Sichere Produktentwicklung für den EU Cyber Resilience Act und IEC 62443

Die Herausforderung für Produktteams

Viele Unternehmen, die vernetzte oder softwarebasierte Produkte entwickeln, wissen, dass sich die Anforderungen an Produktsicherheit grundlegend verändern.

Frameworks wie ISA/IEC 62443 und Regularien wie der EU Cyber Resilience Act (CRA) verlangen, dass Sicherheit über den gesamten Produktlebenszyklus integriert wird: von Design und Entwicklung bis hin zu Schwachstellenbehandlung und Updates.

Die Übersetzung dieser Anforderungen in konkrete Engineering-Maßnahmen ist jedoch oft schwierig.

Produktteams stehen dabei häufig vor Fragen wie:

• Wie integrieren wir Sicherheitsanforderungen in einen bestehenden Entwicklungsprozess?

• Was bedeutet Secure-by-Design konkret für unsere Architektur und unseren Backlog?

• Wie leiten wir aus den Anforderungen der IEC 62443 spezifische Entwicklungsaktivitäten ab?

• Wie bereiten wir unsere Produkte auf CRA-Konformität vor, ohne die Entwicklungsteams zu belasten?

• Welche Nachweise erwarten Behörden oder Kunden?

Sicherheitsstandards und -regularien beschreiben selten, wie Entwicklungsteams die Anforderungen tatsächlich umsetzen sollen.

Das führt in der Praxis häufig dazu, dass:

• Sicherheitsanforderungen im Entwicklungsalltag schwer anwendbar sind,

• Compliance-Initiativen losgelöst von den Engineering-Teams entstehen,

• Unsicherheit darüber besteht, ob die umgesetzten Maßnahmen einem Audit oder einer regulatorischen Prüfung standhalten.

Wie ich Produktteams unterstütze

Meine Arbeit richtet sich an Produktorganisationen, die die Sicherheit ihrer software- oder verbindungsbasierten Produkte stärken und sich auf steigende regulatorische Anforderungen wie den EU Cyber Resilience Act vorbereiten wollen.

Der Schwerpunkt liegt darauf, Sicherheitsstandards und regulatorische Anforderungen in praxistaugliche Engineering-Aktivitäten zu übersetzen, die in bestehende Entwicklungsprozesse passen.

Typische Einsatzgebiete umfassen unter anderem folgende Bereiche.

CRA-Readiness und Produktscoping

Die Vorbereitung auf den EU Cyber Resilience Act erfordert mehr als nur Dokumentation. Sie beginnt damit zu verstehen, welche Produkte in den Geltungsbereich fallen und wie die bestehende Entwicklungspraxis mit den regulatorischen Anforderungen übereinstimmt.

Ich unterstütze Organisationen dabei:

• zu bestimmen, welche Produkte unter den CRA-Geltungsbereich fallen,

• bestehende Entwicklungs- und Sicherheitspraktiken gegen die CRA-Anforderungen zu bewerten,

• eine strukturierte Gap-Analyse durchzuführen,

• einen realistischen Umsetzungsplan für die Engineering-Teams zu erarbeiten.

Ziel ist ein klarer, priorisierter Weg zur CRA-Readiness, ohne die laufende Produktentwicklung zu unterbrechen.

Secure Development Lifecycle
(Secure-by-Design)

Secure-by-Design bedeutet, Sicherheit von den frühesten Phasen des Produktdesigns an in den Entwicklungsprozess zu integrieren.

Ich arbeite gemeinsam mit Entwicklungs- und Architekturteams daran, Sicherheit in bestehende Engineering-Abläufe einzubetten:

• strukturiertes Threat Modeling in Architektur und Design,

• Ableitung von Sicherheitsanforderungen auf Basis von Risikoanalysen,

• Integration von Sicherheit in Entwicklungsprozesse und Design-Reviews,

• Unterstützung bei der Umsetzung sicherer Entwicklungspraktiken.

Der Fokus liegt dabei immer auf Lösungen, die für Engineering-Teams praktisch handhabbar sind, nicht in abstrakten Rahmenwerken.

IEC 62443-Implementierung für die Produktentwicklung

Für Hersteller vernetzter oder industrieller Produkte bietet die ISA/IEC 62443 eine strukturierte Grundlage für sichere Produktentwicklung.

Ich helfe Produktorganisationen dabei, diese Anforderungen in konkrete Entwicklungsaktivitäten zu überführen:

• Gap-Analyse gegen IEC 62443-4-1 und 62443-4-2,

• Definition von Entwicklungslebenszykluspraktiken gemäß 62443-4-1,

• Ableitung technischer Sicherheitsanforderungen aus 62443-4-2,

• Unterstützung bei Umsetzung und Dokumentation von Sicherheitsmaßnahmen.

So können Produktorganisationen ihre Entwicklungsprozesse an anerkannte Sicherheitsstandards angleichen ohne die Engineering-Arbeit unnötig zu belasten.

Produktsicherheits-architektur und Risikoanalyse

Architekturentscheidungen, die früh in der Entwicklung getroffen werden, bestimmen häufig die Widerstandsfähigkeit eines Produkts über seinen gesamten Lebenszyklus.

Ich unterstütze Produkt- und Architekturteams bei:

• Sicherheitsarchitektur-Reviews,

• strukturierter Bedrohungs- und Risikoanalyse,

• Definition von Sicherheitskonzepten und Schutzmaßnahmen,

• Abstimmung von Architekturentscheidungen mit Sicherheitsanforderungen und Compliance-Erwartungen.

Damit wird sichergestellt, dass Sicherheit von Anfang an in die Produktarchitektur eingebaut wird und nicht nachträglich ergänzt werden muss.

Typische Situationen, in denen Organisationen mich hinzuziehen

Anfragen kommen häufig dann, wenn Fragen wie diese offen sind:

• Ein Produktteam muss sich auf den EU Cyber Resilience Act vorbereiten, weiß aber nicht, wo es anfangen soll.

• Entwicklungsprozesse sind vorhanden, aber es ist unklar, ob sie den Anforderungen von IEC 62443 oder CRA genügen.

• Sicherheitsanforderungen existieren auf hohem Niveau, aber die Teams haben Schwierigkeiten, sie in konkrete Engineering-Aufgaben zu übersetzen.

• Produktarchitekten benötigen Unterstützung dabei, Sicherheit in eine bestehende Architektur zu integrieren, ohne den Entwicklungsbetrieb zu beeinträchtigen.

• Ein Unternehmen möchte strukturiertes Threat Modeling und Secure-by-Design-Praktiken in seinen Entwicklungsprozess einführen.

In diesen Situationen arbeite ich eng mit Produktmanagern, Architekten und Entwicklungsteams zusammen, um Sicherheitsanforderungen in konkrete Entwicklungsaktivitäten und technische Entscheidungen zu überführen.

Engagements sind in der Regel beratender oder projektbezogener Natur und können von kurzen Assessments bis zur längerfristigen Begleitung bei der Umsetzung reichen.

Ich bin in Brasilien ansässig und arbeite in der Regel remote mit Produktorganisationen in Europa, mit gelegentlichen Vor-Ort-Terminen, wo sinnvoll.

Warum mit mir arbeiten

Brücke zwischen Engineering und Sicherheit

Mein Hintergrund verbindet mehr als 15 Jahre Erfahrung in Softwareentwicklung und
-architektur mit fundierter Cybersecurity-Expertise.

Das ermöglicht mir, direkt mit Entwicklungs- und Architekturteams zu arbeiten und Sicherheitsanforderungen in praxistaugliche Engineering-Entscheidungen zu übersetzen.

Fokus auf Umsetzung, nicht auf Theorie

Sicherheitsframeworks und regulatorische Anforderungen bleiben oft abstrakt.

Mein Schwerpunkt liegt darauf, diese Erwartungen in konkrete Entwicklungsaktivitäten, technische Anforderungen und überprüfbare Umsetzungsschritte zu überführen, passend zu bestehenden Engineering-Prozessen.

Pragmatische Zusammenarbeit mit Produktteams

Erfolgreiche Produktsicherheit lässt sich nicht von außen verordnen.

Ich arbeite eng mit Produktmanagern, Architekten und Entwicklungsteams zusammen, um Sicherheitspraktiken so zu integrieren, dass sie die Produktentwicklung unterstützen und nicht bremsen.

Über mich

Ich bin Cybersecurity-Spezialist mit Fokus auf sichere Produktentwicklung für softwarebasierte und vernetzte Produkte.

Meine Arbeit konzentriert sich darauf, Produktorganisationen dabei zu helfen, Sicherheit direkt in ihren Entwicklungsprozess zu integrieren, von Threat Modeling und Sicherheitsarchitektur bis hin zu strukturierten Secure-by-Design-Entwicklungspraktiken.

Ein zentraler Teil meiner Arbeit ist die Übersetzung von Sicherheitsstandards und regulatorischen Anforderungen wie ISA/IEC 62443 und dem EU Cyber Resilience Act in konkrete Engineering-Aktivitäten, die Entwicklungsteams realistisch umsetzen können.

Berufliche Erfahrung

Recent roles include:

• Product and Solution Security Expert — Siemens AG
  Verantwortlich für Produktsicherheit in industriellen Softwareprodukten, einschließlich Bedrohungs- und Risikoanalysen, Sicherheitsarchitektur und Vorbereitung auf den EU Cyber Resilience Act.

• Cybersecurity Consultant — evosoft (Siemens-Tochtergesellschaft)
  Unterstützung von Entwicklungsorganisationen bei IEC 62443-basierter Produktsicherheit, Verbesserung des Secure Development Lifecycle und Sicherheitsarchitektur.

• Freiberuflicher Cybersecurity-Berater
  Unterstützung von Produktorganisationen bei Secure-by-Design-Entwicklungspraktiken, IEC 62443-Implementierung und CRA-Readiness.

Zertifizierungen

Meine Arbeit wird durch Zertifizierungen in den Bereichen Produktsicherheit, Architektur und Risikomanagement unterstützt:

• ISA/IEC 62443 Cybersecurity Expert

• Information Systems Security Architecture Professional (ISSAP)

• Certified Information Systems Security Professional (CISSP)

• Certified Information Systems Auditor (CISA)

• Certified Information Security Manager (CISM)

• Certified in Risk and Information Systems Control (CRISC)

• Offensive Security Certified Professional (OSCP)

Artikel / Insights

Ich schreibe regelmäßig über sichere Produktentwicklung, die Implementierung von ISA/IEC 62443 und die praktischen Konsequenzen des EU Cyber Resilience Act für Produktorganisationen.

Mein Fokus liegt darauf, Sicherheitsframeworks und regulatorische Anforderungen in praxisorientierte Engineering-Ansätze für Entwicklungsteams zu übersetzen.

EU Cyber Resilience Act: What Product Teams Should Do Now

Ein praxisorientierter Fahrplan zur CRA-Readiness mit Schwerpunkten auf Scoping, Lückenanalyse, Schwachstellenbehandlung und SBOM-Implementierung.

→ Artikel herunterladen (Englische Sprache)

CRA Presumption of Conformity: What It Means and Why IEC 62443 Is the Right Implementation Path

Eine detaillierte Analyse des Konformitätsvermutungsmechanismus der CRA, der Zuordnung von IEC 62443 zu Anhang I, bestehender Lücken sowie der laufenden Arbeiten zur EN-Adaptation. Für Produktsicherheitsverantwortliche, die sich auf die Anforderungen vorbereiten.

→ Artikel herunterladen (Englische Sprache)

Engineering Security for CRA Readiness

Ein Überblick darüber, warum klassische "Test-and-Fix"-Sicherheitsmodelle nicht mehr ausreichen und wie sichere Produktentwicklung Teil der Engineering-Praxis werden muss. Der Artikel erläutert, wie Frameworks wie IEC 62443 helfen, regulatorische Anforderungen in strukturierte Entwicklungsprozesse zu überführen.

→ Artikel herunterladen (Englische Sprache)

Secure by Design vs Secure by Default

Eine kurze Erläuterung zweier Konzepte, die in der Produktsicherheit häufig verwechselt werden. Der Artikel erklärt, warum Secure-by-Design den Entwicklungsprozess betrifft, während Secure-by-Default die Konfiguration des fertigen Produkts adressiert.

→ Artikel herunterladen (Englische Sprache)

Wenn diese Themen für Ihre Arbeit relevant sind, vernetzen Sie sich gerne mit mir auf LinkedIn, wo ich regelmäßig Einblicke zu Produktsicherheit, IEC 62443 und dem EU Cyber Resilience Act teile.

Kontakt aufnehmen

Wenn Ihre Organisation an sicherer Produktentwicklung, IEC 62443-Implementierung oder der Vorbereitung auf den EU Cyber Resilience Act arbeitet, sprechen Sie mich gerne an.

Ich bespreche Ihre konkrete Situation gerne und erkunde gemeinsam mit Ihnen mögliche Ansätze.
Erste Gespräche sind unverbindlich und dienen in der Regel dazu, Ihre aktuelle Ausgangslage zu verstehen.

→ Kontakt aufnehmen
→ Auf LinkedIn vernetzen
→ Einen 30-Minuten-Termin buchen