Compliance-Lexikon · CRA
Secure by Design
auch: Security by Design
Secure by Design ist das Prinzip, Sicherheitsanforderungen von Beginn an in die Produktentwicklung zu integrieren - statt sie nachtraeglich zu ergaenzen - und nach dem Cyber Resilience Act eine explizite Pflichtanforderung an Hersteller von Produkten mit digitalen Elementen ueber den gesamten Produktlebenszyklus.
Warum Secure by Design vom Nice-to-have zur Rechtspflicht wird
Bislang war Secure by Design eine Best Practice, die Organisationen freiwillig umsetzten. Der CRA macht daraus eine Rechtspflicht: Hersteller von Produkten mit digitalen Elementen muessen nachweisen, dass Sicherheitsanforderungen systematisch in Entwurf, Entwicklung und Produktion integriert wurden - mit Secure-by-Default-Konfigurationen, minimaler Angriffsflaeche und dokumentierten Sicherheitsentscheidungen.
Wo Secure by Design gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| CRA | Art. 10 | Pflichten der Hersteller: Secure by Design und Secure by Default als zentrale Grundsaetze. |
| CRA | Anhang I Teil I | Wesentliche Cybersicherheitsanforderungen mit Secure-by-Design-Prinzipien. |
| ENISA | Secure by Design Guidelines | Europaeische technische Leitlinien zur Umsetzung von Secure by Design. |
| NIST SP 800-218 | vollstaendig | Secure Software Development Framework als methodische Grundlage. |
| CISA | Secure by Design Pledge | US-Initiative mit vergleichbaren freiwilligen Selbstverpflichtungen grosser Hersteller. |
BAM-Objektreferenz
Haeufige Fehler
- Sicherheit als nachtraeglicher Pruefschritt statt integriertem Entwurfsprinzip behandelt
- Keine dokumentierten Sicherheitsanforderungen in der Produktspezifikation
- Standardkonfigurationen unsicher (Default-Passwoerter, offene Ports)
- Keine Nachweisdokumentation fuer die Konformitaetsbewertung
Secure-by-Default als Kernprinzip
Secure by Design umfasst auch Secure by Default: Produkte muessen in ihrer Standardkonfiguration sicher sein, ohne dass der Nutzer aktiv Sicherheitseinstellungen vornehmen muss. Das bedeutet konkret: Keine Standardpasswoerter, automatische Sicherheitsupdates standardmaessig aktiviert, unnoetige Dienste und Schnittstellen standardmaessig deaktiviert. Diese Prinzipien muessen ueber den gesamten Produktlebenszyklus dokumentiert und nachweisbar sein.
Naechster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest zur CRA-Produktentwicklungsbereitschaft.