisationen unterschätzen immer noch, wie weitreichend diese Anforderungen sind. Die Cybersecurity ist nicht mehr an bestimmte Branchen gebunden. Entscheidend ist vielmehr, ob ein Produkt mit dem Internet verbunden ist und Daten verarbeitet bzw. kommuniziert. In Europa wird dieser Wandel durch den Cyber Resilience Act (CRA) besonders deutlich. Jedes Produkt mit digitalen Elementen, das auf den EU-Markt gebracht wird, fällt wahrscheinlich in den Anwendungsbereich der Richtlinie. Ein vernetztes Haushaltsgerät, ein industrielles Bauteil oder ein digital verbessertes Accessoire können alle den gleichen grundlegenden Erwartungen unterliegen.
Globale Regulierung der Cybersecurity: Fragmentiert, vielschichtig und sich weiterentwickelnd
Blickt man über Europa hinaus, gestaltet sich das globale Bild noch komplexer.
In den Vereinigten Staaten wird die Cybersicherheit weitgehend von Frameworks wie NIST (National Institute of Standards and Technology) geprägt, die zwar Leitlinien vorgeben, aber Raum für Interpretationen lassen. China verfolgt ein weitaus strikteres Modell mit strengen Anforderungen und Zertifizierungssystemen im Rahmen von Vorschriften wie dem Cybersicherheitsgesetz und MLPS 2.0 (Multi-Level Protection Scheme). Andere Regionen, darunter Japan, Südkorea und Indien, entwickeln hybride Ansätze, bei denen gesetzliche Rahmenbedingungen mit Initiativen der Industrie kombiniert werden.
Trotz dieser Unterschiede folgen die meisten Cybersicherheitsvorschriften einer ähnlichen Grundlogik: Sie verlagern die Verantwortung auf das Produkt, erfordern ein strukturiertes Risikomanagement und verlangen zunehmend den Nachweis, dass die Sicherheitsmaßnahmen in der Praxis wirksam sind.
Mehrschichtige Regulierung, geteilte Verantwortung
Gleichzeitig sind die Vorschriften nach einer anderen Dimension strukturiert.
Im Automobilsektor beispielsweise verlangen vertikale Vorschriften wie UNECE R155 und GB 44495 von den Herstellern die Einrichtung und Aufrechterhaltung von Cybersicherheits-Managementsystemen für den gesamten Lebenszyklus des Fahrzeugs, unterstützt durch Normen wie ISO/SAE 21434. Im medizinischen Bereich ist die Cybersicherheit durch die Medizinprodukteverordnung (Medical Device Regulation, MDR) direkt in die Produktsicherheit und die Zulassungsverfahren integriert.
Horizontale Regelungen hingegen gelten sektorübergreifend. Der Cyber Resilience Act definiert grundlegende Anforderungen für vernetzte Produkte, für die es keine strengeren bereichsspezifischen Vorschriften gibt.
In der Praxis überschneiden sich diese Ebenen häufig. Ein Unternehmen muss je nach seinen Produkten und Märkten möglicherweise gleichzeitig branchenspezifische und branchenübergreifende Anforderungen erfüllen.
Wichtig ist, dass diese Anforderungen nicht nur für den Hersteller gelten. Sie erstrecken sich über die gesamte Wertschöpfungskette. Von Lieferanten, Integratoren und Plattformanbietern wird zunehmend erwartet, dass sie unabhängig von ihrer formalen Rolle Nachweise für Cybersicherheitsmaßnahmen erbringen. In der Praxis folgt die Verantwortung für die Cybersecurity dem Produkt, nicht dem Unternehmen.
Von der Einhaltung der Vorschriften zu echter Sicherheit
Als Reaktion auf die zunehmende Regulierung konzentrieren sich viele Unternehmen auf die Einhaltung von Vorschriften – sie definieren Prozesse, erstellen Dokumentationen und erfüllen formale Anforderungen. Dies ist zwar notwendig, bietet aber allein noch keine Sicherheit. Die Dokumentation beschreibt die Absicht, nicht aber das Verhalten des Systems unter realen Bedingungen.
Und das ist das Kernproblem: Cyberangriffe folgen keinen definierten Prozessen. Sie nutzen Schwachstellen aus, die sich aus Komplexität, Integration und unerwarteten Wechselwirkungen ergeben. Systeme können die Vorschriften vollständig einhalten und dennoch anfällig sein, weshalb eine kontinuierliche Validierung unerlässlich ist.
In der Realität sehen sich die Unternehmen mit einer Kombination von Herausforderungen konfrontiert:
- Veraltete Systeme, die nie für die heutige Bedrohungslandschaft konzipiert wurden, aber dennoch weitverbreitet sind und innerhalb ihrer Grenzen gesichert werden müssen
- Wachsende Systemkomplexität, mit Produkten, die über Jahre hinweg weiterentwickelt werden und mehrere Technologien integrieren
- Verteilte Entwicklungs- und Testprozesse über Teams, Zulieferer und internationale Standorte hinweg
- Fragmentierte Sichtbarkeit, mit über verschiedenen Tools und Organisationen verstreuten Ergebnissen
- Hohe Testkosten, insbesondere bei hardwareintensiven Setups oder einmaligen Penetrationstests
- Späte Erkennung von Problemen, wodurch die Behebung von Problemen teuer und schwer durchführbar wird
Eine Plattform wie HydraVision löst diese Herausforderungen, indem sie kontinuierliche, automatisierte und nachvollziehbare Tests ermöglicht. Anstelle von isolierten Prüfungen können Systeme kontinuierlich auf sich entwickelnde Schwachstellen und gesetzliche Anforderungen hin validiert werden.
HydraVision verbindet mehrere Interessengruppen auf der ganzen Welt über eine einheitliche Plattform. Entwicklung, Integration und Validierung finden nicht mehr an einem Ort statt, sondern sind auf Teams, Zulieferer und Partner weltweit verteilt. Damit dies funktioniert, bedarf es eines gemeinsamen Umfelds und einer gemeinsamen Sichtweise, die sicherstellt, dass alle auf der gleichen Grundlage arbeiten.
HydraVision schafft auch Transparenz. Standardisierte Tests sorgen für konsistente und vergleichbare Ergebnisse und geben Unternehmen einen zuverlässigen und überprüfbaren Überblick über ihre Sicherheitslage. Unterstützt wird dies durch eine umfangreiche Testfallbibliothek mit über 100 wiederverwendbaren Vorlagen, die eine praktische Ausgangsbasis für maßgeschneiderte Testszenarien bietet. In der Vergangenheit waren Skalierbarkeit und Kosten für Unternehmen die wichtigsten Faktoren. Hardwarelastige Testaufbauten und einmalige Penetrationstests sind schwer zu skalieren und teuer in der Wartung.
Plattformbasierte Lösungen ermöglichen eine kontinuierliche Validierung zu geringeren Kosten und integrieren Sicherheitstests in den Entwicklungsalltag. Dies unterstützt eine Verlagerung hin zur Behebung von Schwachstellen zu einem früheren Zeitpunkt im Lebenszyklus, was gemeinhin als “Shift left” bezeichnet wird.
Letztendlich wird dadurch die Cybersicherheit von einer reaktiven Maßnahme zu einem verwaltbaren System, das Unternehmen nicht nur in die Lage versetzt, die regulatorischen Erwartungen zu erfüllen, sondern auch die Sicherheit proaktiv als Teil ihrer Gesamtstrategie zu steuern. Mit der Übernahme von dissecto durch dSPACE wird die Flexibilität in der Testausführung noch weiter erhöht. Anwender können ihre Sicherheitstests über HydraVision auf SCALEXIO-HIL- und VEOS-SIL-Umgebungen ausweiten. Diese Kopplung ermöglicht eine konsistente Sicherheitsvalidierung über mehrere Teststufen hinweg, wobei eine einzige Quelle für die Testabsicht und den Nachweis erhalten bleibt.
Komplexität sichtbar machen
Um ein klares Verständnis der Sicherheitslage über Systeme, Produkte und Märkte hinweg zu erlangen, benötigen Entscheidungsträger Sichtbarkeit und Transparenz. HydraVision bietet unterschiedlichen Stakeholdern einen einheitlichen Überblick über ihre Systeme. Statt fragmentierter Erkenntnisse bietet es ein einheitliches Bild des aktuellen Sicherheitsstatus. Die zentrale Sichtbarkeit verringert Reibungsverluste und verbessert die Ausrichtung.
dSPACE MAGAZIN, HERAUSGEGEBEN JULI 2026