LOADING…

Herholdt’s Lab Log · Mai 14 2026

Cybersecurity eines Industriezählers: Was sich bis Dezember 2027 ändert

Ein Energiezähler ist nicht länger nur ein Gerät. Er ist ein Knoten.

Er hat eine IP-Adresse, stellt einen Modbus-Port bereit, akzeptiert Firmware-Updates, synchronisiert seine Uhr mit einem Netzwerkserver und teilt Logs mit SCADA-Plattformen oder cloudbasierten Energiemanagementsystemen. Alles, was ihn nützlich macht, macht ihn auch angreifbar.

Über Jahre hinweg wurde die Sicherheit eines Industriezählers als separates Thema behandelt: zuständig war der IT-Verantwortliche des Endkunden, getrennt von den technischen Anforderungen in OEM-Spezifikationen. In den letzten achtzehn Monaten ist diese Trennung verschwunden. Das Cyberrisiko ist in den Produktperimeter eingetreten. Für Unternehmen, die Industriezähler in Europa entwickeln, bauen und verkaufen, hat der regulatorische Rahmen 2024–2027 die Fristen bereits festgelegt.

Das Risiko hat seine Natur verändert

Das europäische verarbeitende Gewerbe gehört seit Jahren zu den drei am stärksten von registrierten Cybervorfällen betroffenen Sektoren, neben Finanzwesen und Energie. Was sich in den letzten zwei Jahren verändert hat, ist die Art des Risikos.

Es handelt sich nicht mehr überwiegend um opportunistische Ransomware-Angriffe auf die IT-Systeme von Unternehmen. Diese gibt es weiterhin, sie sind aber zum Hintergrundrauschen geworden. Das strukturelle Risiko liegt heute in der Lieferkette: Der Angreifer zielt nicht mehr nur auf das Endziel, sondern auf einen Zulieferer in der Kette, weil er von dort aus Hunderte oder Tausende installierter Systeme erreichen kann.

Diese Neudefinition wurde in den letzten achtzehn Monaten durch den Effekt generativer künstlicher Intelligenz auf die Angriffsskalierung überlagert. Werkzeuge, die bis 2023 einen qualifizierten menschlichen Angreifer erforderten — Fuzzing von Netzwerk-Parsern, Generierung von Payload-Varianten, automatische Suche nach Schwachstellen in proprietärer Firmware — sind heute auch für durchschnittliche Angreifer wirtschaftlich zugänglich. Nicht die Raffinesse des einzelnen Angriffs hat sich verändert; verändert hat sich die Häufigkeit, mit der ein vernetztes Gerät im laufenden Betrieb tatsächlich sondiert wird.

Für einen OEM-Hersteller von Zählern bedeutet das zwei operative Tatsachen. Erstens ist die eigene Sicherheitsreife des Unternehmens zu einem Kriterium der Lieferantenqualifizierung geworden: Versorgungsunternehmen, Betreiber von Rechenzentren und EVSE-Integratoren nehmen heute eine formale Bewertung der Cybermaturität des Herstellers in ihren Onboarding-Prozess auf. Zweitens ist das Produkt selbst zu einem potenziellen Angriffsvektor in Richtung Kunde geworden: Eine Schwachstelle in der Firmware eines Zählers, der in fünftausend Ladestationen installiert ist, ist kein reines Firmware-Thema; sie bedeutet operative Exponierung für fünftausend Übergabepunkte. Die Verantwortung — technisch, vertraglich und inzwischen regulatorisch — fällt auf den Hersteller zurück.

Drei Regelwerke, drei Fristen, eine Richtung

Europa hat in den letzten achtzehn Monaten den weltweit strukturiertesten regulatorischen Rahmen für die Sicherheit digitaler Produkte veröffentlicht. Für Hersteller von Industriezählern konvergieren drei relevante Quellen.

Der Cyber Resilience Act (EU-Verordnung 2024/2847) ist am 10. Dezember 2024 in Kraft getreten. Er gilt für jedes Produkt mit digitalen Elementen, das auf dem EU-Markt in Verkehr gebracht wird: Vernetzte Zähler fallen eindeutig darunter. Der operative Kalender steht bereits fest. Ab dem 11. September 2026 müssen aktiv ausgenutzte Schwachstellen dem nationalen koordinierenden CSIRT und der ENISA mit einer Frühwarnung binnen 24 Stunden, Details binnen 72 Stunden und einem Abschlussbericht binnen 14 Tagen nach Veröffentlichung des Patches gemeldet werden. Ab dem 11. Dezember 2027 wird die gesamte Verordnung vollständig anwendbar: Jedes in Verkehr gebrachte Produkt muss konform sein. Die Sanktionen reichen bis zu 2.5 % des weltweiten Umsatzes — ein Parameter, der die Risikokalkulation auch für diejenigen verändert, die Cybersicherheit traditionell als nachrangigen Budgetposten behandelt haben.

Die RED 2014/53/EU (Funkanlagenrichtlinie) hat ihre Frist bereits am 1. August 2025 erreicht. Für jedes Gerät mit Funkschnittstelle (Wi-Fi, Bluetooth, Mobilfunk), das auf dem europäischen Markt in Verkehr gebracht wird, schreiben die Artikel 3.3(d), 3.3(e) und 3.3(f) spezifische Cybersecurity-Anforderungen vor. Der harmonisierte Standard für die Konformität ist EN 18031 in drei Teilen: 18031-1 zum Schutz des Netzwerks, 18031-2 zum Schutz personenbezogener Daten und der Privatsphäre, 18031-3 zum Schutz vor Finanzbetrug. Für einen OEM, der Zähler mit Wi-Fi oder Mobilfunk verkauft, ist RED keine Perspektive: Sie ist bereits eine gesetzliche Anforderung für die CE-Kennzeichnung.

IEC 62443 ist der internationale technische Standard für die Sicherheit industrieller Automatisierungssysteme. Teil 4-1 definiert Prozessanforderungen für die sichere Produktentwicklung (Security Development Lifecycle). Teil 4-2 definiert die technischen Anforderungen an einzelne Komponenten: Authentifizierung, Integrität, Vertraulichkeit, Verwaltung von Zugangsdaten, Schutz von Schnittstellen. In Europa ist er gesetzlich nicht verpflichtend. Er ist jedoch das technische Vokabular, in dem die Entwürfe der harmonisierten Standards zum CRA (deren Veröffentlichung im vierten Quartal 2026 erwartet wird) verfasst werden. Wer heute seinen Produktentwicklungsprozess an IEC 62443-4-1 und seine Produkte an 62443-4-2 ausrichtet, antizipiert nicht lediglich eine Best Practice: Er richtet sich im Voraus an dem Text aus, der achtzehn Monate später verpflichtend wird.

Was zwischen September 2026 und Dezember 2027 mit dem Markt geschehen wird

Der Markt für vernetzte Industrieprodukte befindet sich heute in einer asymmetrischen Lage, die diese Fristen nicht überstehen wird.

Ein großer Teil der heute in Europa installierten Industriezähler wurde unter einer Annahme entwickelt, die damals nicht unvernünftig war: Cybersicherheit ist eine Funktion, die am Netzwerkperimeter des Kunden konfiguriert wird, nicht ein Merkmal, das in die Firmware des einzelnen Geräts eingebettet sein muss. Unsigned Bootloader, unverschlüsselte Firmware-Images, Provisioning-Zugangsdaten, die zwischen Geräten geteilt werden, Netzwerkkommunikation im Klartext, kein formaler Kanal zur Offenlegung von Schwachstellen: Das waren bis 2022 weit verbreitete Designpraktiken und sie sind im weiterhin kommerziell aktiven Produktbestand noch immer häufig.

Das operative Problem für Hersteller in dieser Situation besteht darin, dass der CRA nicht nur für neue Produkte gilt. Er gilt für jedes Produkt, das nach Dezember 2027 in Verkehr gebracht wird, einschließlich seit Jahren etablierter Produkte, die weiterhin in laufender Produktion sind. Hardware und Firmware einer etablierten Produktlinie so zu verändern, dass sie konform wird, ist keine marginale technische Übung: Es betrifft die Stückliste, den Produktionsprozess, die Kundenverträge, in denen genau dieses Produkt spezifiziert wurde, und bereits gefertigte Bestände.

Eine spezifische Sorge betrifft den in der Industrie am weitesten verbreiteten Feldbus: Modbus. Hunderttausende Geräte in Energiemanagement-, Gebäudeautomations- und Prozessleitsystemen kommunizieren heute über Modbus RTU auf RS-485 oder Modbus TCP über Ethernet. Das in den 1970er-Jahren entstandene Protokoll sieht nativ weder Authentifizierung noch Verschlüsselung vor. Die Erfüllung der CRA-Anforderungen an einem Modbus-Knoten erfordert entweder die Einführung von Modbus Secure (eine neue Erweiterung, die in installierten Geräten noch kaum verbreitet ist) oder die Kapselung des Datenverkehrs in einem auf Anwendungsebene verwalteten TLS-Kanal. In beiden Fällen handelt es sich um eine erhebliche Änderung, die sich nicht mit einem Firmware-Update lösen lässt.

Der Markt scheint auf diese Übergangsphase weitgehend unvorbereitet zu sein. Die Gründe sind vorhersehbar: Der Horizont Dezember 2027 wirkt in der kommerziellen Planung weit entfernt; die für Q4 2026 erwarteten Entwürfe harmonisierter Standards nähren die Überzeugung, man könne abwarten; die CRA-Zertifizierung für Produkte der wichtigen Klasse wird eine Benannte Stelle erfordern (die Mitgliedstaaten müssen diese bis zum 11. Juni 2026 benennen), und die europäische Kapazität für Drittbewertungen ist derzeit begrenzt. Wer den Weg Mitte 2026 beginnt, wird Warteschlangen, lange Vorlaufzeiten und steigende Kosten vorfinden.

Was es heute bedeutet, ein vorbereiteter Lieferant zu sein

Heute an zukünftiger Konformität zu arbeiten bedeutet, auf Produkt und Prozess die beiden Standards anzuwenden, die den technischen Inhalt der harmonisierten CRA-Normen im Wesentlichen vorwegnehmen: IEC 62443-4-1 für den Entwicklungszyklus, IEC 62443-4-2 für die Produktanforderungen.

Eine Gap-Analyse nach 62443-4-1 und 4-2 liefert heute zwei strategisch wertvolle Ergebnisse: Sie zeigt, wo ein Produkt bereits mit dem Text übereinstimmt, der 2027 verpflichtend wird, und sie identifiziert präzise, welche Maßnahmen noch erforderlich sind, solange Zeit für ihre Planung bleibt.

Herholdt Controls führt diese Analyse an seinen Produkten und Entwicklungsprozessen durch, im kontinuierlichen Dialog mit Benannten Stellen, die an der Konformitätsbewertung teilnehmen werden, sobald die Mitgliedstaaten die für Juni 2026 vorgesehenen Benennungen abgeschlossen haben. Das ist keine Marketingposition: Es ist der Arbeitskalender, den die Konvergenz von CRA, RED und der Weiterentwicklung der harmonisierten Normen jedem auferlegt, der nach Dezember 2027 weiterhin vernetzte Produkte auf dem europäischen Markt liefern will.

Sicherheit beginnt nicht in der Werkstatt

Ein sicheres Produkt zu bauen ist nicht nur eine Frage der Produktarchitektur. Es ist eine Frage der Architektur der Organisation, die es baut.

Firmware ist genau dann sicher, wenn die Chain of Custody vom Code bis zum installierten Binärartefakt sicher ist: wer auf den Quellcode zugreift, wer das freigegebene Binärartefakt signieren darf, wo Signaturschlüssel verwahrt werden, wie privilegierte Zugriffe auf das Entwicklungsnetzwerk verwaltet werden, wie Anomalien nachverfolgt und gemeldet werden, wie Build-Artefakte über die Lebensdauer des Produkts hinweg aufbewahrt werden. Wenn eines dieser Glieder bricht, kann das resultierende Produkt technisch einwandfrei und dennoch substanziell kompromittiert sein.

Deshalb verlangt der europäische regulatorische Rahmen nicht nur technische Anforderungen an das Produkt. Er verlangt vom Hersteller den Nachweis, dass ein strukturiertes internes Informationssicherheitsmanagementsystem existiert: Zugriffskontrolle, Datenklassifizierung, Lieferantenmanagement, Reaktion auf Sicherheitsvorfälle, regelmäßige Audits, kontinuierliche Verbesserung. Fachleute erkennen das Vokabular: Es ist die Sprache international zertifizierbarer Managementsysteme, heute eine implizite Voraussetzung für Unternehmen, die in kritischen Lieferketten tätig sind.

Ein seriöser Lieferant eines Produkts, das in vernetzte Infrastrukturen integriert werden soll, kann sich nicht darauf beschränken, einen sicheren Zähler zu bauen. Er muss ihn innerhalb einer Organisation bauen, die dieselben disziplinierten Prinzipien auf sich selbst anwendet. Diese Arbeit sieht man nicht im Datenblatt, aber man sieht sie in der Due Diligence; und sie wird in den Lastenheften von Kunden sichtbar, die unter NIS2 reguliert sind und aufgrund eigener Pflichten ihre kritischen Lieferanten nach formalen Kriterien der Cybersecurity Posture qualifizieren müssen.

Workflow des Produktmanagers für die RED-Konformität.

Ein konkreter Schritt: M3PRO IP+ und RED-2014/53-Konformität

Auf der The Smarter E Europe (München, 23. bis 25. Juni 2026) werden wir den M3PRO IP+ vorstellen, eine Weiterentwicklung der Produktlinie mit kabelgebundener Netzwerkschnittstelle, der optional Wi-Fi-Konnektivität hinzugefügt wurde. Die Integration von Wi-Fi löst für das Produkt die Anwendbarkeit der Richtlinie RED 2014/53/EU aus.

M3PRO 80 IP+ MID.

In diesen Wochen schließen wir das Zertifizierungsverfahren für das Produkt gemäß Artikel 3.3(d) der RED 2014/53/EU in Konformität mit dem harmonisierten Standard EN 18031-1. Der Prozess umfasst die Überprüfung des Firmware-Codes, die Bewertung der Robustheit der Komponenten und Penetrationstests, die mit Methoden nach dem Stand der Technik in einem akkreditierten Labor durchgeführt werden. Der M3PRO IP+ ist das erste Produkt der Herholdt Controls Linie, das diesen Weg vollständig abschließt.

Aus Sicht eines OEM oder Integrators, der das Produkt in seinen Systemen spezifiziert, liegt der Wert dieser Zertifizierung nicht im CE-Zeichen an sich (die RED-Kennzeichnung ist für jedes drahtlose Produkt, das auf dem europäischen Markt in Verkehr gebracht wird, bereits seit dem 1. August 2025 verpflichtend). Der Wert liegt in der dokumentierten Prozessspur: technische Datei nach EN 18031-1, Prüfberichte des Labors, Nachweise der Penetrationstests. Genau diese Art von Dokumentation wird in achtzehn Monaten unter dem CRA deutlich strenger gefordert werden und unterscheidet heute einen bereits vorbereiteten Lieferanten von einem, der sie erst aufbauen muss, während der Kalender enger wird.

Was das für einen OEM bedeutet

Für einen OEM, der heute eine Spezifikation für einen Zähler schreibt, der für eine vernetzte Anwendung bestimmt ist, sind die technischen Fragen an den Lieferanten keine Anlage mehr. Sie bilden den Kern der Bewertung.

  • Ist das Produkt nach IEC 62443-4-1 (Entwicklungsprozess) und 62443-4-2 (technische Produktanforderungen) zertifiziert oder selbstdeklariert konform? Ist die Dokumentation des Security Development Lifecycle in der Qualifizierungsphase verfügbar?
  • Für Produkte mit Funkschnittstelle: Ist die Konformität mit RED 2014/53 (Artikel 3.3 d/e/f) nach EN 18031 zertifiziert, nach welchem spezifischen Teil und durch welche Benannte Stelle?
  • Implementiert der Bootloader Secure Boot mit kryptografischer Signatur der Anwendungsfirmware? Werden die Signaturschlüssel in einem HSM oder einem physischen Secure Element verwaltet, und wo physisch?
  • Gibt es eine Software Bill of Materials, die automatisch als Build-Artefakt erzeugt und bei jedem Release aktualisiert wird?
  • · Bietet der Lieferant einen Kanal für Coordinated Vulnerability Disclosure, der mit dem CRA-Entwurf konform ist? Wie sieht der erklärte Patch-Management-Prozess aus? Sind die Meldefristen an das CSIRT (24h Frühwarnung, 72h Meldung, 14 Tage nach Patch) in den internen Prozess integriert?
  • Für wie viele Jahre nach dem letzten Verkauf garantiert der Lieferant Sicherheitsunterstützung? Wie werden Updates an bereits im Feld installierte Flotten verteilt, und mit welchen Integritätsgarantien?
  • Arbeitet der Lieferant innerhalb eines Informationssicherheitsmanagementsystems, das nach anerkannten internationalen Standards strukturiert ist?

Ein Lieferant, der diese Fragen mit derselben Struktur beantwortet — regulatorischer Verweis, technischer Nachweis, dokumentierter Prozess, zeitlicher Horizont —, hat die Arbeit geleistet. Ein Lieferant, der mit allgemeinen Grundsatzversprechen antwortet, erklärt eine Konformität, die er erst nach Vertragsunterzeichnung aufbauen muss, in einem Markt, in dem die Kapazität für Drittbewertungen zwischen 2026 und 2027 begrenzt und überlastet sein wird.

Achtzehn Monate vor der vollständigen Anwendbarkeit des Cyber Resilience Act ist Cybersecurity für einen Industriezähler kein optionales Attribut mehr. Sie ist, für Produkt und Organisation, zur Trennlinie geworden zwischen denjenigen, die weiterhin auf europäischen Märkten tätig sein werden, und denen, die es nicht sein werden.

Kontaktieren Sie unser Team für weitere Informationen

Verwandte Artikel

Mai 21 2026
Unternehmens-Cybersecurity: Was es für einen Hersteller elektrischer Ausrüstungen bedeutet, eine wichtige Einrichtung nach NIS2 zu sein

Unternehmens-Cybersecurity: Was es für einen Hersteller elektrischer Ausrüstungen bedeutet, eine wichtige Einrichtung nach NIS2 zu sein
Mai 7 2026
Die Firmware-Architektur eines Zählers: vier Ebenen der Customization, ein einziges Wort für alles

Die Firmware-Architektur eines Zählers: vier Ebenen der Customization, ein einziges Wort für alles
Apr. 30 2026
DC- und bidirektionale Messung in Energiezählern: wo die von AC geerbte Architektur bricht

DC- und bidirektionale Messung in Energiezählern: wo die von AC geerbte Architektur bricht
Apr. 23 2026
Stromsensoren in Energiezählern: Shunt, Stromwandler, Rogowski-Spule, Hall-Effekt. Warum das Mess-Front-End das gesamte Projekt definiert

Stromsensoren in Energiezählern: Shunt, Stromwandler, Rogowski-Spule, Hall-Effekt. Warum das Mess-Front-End das gesamte Projekt definiert
Apr. 16 2026
Thermisches Management im Energiezählerdesign: Warum Ihr Messelement zugleich Ihre größte Wärmequelle ist

Thermisches Management im Energiezählerdesign: Warum Ihr Messelement zugleich Ihre größte Wärmequelle ist
Apr. 9 2026
EMV-Konformität bei Energiezählern: das unsichtbare Problem, das Projekte scheitern lässt

EMV-Konformität bei Energiezählern: das unsichtbare Problem, das Projekte scheitern lässt
Alle Neuigkeiten lesen

Kontakt aufnehmen

Ob Sie eine technische Frage haben, Unterstützung für ein spezifisches Projekt benötigen oder an einer Partnerschaft für eine maßgeschneiderte Lösung interessiert sind – wir freuen uns darauf, von Ihnen zu hören.

Möchten Sie Teil unseres Teams werden? Hier klicken ↗