Sind smarte Kameras wichtige Produkte im Sinne des EU Cyber Resilience Act?

Während ein vernetzter Toaster den grundlegenden CRA-Konformitätspfad einschlagen kann, haben smarte Sicherheitskameras diesen Luxus nicht. Die EU hat sie ausdrücklich in Anhang III als wichtige Produkte, Klasse I eingestuft, eine Stufe über dem Großteil des Consumer-IoT, mit strengeren Konformitätsanforderungen, die die Spielregeln für alle ändern, die diese Geräte herstellen, importieren oder vertreiben.

Ein weit verbreitetes Missverständnis ist, dass Kameras als „kritische Produkte" gelten. Das stimmt nicht. Aber Wichtig Klasse I ist bereits eine erhebliche Stufe höher. Das müssen Sie wissen.

Was der CRA zu Kameras tatsächlich sagt

Rund um die CRA-Produktkategorien herrscht viel Verwirrung. Die Verordnung schafft drei klar abgegrenzte Stufen:

CRA-PRODUKTKLASSIFIZIERUNG

STANDARDKATEGORIE (Selbstbewertung — Modul A):
  → Großteil des Consumer-IoT: smarte Lautsprecher, Thermostate usw.

WICHTIGE PRODUKTE — Anhang III:
  Klasse I (Selbstbewertung mit harmonisierten Normen ODER Drittprüfung):
    → Smarte Heimsicherheitskameras  ← KAMERAS SIND HIER EINGEORDNET
    → Smarte Türschlösser, Babyphones, Alarmanlagen
    → Router, Modems, Betriebssysteme, Passwortmanager
  Klasse II (Drittprüfung erforderlich):
    → Firewalls, Intrusion-Detection-/Prevention-Systeme

KRITISCHE PRODUKTE — Anhang IV (Drittprüfung erforderlich, immer):
  → Hardware-Sicherheitsmodule, Smart-Meter-Gateways, Smartcards

Der genaue Gesetzestext

Anhang III, Klasse I, Nummer 17 der Verordnung (EU) 2024/2847:

„Smart-Home-Produkte mit Sicherheitsfunktionen, einschließlich smarter Türschlösser, Sicherheitskameras, Baby-Überwachungssysteme und Alarmanlagen"

Die Durchführungsverordnung (EU) 2025/2392 der Kommission präzisiert den technischen Anwendungsbereich weiter und verwendet den Begriff „Kamerasysteme", etwas weiter gefasst als der Begriff „Sicherheitskameras" in der übergeordneten Verordnung.

Ein wichtiger Vorbehalt: Das Produkt muss im Kontext eines Smart Home „Sicherheitsfunktionen" aufweisen. Eine einfache Webcam für Videotelefonie fällt nicht automatisch unter Klasse I. Eine vernetzte Überwachungskamera, die Heim oder Geschäftsräume überwacht, hingegen schon.

Warum die EU Kameras gesondert herausgegriffen hat

Das war keine willkürliche Entscheidung. IP-Kameras haben sich ihren Ruf als schwächstes Glied in der Netzwerksicherheit redlich verdient, und die Datenlage bestätigt das:

• Das Mirai-Botnetz (ab 2016) mobilisierte über 150.000 kompromittierte Kameras und DVRs für massive DDoS-Angriffe (ENISA Threat Landscape 2020 — Botnet Report)
• DDoS-Angriffe machten 77 % aller gemeldeten Cybervorfälle in 2024–2025 aus, viele davon angetrieben durch gekaperte IoT-Geräte (ENISA Threat Landscape 2025)
• Mirai-Varianten sind weiterhin aktiv: Noch im April 2025 wurden sie beim Ausnutzen von GeoVision-Kameras nachgewiesen
• Täglich gehen rund 7,7 Millionen neue IoT-Geräte online; nur 1 von 20 befindet sich hinter einer Firewall

Das Muster ist eindeutig: Kameras sind ständig eingeschaltet, ständig vernetzt, oft schlecht abgesichert, und sie verarbeiten sensible Daten (Ihre Videoaufzeichnungen). Genau dieses Risikoprofil zielt der CRA an.

Was Klasse I für die Konformitätsbewertung bedeutet

Gemäß Artikel 32(2) stehen Klasse-I-Herstellern zwei Wege offen. Welcher davon in Frage kommt, hängt von etwas ab, das noch nicht abschließend geklärt ist.

Weg 1: Selbstbewertung (Modul A)

Eine interne Selbstbewertung ist möglich, aber nur wenn Sie harmonisierte Normen anwenden, die alle wesentlichen Cybersicherheitsanforderungen abdecken. Eine teilweise Abdeckung genügt nicht. Fehlt auch nur eine Anforderung, sind Sie auf Weg 2.

Der Haken: Stand Februar 2026 werden die harmonisierten Normen unter dem CRA noch von CEN/CENELEC erarbeitet. Bis zur Veröffentlichung im Amtsblatt können die meisten Hersteller diesen Weg nicht beschreiten.

Weg 2: Drittbewertung

Ohne vollständige Abdeckung durch harmonisierte Normen benötigen Sie entweder:

• Modul B + C: EU-Baumusterprüfung durch eine benannte Stelle, anschließend Konformität mit dem Baumuster
• Modul H: vollständiges Qualitätsmanagementsystem, zertifiziert durch eine benannte Stelle

Beide Optionen sind aufwändiger und kostspieliger als die Selbstbewertung. Und die Kapazitäten benannter Stellen werden sich verknappen, je näher der Dezember 2027 rückt, denn alle werden gleichzeitig in die Schlange stehen.

Wesentliche Anforderungen für smarte Kameras

Jede vernetzte Kamera muss die wesentlichen Cybersicherheitsanforderungen des CRA (Anhang I) erfüllen, unabhängig vom gewählten Konformitätspfad. Die Anforderungen, die Kamerahersteller am stärksten treffen:

1. Keine Standardpasswörter

Artikel 13 und Anhang I, Teil I verlangen eine „sichere Voreinstellung". Im Klartext:

• Kein admin/admin oder admin/password mehr, das auf jedes Gerät vorinstalliert ist
• Jedes Gerät braucht ein eindeutiges Passwort oder muss bei der Erstnutzung zwingend eine sichere Anmeldekonfiguration einfordern
• Multi-Faktor-Authentifizierung, sofern technisch möglich

Diese Anforderung allein zwingt eine Vielzahl von Kamera-Produktlinien zur Neugestaltung.

2. Schwachstellenbehandlung (mindestens 5 Jahre)

Anhang I, Teil II verpflichtet Hersteller:

• Eine koordinierte Schwachstellenoffenlegungsrichtlinie (CVD-Policy) einzurichten
• Sicherheitsforschern einen klaren Meldeweg bereitzustellen
• Schwachstellen unverzüglich über den gesamten Unterstützungszeitraum zu beheben
• Das Produkt mindestens 5 Jahre ab Marktplatzierung zu unterstützen
• Aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA zu melden (gilt ab 11. September 2026)

Fünf Jahre verpflichtende Patches sind ein erheblicher Paradigmenwechsel für Kamerahersteller, die bisher nach dem Prinzip „einmal ausliefern, nie mehr anfassen" vorgegangen sind.

3. Software Bill of Materials (SBOM)

Jede Softwarekomponente in Ihrer Kamera-Firmware muss dokumentiert werden: der Linux-Kernel, RTSP-Streaming-Bibliotheken, das Web-Interface-Framework, der TLS-Stack, alles. Das SBOM muss:

• Ein maschinenlesbares Format verwenden (CycloneDX oder SPDX)
• Mindestens die Abhängigkeiten der obersten Ebene abdecken
• Bestandteil der technischen Dokumentation sein
• Über den gesamten Unterstützungszeitraum aktuell gehalten werden

4. Sicherer Update-Mechanismus

Kameras müssen sichere, authentifizierte Firmware-Updates unterstützen:

• Übertragung über verschlüsselte Kanäle
• Überprüfung der Firmware-Integrität vor der Installation
• Automatische Sicherheitsupdates standardmäßig aktiviert (Nutzer können widersprechen)
• Rollback-Funktion empfohlen

5. Datensparsamkeit und Datenschutz

Kameras, die Videodaten erfassen, müssen:

• Nur die für die Produktfunktion notwendigen Daten verarbeiten
• Gespeicherte und übertragene Daten verschlüsseln
• Nutzern die sichere Löschung ihrer Daten ermöglichen
• Gespeicherte Daten gegen physischen Zugriff schützen

Die Rolle von Importeuren und Händlern

Importeure: Sie sind das EU-Eingangstor

Wenn Sie Kameras von außerhalb der EU importieren (die meisten smarten Kameras werden in Asien gefertigt), macht Sie Artikel 19 verantwortlich. Sie haften persönlich dafür, dass der Hersteller seine Compliance-Pflichten erfüllt hat, bevor das Produkt auf dem EU-Markt platziert wird.

Ihre Prüfliste vor der Marktplatzierung einer Kamera in der EU:

• [ ] Hersteller hat die entsprechende Konformitätsbewertung durchgeführt (Klasse I)
• [ ] EU-Konformitätserklärung (DoC) liegt vor und nimmt Bezug auf den CRA
• [ ] CE-Kennzeichnung ist korrekt angebracht
• [ ] Technische Dokumentation ist vorhanden und ausreichend
• [ ] Kontaktdaten des Herstellers sind auf dem Produkt oder der Verpackung angegeben
• [ ] SBOM ist als Bestandteil der technischen Dokumentation verfügbar

Schlägt eine Prüfung fehl, dürfen Sie das Produkt nicht legal verkaufen. Punkt. Sie müssen den Hersteller informieren, und bei einem Cybersicherheitsrisiko die Marktüberwachungsbehörden benachrichtigen.

Bußgelder für Importeure: Bis zu 10 Millionen EUR oder 2 % des weltweiten Jahresumsatzes (Artikel 64).

Händler: Geringere Pflichten, reale Konsequenzen

Händler haben nach Artikel 20 weniger zu prüfen, aber die Pflichten sind dennoch verbindlich:

• CE-Kennzeichnung ist auf dem Produkt vorhanden
• Name und Kontaktdaten von Hersteller und Importeur sind sichtbar angegeben
• Lagerungs- und Transportbedingungen beeinträchtigen die Konformität nicht
• Keine Produkte verkaufen, bei denen begründete Zweifel an der Konformität bestehen

Bußgelder für Händler: Bis zu 5 Millionen EUR oder 1 % des weltweiten Jahresumsatzes (Artikel 64).

Die Eigenmarken-Falle

Achtung: Wenn Sie eine Kamera importieren und unter Ihrer eigenen Marke vertreiben oder wesentliche Änderungen an der Firmware oder den digitalen Elementen vornehmen, behandelt Sie der CRA als Hersteller. Das bedeutet die vollständigen Herstellerpflichten: Konformitätsbewertung, SBOM, 5 Jahre Schwachstellenbehandlung.

Compliance-Zeitplan

CRA-ZEITPLAN FÜR SMARTE KAMERAS

11. Sep 2026 ─── Meldepflichten für Schwachstellen beginnen
                 (24h-Meldung aktiv ausgenutzter Schwachstellen an ENISA)

11. Dez 2027 ─── Vollständige CRA-Konformität erforderlich
                 (Alle wesentlichen Anforderungen, Konformitätsbewertung,
                  CE-Kennzeichnung, SBOM, technische Dokumentation)

Wenn Sie smarte Kameras herstellen oder importieren und noch nicht mit den Compliance-Vorbereitungen begonnen haben, sind Sie bereits im Rückstand. Harmonisierte Normen werden noch entwickelt, Kapazitäten bei benannten Stellen werden knapper, und bis Dezember 2027 bleiben weniger als zwei Jahre.

Was Sie jetzt tun sollten

Hersteller

1. Klassifizieren Sie Ihr Produkt. Sicherheitskamera im Smart-Home-Kontext? Das ist Klasse I. Professionelle Videoüberwachung kann unter den allgemeinen CRA-Anwendungsbereich fallen, muss aber nicht zwingend unter Anhang III Nummer 17 einzuordnen sein.
2. Schaffen Sie Standardpasswörter ab. Für Ihre gesamte Produktlinie, und zwar jetzt.
3. Erstellen Sie Ihr SBOM. Im CycloneDX- oder SPDX-Format. Beginnen Sie mit dem Abhängigkeitsbaum Ihrer Kamera-Firmware.
4. Richten Sie eine CVD-Policy ein. Eine security.txt-Datei und ein klarer Meldekanal für Schwachstellen.
5. Wählen Sie Ihren Konformitätspfad. Verfolgen Sie den Fortschritt bei CEN/CENELEC zu harmonisierten Normen. Wenn diese nicht rechtzeitig fertig werden, sprechen Sie frühzeitig mit einer benannten Stelle.
6. Kalkulieren Sie 5 Jahre Support ein. Laufende Sicherheits-Patches sind nicht mehr optional. Bauen Sie die Kosten in Ihre Margen ein.

Importeure

1. Prüfen Sie Ihre Lieferanten. Fordern Sie von jedem Kamerahersteller, mit dem Sie zusammenarbeiten, Konformitätsnachweise, SBOMs und Konformitätserklärungen an.
2. Aktualisieren Sie Ihre Einkaufsverträge. Fügen Sie CRA-Compliance-Klauseln vor der Frist ein, nicht danach.
3. Überprüfen Sie Ihre Eigenmarkenprodukte. Verkaufen Sie Kameras unter Ihrem Namen? Möglicherweise sind Sie nach dem CRA der Hersteller.

Händler

1. Kennzeichnen Sie Klasse-I-Produkte in Ihrem Katalog. Wissen Sie, welche Kameras höhere Compliance-Anforderungen mit sich bringen.
2. Sammeln Sie CE-Kennzeichnung und DoC-Nachweise aus Ihrer Lieferkette.
3. Planen Sie Rückzugsverfahren für Produkte, die bis Dezember 2027 nicht konform sein werden.

Verwandte Leitfäden

• CRA-Produktklassifizierungsleitfaden
• IoT und EN 303 645 Leitfaden
• SBOM-Anforderungen unter dem CRA

Offizielle Quellen

• Verordnung (EU) 2024/2847 — Cyber Resilience Act (vollständiger Text)
• Durchführungsverordnung (EU) 2025/2392 — Technische Beschreibungen der Kategorien aus Anhang III/IV
• CRA-Konformitätsbewertung — EU Digital Strategy
• ENISA Threat Landscape 2020 — Botnet Report
• ENISA Threat Landscape 2025
• ENISA CRA Requirements Standards Mapping