(Foto: © metamorworks, istock)
April 2026
Der Vorstand der gemeinnützigen internationalen Nutzer- und Herstellergemeinschaft CiA (CAN in Automation) hat eine Erklärung zum EU-Cyber Resilience Act (EU CRA) und dessen Auswirkungen auf CAN-Netzwerke veröffentlicht.
Demnach unterliegen Produkte, die CAN verwenden und auf den EU-Märkten in Verkehr gebracht werden, dem Europäischen Cyber Resilience Act (EU CRA), sofern die relevanten Aspekte der Cybersicherheit nicht durch anwendungsspezifische EU-Rechtsvorschriften abgedeckt sind.
In den meisten Fällen könne die erforderliche Risikobewertung eine Selbstbewertung sein, es sei denn, das Produkt werde gemäß der Definition in Anhang III des CRA als kritisch eingestuft, heißt es in der Erklärung weiter.
Der Vorstand der CiA (CAN in Automation) hat eine Erklärung zum EU-Cyber Resilience Act (CRA) und dessen Auswirkungen auf CAN-Netzwerke veröffentlicht:
„Die gemeinnützige internationale Nutzer- und Herstellerorganisation CiA (CAN in Automation) informiert ihre Mitglieder darüber, dass Produkte, die CAN verwenden und auf den EU-Markt gebracht werden, unter das Europäische Cyber Resilience Act (EU CRA) fallen, sofern die relevanten Aspekte der Cybersicherheit nicht durch anwendungsspezifische EU-Rechtsvorschriften abgedeckt sind. In den meisten Fällen kann die erforderliche Risikobewertung eine Selbstbewertung sein, es sei denn, das Produkt wird als kritisch eingestuft (gemäß der Definition in Anhang III des CRA).
Es bleibt abzuwarten, welche zukünftigen Normen die Anforderungen des EU CRA am besten widerspiegeln. Derzeit werden Anbieter von CAN-fähigen Geräten von ihren Kunden aufgefordert, einen bestimmten SL (Sicherheitslevel) gemäß der Normreihe IEC 62443 (Sicherheit für industrielle Automatisierungs- und Steuerungssysteme) einzuhalten.
Die CiA ist zuversichtlich, dass SL 2 für CAN-Netzwerke oft mit minimalem Aufwand erreicht werden kann. Um SL 3 zu erreichen, sind fortgeschrittenere Sicherheitsmaßnahmen erforderlich, die Kryptografie auf CAN-Datenrahmenebene (Datenverbindungsschicht) oder CANopen-Nachrichtenebene (Anwendungsschicht) umfassen. Die CiA geht davon aus, dass CAN-Netzwerke mit eingeschränktem und begrenztem physischem Zugriff in der Regel SL 2 oder niedriger entsprechen und keine zusätzlichen Cybersicherheitsmaßnahmen erfordern. Dies setzt voraus, dass Gateway-Funktionen zu anderen Netzwerken und externen Schnittstellen durch Firewalls geschützt oder unzugänglich gemacht werden (z. B. die JTAG-Schnittstelle, benannt nach der Joint Test Action Group).
Wenn ein eingeschränkter und begrenzter physischer Zugriff schwer durchzusetzen ist, erfordern Cybersicherheitsmaßnahmen nicht unbedingt Kryptografie. Nach Ansicht der CiA ist eine Sicherheitsüberwachungseinheit, die die Kommunikation auf abnormales Verhalten überprüft, Angriffe erkennt und meldet, eine wirksame Sicherheitsmaßnahme, wie in der CRA-Verordnung und der Normenreihe IEC 62443 angegeben. Sie verringert das Gesamtrisiko für unentdeckte Angriffe, wirkt sich positiv auf die Risikobewertung aus und zeigt einen Ansatz der tiefgreifenden Verteidigung.
Wenn Kryptografie erforderlich ist, kann ihre Verwendung auf Kernfunktionen beschränkt werden. Während ein sicherer Software-Update-Mechanismus für die CRA-Konformität obligatorisch sein kann, kann in vielen Fällen die weitere Verwendung von Sicherheitsfunktionen auf die sichere CAN-Knotenauthentifizierung und den Schutz der Gerätekonfiguration (z. B. durch Passwörter) reduziert werden. Solche Kernsicherheitsfunktionen werden derzeit in der CiA SIG (Special Interest Group) HLP (Higher-Layer Protocol) Cybersecurity diskutiert und sollen in die CANopen CC- und CANopen FD-Spezifikationen integriert werden.
Die in ISO 11898-1:2024 standardisierten CAN-Datenverbindungsschichtprotokolle (CC, FD und XL) sowie standardisierte Protokolle höherer Schichten wie CANopen CC/FD (CiA 301/CiA 1301) bieten keine intrinsischen Cybersicherheitsmaßnahmen. Je nach erforderlichem SL können Cybersicherheitsmaßnahmen hinzugefügt werden. Daher müssen Anbieter von CAN-fähigen Geräten, Hersteller von Produkten auf Basis von CAN-Netzwerken und Entwickler von CAN-Netzwerken prüfen, welches SL für die jeweilige Anwendung erforderlich ist.
CiA verfügt über langjährige Erfahrung in der Entwicklung von Sicherheitsmaßnahmen gegen unbeabsichtigten Missbrauch sowie gegen beabsichtigte Manipulation der CANopen-Kommunikation. Dies umfasst auch den unbefugten Zugriff auf CANopen-Geräte und CANopen-Netzwerke. Es gibt Passwortoptionen für den Zugriff auf das CANopen-Objektverzeichnis. Darüber hinaus wird es eine Authentifizierungssignaturoption in CANopen-Nachrichten geben, die angibt, dass diese aus der richtigen Quelle stammen und dass im Falle einer SDO-Übertragung (Service Data Object) die SDO-Segmente zusammengehören und nicht manipuliert wurden.
Einige CANopen-Spezifikationen bieten bereits spezielle Sicherheitsmaßnahmen, z. B. der generische CANopen-Bootloader CiA 710 oder der CANopen-Lift-Bootloader CiA 417-1/CiA 814-1.
Die CRA ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für Produkte mit digitalen Elementen oder Software festlegt. CAN-Schnittstellenimplementierungen umfassen digitale Elemente (Protokollcontroller) und Software (z. B. Protokollstacks höherer Schichten und Anwendungsprogramme). Daher ist eine System- und Anwendungsrisikobewertung erforderlich.
Seit dem 11. Dezember 2024 ist die CRA in Kraft, gilt in allen EU-Mitgliedstaaten und wird schrittweise umgesetzt. Ab dem 11. Juni 2026 können Konformitätsbewertungsstellen (CAB) die Erfüllung der Anforderungen bewerten. Ab dem 11. September 2026 müssen Schwachstellen und Sicherheitsvorfälle innerhalb von 72 Stunden an bestimmte Behörden gemeldet werden. Ende 2027, beginnend am 11. Dezember, müssen alle CRA-Anforderungen erfüllt sein.
Die folgenden CAN-fähigen Produkte fallen nicht unter die CRA: kostenlose Open-Source-Software und gemeinnützige Produkte. Darüber hinaus fallen medizinische Produkte, Fahrzeuge, In-vitro-Diagnostika, zivile Luftfahrt- und Schiffsausrüstung sowie Produkte, die im Zusammenhang mit der nationalen Sicherheit verwendet werden (z. B. militärische Ausrüstung), nicht in den Anwendungsbereich der CRA, wenn spezifische EU-Vorschriften zur Cybersicherheit bestehen.
Gemäß dem OSI-Modell (Open Systems Interconnection) können Sicherheitskontrollen auf jede der sieben Schichten angewendet werden, abhängig vom erforderlichen SL und den zu erwartenden Angriffsszenarien. Dies ist in ISO 7498-2:1989 (Informationsverarbeitungssysteme – Open Systems Interconnection – Basisreferenzmodell – Teil 2: Sicherheitsarchitektur) standardisiert. Für die CAN XL-Datenverbindungsschicht entwickelt die CiA den CANsec®-Ansatz (EU-Marke der CiA), eine in CiA 613-2 (CAN XL-Zusatzdienste – Teil 2: CANsec-Datenebene) spezifizierte Erweiterung für Cybersicherheit.
Weitere Informationen: www.can-cia.org
Digitalpaper
Kommentar schreiben