Der Cyber Resilience Act (CRA) wurde von der Europäischen Union verabschiedet und ist am 10.12.2024 in Kraft getreten. Die Umsetzung wird viele Unternehmen vor neue Herausforderungen stellen.
Parallel dazu hat sich im Semiconductor Manufacturing Cybersecurity Consortium (SMCC) eine neue Arbeitsgruppe gebildet.
Ihr Ziel: die Interpretation und Harmonisierung der nationalen Gesetzgebungen für die Halbleiterindustrie, um weltweit einheitliche Anforderungen zu definieren und umzusetzen. Für uns ist das der perfekte Anlass für eine Bestandsaufnahme unserer Software zur Anlagensteuerung und Visualisierung: Wo stehen wir als Softwareanbieter in Sachen Cybersecurity, CRA und dessen Umsetzung? Wir geben Einblick in die Sicherheit unserer Software und welche Wege wir dafür gehen.
Cyber Resilience Act (CRA): Was steckt dahinter und wie ist die Zeitschiene?
Der Cyber Resilience Act richtet sich in erster Linie an Hersteller von Produkten mit Softwarekomponenten, aber auch an deren Importeure. Ziel ist es, Cybersecurity über den gesamten Produktlebenszyklus hinweg sicherzustellen – von der Entwicklung, über die Nutzungsdauer bis hin zum geordneten Ende der Nutzungsdauer. Die Einhaltung der Vorschriften ist ein wichtiger Schritt, um Produkte und Kunden vor dem Diebstahl von Daten und geistigem Eigentum, Sabotage und Produktionsausfällen zu schützen.
Das sind die wichtigen Meilensteine des CRAs:

Mit diesen klaren Fristen wird Cybersecurity zu einem zwingenden Bestandteil der Produktentwicklung für alle Anbieter von Produkten mit digitalen Elementen. Die Nichteinhaltung des CRAs kann teure Konsequenzen haben: Verstöße werden mit bis zu 15 Millionen Euro oder 2,5 % des Jahresumsatzes des Unternehmens geahndet, je nachdem, welcher Betrag höher ist.
Cybersecurity in unserer Produktentwicklung für die Halbleiterindustrie – Interview mit unserem Product Owner Michael Arndt
Cybersecurity ist für uns mehr als nur ein Schlagwort, sondern seit Jahren ein fester Bestandteil unserer Entwicklungsprozesse. Wie stehen wir aktuell mit unseren Softwarelösungen für die Halbleiterindustrie da? Dazu habe ich mit Michael Arndt, Product Owner für ToolCommander® – das Framework für Anlagensteuerungen – und FabLink®, die SEMI-konforme Schnittstellenlösung zur Anlagenintegration via SECS/GEM, GEM300 und EDA gesprochen.

Hallo Michael, Cybersecurity ist ja seit Jahren ein Thema in unseren Gesprächen. Was bedeutet Cybersecurity für euch in der Produktentwicklung?
Michael: Das stimmt, Cybersecurity beschäftigt uns schon eine Weile und ist ein integraler Bestandteil des gesamten Entwicklungsprozesses. Wir betrachten Sicherheitsaspekte bereits in der Designphase, um potenzielle Risiken und Schwachstellen frühzeitig zu identifizieren und zu minimieren. Die gesamte Kommunikation zwischen Systemen und Maschinen erfolgt bei uns ausschließlich verschlüsselt, um Datenintegrität und Vertraulichkeit sicherzustellen. Zugriffskontrollmechanismen verhindern unautorisierte Zugriffe und unsere Prozesse erfüllen gängige Sicherheitsstandards. Zudem unterziehen wir unsere Architektur regelmäßigen Prüfungen und Penetrationstests. So stellen wir sicher, dass Sicherheitslücken schnell behoben werden.
Und worauf achtet ihr bei der Auswahl der Tools, mit denen ihr arbeitet? Hat sich da etwas verändert?
Michael: Sicherheit, Zuverlässigkeit und Kompatibilität mit modernen Entwicklungsstandards sind für uns essenziell. Die Tools müssen sich nahtlos in unsere CI/CD-Pipeline (Continuous Integration/Continuous Delivery) integrieren lassen und aktuelle Sicherheitsupdates erhalten. Der Fokus auf Open-Source-Software hat zugenommen – bei ihnen stellen wir sicher, dass alle verwendeten Bibliotheken regelmäßig überprüft und aktuell gehalten werden. Compliance mit branchenspezifischen Standards ist ebenfalls ein entscheidendes Kriterium.
Du sagst, ihr identifiziert und bewertet frühzeitig Risiken, um Sicherheitsaspekte in der Produktentwicklung zu betrachten. Wo siehst du Gefahren und Schwachstellen in der Halbleiterproduktion, die es abzuwenden gilt?
Michael: Potenzielle Gefahren und Schwachstellen in der Halbleiterproduktion liegen vor allem in der hohen Vernetzung und Automatisierung. Zu den Angriffspunkten gehören zum Beispiel unsichere Schnittstellen, veraltete Software und unzureichende oder mangelhafte Zugangskontrollen. Die Auswirkungen können gravierend sein – von Produktionsausfällen über Manipulationen der Prozessparameter bis hin zu Datenverlust oder Datendiebstahl. Besonders kritisch sind Angriffe auf sensible IP- oder Prozessdaten, da sie die gesamte Lieferkette schwerwiegend beeinträchtigen können.
Welche Sicherheitsansätze gab es bei unseren Produkten ToolCommander® und FabLink® bereits, bevor Cybersecurity so ein großes Hype-Thema wurde?
Michael: Schon lange vor dem aktuellen Fokus auf Cybersecurity hatten wir Sicherheitsmechanismen wie
- Zugriffskontrollen: Anlagenzugriff nur für autorisierte Nutzerinnen und Nutzer,
- Benutzerrollenverwaltung: Rollenspezifische Rechtezuweisung mit Zuweisung der einzelnen Accounts,
- verschlüsselte Kommunikationsprotokolle: Schutz vor Abhören und Manipulation,
- regelmäßige Audits und Penetrationstests: Stetige Optimierung unserer Sicherheitsmechanismen
- Bereitstellung der SBOMs (Software Bill of Materials): Transparenz und Nachverfolgbarkeit zur frühzeitigen Aufdeckung potenzieller Schwachstellen
in unsere Produkte integriert. Auch die Prüfung von Designs auf Sicherheitsrisiken war von Anfang Standard in unserem Entwicklungsprozess. Diese Grundlagen bieten eine solide Basis für die heutigen erweiterten Anforderungen an Cybersecurity. Hier arbeiten wir zum Beispiel an dem Tracking der Dependencies und der Bewertung der Common Vulnerabilities and Exposures (CVEs), um uns auf die geforderten Meldeketten vorzubereiten. Auch ein Kundenportal ist gerade im Aufbau, über das wir zukünftig Softwareupdates für unsere Kunden bereitstellen. So decken wir auch den Zeitraum für die Produktpflege und den Support zuverlässig ab.
Durch unsere Mitarbeit beim SMCC zur Umsetzung der CRA-Anforderungen erhalten wir weitere tiefe Einblicke in die Fragestellungen der OEMs und Fabrikbetreiber. Wo siehst du weiteres Potenzial, sie zu unterstützen?
Michael: Es gibt vielfältige Möglichkeiten Maschinenbauer und Fab-Betreiber bei der Implementierung ganzheitlicher Sicherheitskonzepte zu unterstützen. Dazu gehören Schulungen zur Cybersecurity, die Bereitstellung von Tools zur kontinuierlichen Überwachung der Sicherheitslage und die Integration von Sicherheitsupdates in den laufenden Betrieb, um Risiken zu minimieren. Mit der Bereitstellung von Plattformen und Softwareprodukten, die den Aufwand der Betreiber reduzieren, können wir die Komplexität verringern und die Sicherheit erhöhen. Zusätzlich könnten wir Analysen für die Netzwerksegmentierung und Angriffserkennung bieten, um mögliche Bedrohungen frühzeitig zu erkennen und abzuwehren. Ein weiteres Feld ist die Unterstützung bei der Einhaltung regulatorischer Anforderungen, etwa durch Sicherheitszertifikate oder standardisierte Audits.
Vielen Dank für den spannenden Einblick! Wenn Sie mehr über die Produkte erfahren möchten, die Michael Arndt mit seinem Team entwickelt, finden Sie weitere Informationen bei ToolCommander® und FabLink®.
Der Cyber Resilience Act (CRA) und die Umsetzung in der Halbleiterindustrie
Die Gründung des Semiconductor Manufacturing Cybersecurity Consortium (SMCC) unterstreicht die Wichtigkeit und Brisanz der Sicherheit entlang der gesamten Lieferkette und zeigt, dass Cybersecurity eine gemeinsame Herausforderung ist.
Mit den Cybersecurity Standards SEMI E187 und E188 wurden bereits im Jahr 2022 die ersten branchenspezifischen Richtlinien geschaffen, die Anlagenbauern und Fabrikbetreibern in der Halbleiterindustrie einen Rahmen und empfohlene Handlungsweisen bieten. Mit dem Standard SEMI E191 folgte ein konkreter Standard für Softwareanbieter, der es Fabrikbetreibern ermöglicht, sich schneller einen Überblick über die Sicherheitslage der Betriebssysteme aller IT-Komponenten in der Fertigung zu verschaffen. So lassen sich gezielt Maßnahmen zur Schließung von Sicherheitslücken ergreifen.
Die Rolle des SMCC bei der Umsetzung des CRA und der angestrebten Selbstregulierung in der Halbleiterindustrie
Die neu gegründete Arbeitsgruppe 8 des SMCC, die sich erstmals im Februar 2025 in Brüssel traf, befasst sich mit der Umsetzung des Cyber Resilience Acts speziell für die Halbleiterindustrie. Aufgrund der starken Organisation, der weitreichen Standardisierung und den bereits in Arbeit befindlichen Cybersecurity-Maßnahmen könnte die Branche von der EU als selbstregulierter Bereich eingestuft und anerkannt werden. Damit würde die Halbleiterbranche in eine ähnliche Position wie die Automotive- und Pharmaindustrie rücken, die aufgrund eigener starken Regulatorien den CRA nicht direkt erfüllen müssen.
Für eine erfolgreiche Einstufung als selbstregulierter Bereich sind die aktuellen SEMI-Standards noch nicht ausreichend. Bis weitere industriespezifische Standards geschaffen sind, sollten sich aus unserer Sicht daher alle Unternehmen, die für die Halbleiterindustrie tätig sind, an den Anforderungen des CRA orientieren. Diese werden voraussichtlich – in leicht modifizierter Form – Bestandteil kommender SEMI-Standards sein.
Sie wollen mehr darüber erfahren, wie wir auch Sie sich für den CRA in der Halbleiterindustrie fit machen können? Wir helfen Ihnen gerne weiter.
Ihr Ansprechpartner
