ENISA-Leitfaden zu sicheren Update-Mechanismen: was der CRA verlangt

ENISA-Leitfaden zu sicheren Update-Mechanismen: die CRA-Update-Pflichten, 7 Bedrohungen, passende Kontrollen und worauf das BSI bei Herstellern achtet.

CRA Evidence Team Veröffentlicht 2. Juni 2026 Aktualisiert 3. Juni 2026
ENISA Technical Advisory zu sicheren Update-Mechanismen, ein Entwurf, der Bedrohungen im Update-Lebenszyklus auf Kontrollen für CRA-Hersteller abbildet
In diesem Artikel

ENISA bittet bis zum 10. Juli 2026 um Ihr Feedback. Der zweite Technical Advisory zur Produktsicherheit, Secure Update Mechanisms, liegt als Entwurf vor, und die Konsultation läuft jetzt.

Darum ist der Entwurf wichtig. Er nimmt die CRA-Pflicht zur sicheren Bereitstellung von Aktualisierungen und zerlegt sie in sieben Schritte, jeder davon an ein reales Versagen geknüpft. Vier waren Angriffe: SolarWinds, ASUS, Notepad++ und Trivy. Einer, der CrowdStrike-Ausfall von 2024, war ein fehlerhaftes Release, kein Angriff. ENISA ordnet jedem Schritt dann Kontrollen zu, die Wahrscheinlichkeit oder Wirkung der Bedrohung senken. Dieser Leitfaden holt die Teile heraus, die ein Kleinst-, Klein- oder mittlerer Hersteller braucht, knüpft sie an Ihre CRA-Pflichten, ergänzt unsere eigene Sicht auf Werkzeuge und Prioritäten und geht das Thermostat-Beispiel durch, mit dem ENISA alles zusammenbindet.

Zusammenfassung

  • ENISA hat den Advisory Secure Update Mechanisms als Entwurf (Version 0.1) im Mai 2026 veröffentlicht. Es ist der zweite Teil der Produktsicherheits-Reihe, nach dem im März 2026 finalisierten Advisory Secure Use of Package Managers.
  • Der Advisory ist technologieneutral. Er ist mit The Update Framework (TUF), Uptane und NIST SP 800-40 vereinbar, schreibt aber keines davon vor.
  • Er modelliert den Update-Lebenszyklus in 7 Schritten über 3 Vertrauenszonen, nennt die Bedrohung an jedem Schritt mit einem realen Vorfall und bildet alles auf 36 Empfehlungen in 4 Gruppen ab.
  • Er knüpft direkt an die Update-Pflichten aus CRA Anhang I an: rechtzeitige Sicherheitsaktualisierungen, sichere und unverzügliche Verbreitung, Integritätsschutz und automatische Aktualisierungen mit Nutzerkontrolle.
  • Er ist keine Rechtsberatung und keine Konformitätsvermutung. Er sagt Ihnen auch nicht, wie Sie den zugrundeliegenden Fehler beheben.
  • Ein durchgerechnetes Thermostat-Firmware-Beispiel zeigt zweistufige Signierung, ein signiertes Manifest, TLS-Discovery, fünf Prüfungen auf dem Gerät und atomare A/B-Installation mit Rollback.
  • Feedback läuft über eine Umfrage, Frist 10. Juli 2026.
7
Lebenszyklus-Schritte
vom Build bis zum Statusprotokoll
4
Auslieferungsmodelle
In-Band, Plattform, manuell, gestuft
36
Empfehlungen
in 4 Kontrollgruppen
10. Juli
Feedback-Frist
öffentliche Konsultation 2026

Quelle: ENISA Technical Advisory on Secure Update Mechanisms, Entwurf Version 0.1, Mai 2026.

Was der Advisory ist, und was nicht

Der ENISA Technical Advisory on Secure Update Mechanisms ist ein Entwurf vom Mai 2026, in den Seitenköpfen als Version 0.1 ausgewiesen. Die veröffentlichte Datei heißt v0.6, was ein Tippfehler zu sein scheint. ENISA hat den Entwurf zur öffentlichen Konsultation freigegeben, die Feedback-Umfrage schließt am 10. Juli 2026.

Er richtet sich an Hersteller von Produkten mit digitalen Elementen, besonders an die Teams, die Update-Mechanismen entwerfen, bauen oder betreiben. ENISA hat ihn für Kleinst-, Klein- und mittlere Hersteller geschrieben, die gängige Update-Bedrohungen verstehen und eine Reihe von Kontrollen umsetzen müssen, ohne ein großes Sicherheitsteam aufzubauen.

Seien Sie sich über die Grenzen im Klaren. ENISA nennt drei davon direkt.

Lesen Sie den Disclaimer

Der Advisory ist keine Rechtsberatung, keine formale Auslegung des CRA und keine Konformitätsvermutung. Er behandelt auch nicht, wie Sie den Patch selbst entwickeln oder validieren, einschließlich der Ursachenanalyse. Die Einhaltung der Verordnung (EU) 2024/2847 bleibt Sache des Herstellers.

Was er Ihnen liefert, ist eine gemeinsame Landkarte. Derselbe Sieben-Schritte-Lebenszyklus zieht sich durch den Bedrohungsteil und den Kontrollteil, eine Kontrolle verweist also immer auf die Bedrohung, die sie beantwortet.

Der Update-Lebenszyklus in sieben Schritten

ENISA beschreibt jedes Update, ob Firmware, Binary, Delta-Patch, Signaturdatei oder Konfigurationsänderung, als denselben Ablauf in sieben Schritten. Fünf Akteure tragen sie: der Producer (Hersteller), der Publication Service, das Update-Repository, der Client-Updater und der Endpunkt.

Die sieben Schritte laufen über drei Vertrauenszonen. Die Producer-Vertrauenszone ist der Ort, an dem das Update gebaut und signiert wird. Die Distributionszone, die Repositories und CDNs umfasst, gilt als weniger vertrauenswürdig. Die Geräte-Vertrauenszone ist der Ort, an dem das Update geprüft und installiert wird.

Der Software-Update-Lebenszyklus über drei Vertrauenszonen. Producer-Zone: Schritt 1 Bauen und signieren, bedroht durch Build- oder Signaturschlüssel-Kompromittierung (SolarWinds), Schritt 2 Veröffentlichen, bedroht durch Manipulation von Metadaten oder Payload (Trivy). Distributionszone, weniger vertrauenswürdig: Schritt 3 Auf Updates prüfen, bedroht durch Umleitung, Replay oder Freeze (Notepad++), Schritt 4 Abrufen, bedroht durch Payload-Austausch (ASUS ShadowHammer). Geräte-Zone: Schritt 5 Prüfen, bedroht durch schwache oder fehlende Verifikation, Schritt 6 Installieren, bedroht durch fehlerhafte oder schädliche Installation (CrowdStrike), Schritt 7 Status protokollieren, bedroht durch Versagen, das unentdeckt bleibt.
Die sieben Update-Schritte, die Vertrauenszone jedes Schritts und der reale Vorfall, der zeigt, was an dieser Stelle schiefgeht.

Die nützlichste Idee des Dokuments steht hinter dieser Grafik.

Vertrauen Sie der Signatur, nicht der Quelle

Das Gerät erhält bei der Herstellung einen öffentlichen Root-Schlüssel als Vertrauensanker. Ein Update wird akzeptiert, weil die kryptografische Prüfung besteht, nicht wegen des Orts, von dem es geladen wurde. Selbst wenn ein CDN oder Mirror kompromittiert ist, muss das Gerät ein unautorisiertes oder verändertes Update ablehnen.

Wie Updates wirklich auf das Gerät kommen

Der Lebenszyklus ist überall gleich. Wer jeden Schritt ausführt, nicht. ENISA nennt vier Auslieferungsmodelle, und das Modell entscheidet, wo Ihre Kontrollen liegen müssen. Die Matrix unten zeigt, wer jeden Schritt ausführt, damit Sie sehen, welche Felder Sie selbst bauen.

Eine Matrix aus vier Auslieferungsmodellen gegen vier Update-Schritte: Discovery, Abruf, Verifikation und Installation. Bei einem In-Band-Updater im Produkt führt das Produkt alle vier Schritte aus, alle liegen also in Ihrer Verantwortung. Bei plattformverwalteten Updates führt eine externe Plattform alle vier Schritte aus. Bei manuellen Out-of-Band-Updates führt der Nutzer Discovery, Abruf und Installation aus, die Verifikation ist die Kontrolle, die Sie bauen. Bei Enterprise- oder gestuften Updates führt die Kundenorganisation Discovery, Abruf und Installation aus, die Verifikation teilen Sie sich mit dem Kunden. In jedem Modell verantworten Sie immer Bauen und Signieren.
Wer jeden Update-Schritt ausführt, nach unserer Lesart der vier Auslieferungsmodelle von ENISA. ENISA beschreibt die Modelle, tabelliert die Aufteilung aber nicht. Die indigofarbenen Felder bauen und verantworten Sie selbst.

Die Beispiele von ENISA: In-Band deckt Desktop-App-Updater, In-Product-Plugin-Updater und Browser-Auto-Update ab. Plattformverwaltet deckt mobile App-Stores, Linux-Paket-Repositories, MDM-Plattformen und Browser-Extension-Stores ab. Manuelles Out-of-Band deckt einen Installer von der Hersteller-Website, einen Patch über ein sicheres Portal oder ein per E-Mail versandtes Paket ab. Enterprise oder gestuft deckt WSUS-artiges Staging, Enterprise-Mirrors, Patch-Management-Server und Air-Gap-Transfer ab.

Für einfache Designs beschreibt ENISA ein Gerät, das einem öffentlichen Root-Schlüssel plus einem operativen Signaturschlüssel vertraut. Fortgeschrittenere Designs trennen die Signaturrollen, und Deployments mit höherem Sicherheitsbedarf ergänzen Schwellensignaturen, bei denen mehr als ein Schlüsselinhaber eine sensible Änderung freigeben muss. TUF und Uptane formalisieren diese Rollentrennung. Sie müssen keines von beiden übernehmen, um den Basisschutz zu erreichen.

Sieben Wege, wie der Update-Kanal angegriffen wird

Diesen Teil lesen Sie zweimal. ENISA geht jeden Lebenszyklus-Schritt durch, nennt Bedrohung, Wirkung und einen realen Vorfall. Das Muster ist gleich: Eine Kompromittierung früh in der Kette bleibt unsichtbar, wenn spätere Schritte alles als normal behandeln. Die Tabelle unten ist Abschnitt 3 des Advisory, verdichtet, ergänzt um die wichtigste Kontrolle aus Abschnitt 4.

SchrittWas schiefgehtRealer VorfallWichtigste Kontrolle
1. Bauen & signierenBuild-Pipeline oder Signaturschlüssel kompromittiert, Schadcode in signierte Artefakte eingebettetSolarWinds: Schadcode in die Build-Umgebung eingeschleust und in signierten Updates ausgeliefertVertrauenswürdige Build-Umgebung, Schlüsselschutz in einem HSM, Provenance
2. VeröffentlichenUpdate-Metadaten oder Payloads bei der Veröffentlichung manipuliert, legitime Dateien ersetzt oder zurückgehaltenTrivy: Release- und Distributionsprozesse angegriffen, um kompromittierte Artefakte durch vertrauenswürdige Kanäle zu schiebenVorab-Validierung, kontrollierter Release-Workflow, Metadaten-Integrität
3. Auf Updates prüfenUmleitung, DNS-Hijacking, gefälschte Update-Dienste, Replay alter Metadaten oder Freeze-Angriffe, die neuere Fixes verbergenNotepad++: Update-Discovery gekapert, sodass ausgewählte Nutzer eine vom Angreifer kontrollierte Quelle kontaktiertenVertrauenswürdige Update-Quelle, Prüfung der Metadaten-Frische
4. AbrufenDownload gestört, schädliche oder beschädigte Artefakte aus Repositories, Mirrors oder CDNs ausgeliefertASUS Live Update (ShadowHammer, 2019): schädliche Artefakte über den normalen Download-Kanal an bestimmte Nutzer geschobenStarke Transportsicherheit (TLS), CDNs als nicht vertrauenswürdig behandeln, Integritätsprüfung
5. PrüfenSchwache oder fehlende Prüfung von Signatur, Vertrauenskette, Hash, Version oder Anwendbarkeit lässt schlechte Updates als gültig durchNotepad++ verschärfte nach dem Hijack später die Installer-PrüfungSignaturprüfung, Integritätsdurchsetzung, Anti-Rollback
6. InstallierenSchadcode läuft mit erhöhten Rechten, oder ein fehlerhaftes Update macht das Gerät unbrauchbarCrowdStrike-Falcon-Ausfall (2024): ein fehlerhaftes, nicht schädliches Update löste massenhafte Abstürze ausAtomare Installation, Tests auf sicheres Update-Verhalten, Recovery und Rollback
7. Status protokollierenProtokollierung, Monitoring oder Alarmierung fehlt, ist deaktiviert oder unterdrückt, sodass Probleme unbemerkt bleibenDer CrowdStrike-Ausfall zeigte, warum schnelle Sicht auf Fehler und betroffene Endpunkte im großen Maßstab zähltProtokollierung des Update-Status, sicheres Logging, Fehlermeldung

Das Bedrohungsmodell von ENISA ist breit. Angreifer können Build-Pipelines, Signaturschlüssel, Publication Services, Repositories, CDNs, DNS, Metadaten-Replay, den Client-seitigen Update-Zustand oder den Installations-Workflow ins Visier nehmen. Die Mischung aus schädlichen Fällen (SolarWinds, ASUS) und einem nicht schädlichen (CrowdStrike) ist Absicht. Ein sicherer Update-Mechanismus muss sowohl einen Angreifer als auch ein schlechtes Release überstehen.

STRIDE auf einen Blick

Anhang 1 des Advisory bildet die Bedrohungen auf die Microsoft-STRIDE-Kategorien ab. Es ist eine indikative Zuordnung, nicht erschöpfend, und mehrere Bedrohungen reichen über mehr als eine Kategorie. Wenn Sie dieses Jahr eine Threat-Modeling-Sitzung machen, nutzen Sie diese Tabelle als Agenda: Gehen Sie Ihren Update-Kanal Schritt für Schritt durch und fragen Sie, welche STRIDE-Kategorie an jeder Stelle am härtesten zubeißt. Für ein schlankes Team verdienen die Zeilen Manipulation und Spoofing bei den Schritten Abrufen und Prüfen die meiste Zeit, denn dort landeten die Angriffe ASUS und Notepad++.

Lebenszyklus-Phase STRIDE-Kategorien
Bauen / Paketieren / Vertrauen herstellen Manipulation, Spoofing, Rechteausweitung
Veröffentlichen Manipulation, Spoofing, Denial of service
Auf Updates prüfen Spoofing, Manipulation, Denial of service
Abrufen Manipulation, Spoofing, Denial of service
Prüfen Spoofing, Manipulation
Installieren Rechteausweitung, Manipulation, Denial of service
Status protokollieren Abstreitbarkeit, Manipulation, Denial of service

Die Kontrollen, so gruppiert, wie ENISA sie gruppiert

Abschnitt 4 fasst die Kontrollen in vier Stufen und richtet sie am ENISA-Playbook Secure by Design and Default aus. Der vollständige Advisory listet 36 benannte Empfehlungen. Die Tabellen unten behalten je Stufe die mit dem höchsten Wert. Für den vollständigen Satz lesen Sie die Quelle.

Vorbereitung und Veröffentlichung

Diese Stufe deckt das Bauen, Autorisieren und Veröffentlichen des Updates und seiner Metadaten ab.

Empfehlung Was sie bedeutet
Sichere Signierpraxis Signieren Sie Update-Metadaten mit starker Kryptografie und binden Sie das Artefakt an diese Metadaten.
Schlüsselschutz und -verwaltung Speichern Sie Signaturschlüssel in einem HSM, beschränken Sie den Zugriff, trennen Sie Schlüsselrollen und rotieren oder widerrufen Sie bei Verdacht auf Kompromittierung.
Provenance und Rückverfolgbarkeit Halten Sie die Rückverfolgbarkeit von der Quelle bis zum Release. Teams mit höherem Sicherheitsbedarf nutzen SLSA-Provenance oder in-toto-Attestierungen.
Abhängigkeitsprüfung Prüfen Sie Drittanbieter- und externe Komponenten vor dem Release auf bekannte Schwachstellen. Ihre SBOM liefert die Grundlage.
Update-Strukturierung Gestalten Sie Releases so, dass Sicherheitsaktualisierungen unabhängig von Funktionsänderungen ausgeliefert werden und sich nach Möglichkeit standardmäßig automatisch installieren.
Verknüpfung mit dem Advisory Liefern Sie das Update mit klaren Angaben zur Schwachstelle, ihrer Schwere und der Behebung aus, damit Nutzer die Dringlichkeit verstehen.
Test auf sicheres Update-Verhalten Testen Sie, dass Updates installieren, ohne das Gerät zu beschädigen, und dass Rollback oder Recovery bei einem Fehler funktioniert.

Discovery und Abruf

Diese Stufe entscheidet, wie Clients Updates finden und herunterladen, ohne umgeleitet oder mit veralteten Daten versorgt zu werden.

Empfehlung Was sie bedeutet
Vertrauenswürdige Update-Quelle Beziehen Sie Update-Informationen nur von autorisierten, authentifizierten Endpunkten.
Starke Transportsicherheit Nutzen Sie TLS für Discovery und Abruf, ohne Rückfall auf unsichere Protokolle.
Trennung der Vertrauenszonen Behandeln Sie CDNs, Mirrors und Vermittler als nicht vertrauenswürdig. Ihre Kompromittierung darf nicht ausreichen, um ein verändertes Update durchzudrücken.
Prüfung der Metadaten-Frische Nutzen Sie Ablauf, Zeitstempel, Version oder monoton steigende Sequenznummern, um veraltete, wiederholte oder eingefrorene Metadaten abzulehnen.
Unterstützung für automatisierten Abruf Schalten Sie automatische Discovery und automatischen Abruf standardmäßig ein, mit Kontrollen zum Aufschieben, aber nicht zum Blockieren kritischer Sicherheitsaktualisierungen.

Verifikation und Installation

Das ist der zentrale Punkt der Vertrauensentscheidung. Versagt er, werden frühere Kompromittierungen zu gültigen Updates.

  1. Signaturprüfung. Prüfen Sie die Echtheit der Metadaten und bestätigen Sie, dass das Artefakt kryptografisch an sie gebunden ist.
  2. Anwendbarkeitsprüfung. Bestätigen Sie vor der Installation, dass das Update zu diesem Produkt, dieser Version und dieser Konfiguration passt.
  3. Integritätsdurchsetzung. Validieren Sie den Artefakt-Hash und lehnen Sie beschädigte oder veränderte Inhalte vor der Installation ab.
  4. Versionskontrolle und Anti-Rollback. Blockieren Sie die Installation älterer oder unautorisierter Versionen über Rollback-Zähler oder monoton steigende Sequenznummern.
  5. Autorisierter Installationskontext. Nur vertrauenswürdige, autorisierte Komponenten dürfen die Installation starten und ausführen, mit Least-Privilege-Beschränkungen. Das ist die Kontrolle gegen die Bedrohung durch erhöhte Rechte beim Installationsschritt.
  6. Atomares Update-Verhalten. Das System wechselt vollständig auf die neue Version oder bleibt sicher auf der vorherigen, mit Recovery bei einem Fehler.

Beobachtbarkeit und Recovery

Diese Stufe protokolliert Ergebnisse, macht Fehler sichtbar und lässt das Gerät sich erholen.

Empfehlung Was sie bedeutet
Protokollierung des Update-Status Halten Sie das Ergebnis jeder Operation fest: Erfolg, Fehler, Rollback oder Teilinstallation.
Sicheres Logging Schützen Sie Update-Logs vor Manipulation und unbefugtem Zugriff.
Meldung von Integritätsfehlern Erkennen und melden Sie Fehler bei der Prüfung von Signatur, Integrität oder Metadaten.
Recovery und Rollback Erholen Sie sich von fehlgeschlagenen Updates, einschließlich der Rückkehr zu einer als gut bekannten Version.
Wiederherstellung von Vertrauensanker und Schlüssel Unterstützen Sie die sichere Rotation oder den Austausch von Signaturschlüsseln bei Kompromittierung.

Wie Teams das mit Open-Source-Werkzeugen bauen

ENISA hält den Advisory technologieneutral und nennt Frameworks und Leitlinien wie TUF, Uptane, SLSA, in-toto und NIST SP 800-40, ohne konkrete Werkzeuge zu empfehlen. Für eine Behörde ist das richtig, lässt aber die praktische Frage offen. Die Zuordnung unten ist unsere, nicht die von ENISA. Keines dieser Werkzeuge ist ein Konformitätszertifikat. Sie setzen die Technik um. Den Nachweis verantworten Sie weiterhin selbst.

Kontrollgruppe Open-Source-Werkzeuge und Frameworks Was sie Ihnen geben
Build, Provenance, Abhängigkeitsprüfung Syft, Grype, Trivy und OSV-Scanner, plus das SLSA-Framework mit in-toto-Attestierungen (erzeugt von Werkzeugen wie Tekton Chains oder SLSA-Generatoren) Erzeugen eine SBOM, scannen Abhängigkeiten auf bekannte Schwachstellen und erzeugen signierte Build-Provenance von der Quelle bis zum Artefakt.
Metadaten und Artefakte signieren Sigstore (cosign), The Update Framework (python-tuf, go-tuf), Notary / Notation Signieren Update-Metadaten und binden das Artefakt daran. Sigstore ergänzt ein öffentliches Transparenzprotokoll. TUF ergänzt Signaturrollen und Frische-Metadaten.
Signaturschlüssel schützen SoftHSM für Tests sowie Sigstore Fulcio und Rekor für schlüsselloses Signieren, gestützt auf ein PKCS#11-HSM oder Cloud-KMS für Produktionsschlüssel Halten Signaturschlüssel von Build-Maschinen fern und führen Buch darüber, was wann signiert wurde.
Update-Clients auf dem Gerät Mender, RAUC, SWUpdate, OSTree Prüfen ein signiertes Update auf dem Gerät, installieren in einen redundanten Slot oder ein Deployment und rollen bei einem Fehler zurück. Wie das Update auf das Gerät kommt, hängt davon ab, wie Sie sie integrieren.
Rollout-Orchestrierung und Frameworks Eclipse hawkBit (serverseitiger Rollout auf eine Flotte), Uptane (Secure-Update-Framework für Automotive) Verwalten und stufen die Auslieferung an viele Geräte. Das sind keine On-Device-Installer.
Verknüpfung mit Advisory und Behebung OpenVEX, CSAF, CycloneDX VEX Veröffentlichen maschinenlesbare Aussagen zu Schwachstelle und Ausnutzbarkeit neben dem Update.
Unsere Sicht: bauen Sie den Updater nicht von Grund auf neu

Für ein eingebettetes Produkt kann ein gepflegtes A/B-Framework wie Mender, RAUC, SWUpdate oder OSTree Ihnen signierte Images, On-Device-Prüfung, atomare Installation und Rollback geben, sobald es für Ihr Update-Modell konfiguriert ist. Das deckt den Großteil der Schritte 4 bis 7 in einer Abhängigkeit ab, die Sie nicht selbst pflegen müssen. Das Thermostat-Beispiel unten liest sich wie eine handgebaute Version dessen, was diese Werkzeuge nach der Einrichtung liefern. Stecken Sie Ihre eigene Mühe in Schlüsselschutz und Build-Provenance, die Teile, die Ihnen kein Updater von selbst abnimmt.

Bauen Sie den Updater in Abhängigkeitsreihenfolge

Dieser Teil ist unsere Empfehlung, nicht die von ENISA. Ein Vorbehalt zuerst: Das ist keine Auswahlliste zum Aufhören. Der CRA verlangt jede anwendbare grundlegende Cybersicherheitsanforderung, die auf Ihr Produkt zutrifft, nach Ihrer Risikobewertung gemäß Anhang I, das Ziel ist also der vollständige Satz an Kontrollen. Was folgt, ist die Reihenfolge, in der wir sie bauen würden, damit ein kleines Team nicht an 36 Empfehlungen erstarrt. Die Grundlage macht die späteren Kontrollen erst sinnvoll, die Reihenfolge zählt also.

  1. Metadaten signieren und auf dem Gerät prüfen. Richten Sie einen Root-Vertrauensanker ein und prüfen Sie die Signatur, bevor etwas installiert wird. Tun Sie das zuerst, denn jede andere Kontrolle setzt voraus, dass das Gerät nur echte Updates akzeptiert. Ohne sie ist der Rest Dekoration.
  2. Den Transport absichern. TLS für Discovery und Abruf, und jedes CDN oder jeden Mirror als nicht vertrauenswürdig behandeln. Das ist meist Konfiguration, also günstig, und es schließt den ASUS-artigen Abruf-Angriff.
  3. Hash- und Anwendbarkeitsprüfungen ergänzen. Kleine Ergänzungen beim Prüfschritt: bestätigen, dass der Artefakt-Hash zum signierten Manifest passt und dass das Update zu diesem Modell und dieser Version passt. Geringer Aufwand, sobald die Signierung steht.
  4. Anti-Rollback früh einplanen. Es ist die am schwersten nachzurüstende Kontrolle, weil sie geschützten Zähler-Zustand und Bootloader-Mitwirkung braucht, planen Sie sie also jetzt, auch wenn sie später landet. Es ist die Freeze- und Downgrade-Abwehr, die ENISA am stärksten betont.
  5. Installationen atomar machen, mit Rollback. A/B oder redundante Slots, damit ein schlechtes Release (der CrowdStrike-Fehlerfall) das Gerät nicht unbrauchbar macht. Das ist ein großer Aufwand, wenn handgebaut, weshalb hier meist ein gepflegtes Framework gewinnt.
  6. Ergebnisse protokollieren und melden. Ein manipulationssicheres Update-Log und Fehlermeldung, damit Sie ein Problem erkennen und belegen können, was geschah. Daraus schöpft auch Ihr CRA-Nachweis.

Ein durchgerechnetes Beispiel: ein Thermostat-Patch ausliefern

ENISA schließt mit einem konkreten Beispiel, und es ist der klarste Teil des Dokuments. Ein eingebettetes IoT-Thermostat in Version 1.0.0 braucht eine Sicherheitsaktualisierung, die EUVDB-202X-Y behebt, einen Fehler in der Eingabevalidierung. Das Gerät nutzt einen In-Band-Updater. Das Beispiel ist illustrativ, kein universeller Bauplan.

Der Hersteller betreibt zwei Signierebenen. Eine Root-Signaturinstanz bleibt offline und autorisiert einen operativen Vendor-Signaturschlüssel für reguläre Releases. Diese Trennung lässt den Vendor-Schlüssel rotieren, ohne den Root-Vertrauensanker des Geräts zu ändern.

Das Gerät wird mit den unten gezeigten Teilen ausgeliefert.

Skizze des Thermostats links, mit dem Drehregler auf aktueller Firmware v1.0.0, zwei Firmware-Slots slot_a und slot_b, einem Staging-Bereich für ungeprüfte Downloads und einem Update, das über TLS eintrifft. Rechts sechs Komponenten. root_public.pem ist der bei der Herstellung gesetzte Vertrauensanker, der Signaturschlüssel prüft. vendor_public.pem prüft signierte Update-Metadaten und ist über ein Update rotierbar. slot_a und slot_b sind zwei Firmware-Slots für A/B-Updates. staging ist der Haltebereich für ungeprüfte Downloads. rollback_counter ist geschützter Anti-Rollback-Zustand im nichtflüchtigen Speicher. ca.pem ist der TLS-Vertrauensspeicher, der das Zertifikat des Update-Servers validiert.
Was im Gerät ausgeliefert wird, und wie ein Update eintrifft, bevor es geprüft wird.

Vorbereitung. Der Build läuft in einer kontrollierten Umgebung mit nur autorisiertem Code und autorisierten Abhängigkeiten. Eine SBOM wird erzeugt und auf Schwachstellen geprüft. Der Hersteller erzeugt eine signierte manifest.json mit dem SHA-256-Hash und der Dateigröße, dem zutreffenden Produkt und der Version, Frische- und Anti-Rollback-Feldern (Zeitstempel, Ablauf, Rollback-Zähler) sowie Advisory-Informationen (Schwere, Advisory-URL). Eine Änderung des Pakets auf Byte-Ebene erzeugt einen anderen Hash, der auf dem Gerät auffällt.

openssl dgst -sha256 -sign keys/vendor_private.pem \
  -out repo/manifest.json.sig repo/manifest.json

Discovery. Das Thermostat prüft über TLS auf Updates und validiert das Server-Zertifikat gegen ca.pem. Die Felder update_type und severity lassen es eine Sicherheitsaktualisierung von einem regulären Release unterscheiden und den Nutzer entsprechend benachrichtigen. Downloads landen in staging, sodass ein Stromausfall mitten im Download die laufende Firmware nie berührt.

curl --tlsv1.2 --cacert /etc/ssl/certs/ca.pem \
  https://updates.acme.com/device/manifest.json -o manifest.json

Verifikation und Installation. Vor der Installation führt das Gerät fünf Prüfungen in dieser Reihenfolge aus. Schlägt eine fehl, bricht es ab.

Fünf Prüfungen laufen der Reihe nach, bevor ein Update installiert, und jeder Fehler bricht ab und behält die aktuelle Firmware. Prüfung 1 Signaturschlüssel-Vertrauen: der Root-Schlüssel bestätigt, dass der Vendor-Schlüssel autorisiert ist. Prüfung 2 Signatur: der Vendor-Schlüssel verifiziert die Manifest-Signatur. Prüfung 3 Hash: der Artefakt-SHA-256 passt zum Manifest. Prüfung 4 Anti-Rollback: der Rollback-Zähler im Manifest ist mindestens so hoch wie der des Geräts. Prüfung 5 Anwendbarkeit: Modell, Version, Zeitstempel und Konfiguration passen. Bestehen alle fünf, schreibt die Firmware in den inaktiven Slot und aktiviert mit einem atomaren A/B-Wechsel. Schlägt eine Prüfung fehl, bricht das Update ab und die laufende Firmware bleibt unberührt.
Ein Update muss alle fünf Prüfungen bestehen, bevor es die aktive Firmware berührt.

Die Anti-Rollback-Prüfung wiegt am schwersten. Der Rollback-Zähler des Geräts steigt erst, nachdem neue Firmware bootet und ihre Health-Checks besteht, ein fehlgeschlagenes oder schädliches Update kann die Schwelle also nicht heimlich anheben und einen späteren Fix aussperren. Bei Erfolg schreibt die Firmware in den inaktiven Slot und aktiviert mit einem atomaren Slot-Wechsel, sodass immer eine als gut bekannte Version bleibt. Beobachtbarkeit protokolliert jeden Versuch in einem zugriffsbeschränkten update.log mit Zeitstempel und Status. Wird der Vendor-Schlüssel je kompromittiert, signiert der Hersteller einen neuen Vendor-Schlüssel und liefert ihn aus, den der Root-Schlüssel autorisiert. Der Root-Schlüssel wird nie über diesen Kanal aktualisiert. Eine Root-Kompromittierung braucht einen separaten sicheren Prozess wie ein Factory Reset.

Was das für Ihre CRA-Akte bedeutet

Die letzte Tabelle des Advisory paart jede Sicherheitsaussage mit Beispiel-Nachweisen und Artefakten. Diese Zuordnung ist die Brücke zu Ihrer technischen Dokumentation. Die technische Dokumentation des CRA verlangt beides: eine Beschreibung Ihrer Lösung zur sicheren Verbreitung von Aktualisierungen (Anhang VII) und den Nachweis dahinter, einschließlich einer Software-Stückliste (SBOM) und Testberichten. Eine Beschreibung ohne Substanz dahinter ist die Schwachstelle.

Unsere Sicht: beginnen Sie mit dem Nachweis, nicht mit den Kontrollen

Das ist unsere Sicht, nicht die von ENISA. Für einen Mittelständler mit knapper Zeit ist diese Tabelle der Teil des Advisory, an dem Sie zuerst arbeiten. Die technische Dokumentation des CRA (Artikel 31 und Anhang VII) will eine Beschreibung Ihrer Update-Lösung plus den Nachweis dahinter: Testberichte, eine SBOM und Artefakte. Die Beschreibung können die meisten Teams schreiben. Die härtere Frage ist, ob Sie den Nachweis für jede Aussage heute liefern können. Dort würden wir die erste Stunde investieren.

Die Sicherheitsaussagen des Beispiels und der Nachweis, der jede stützt, sehen so aus.

Was Sie geltend machen können Nachweis, den Sie aufbewahren
Dem Update kann vertraut werden (Herkunft und Zusammensetzung) Build-Logs, SBOM, SCA-Ergebnisse, CI/CD-Aufzeichnungen
Geschützt vor unautorisiertem Release oder Vortäuschung Signiertes Manifest, öffentliche Root- und Vendor-Schlüssel, Signaturprotokolle
Sicherheitsfixes werden ohne betrieblichen Verzug ausgespielt Release Notes nur zu Sicherheit, Manifest-Felder
Der Update-Kanal ist authentifiziert und vertraulich ca.pem, TLS-Einstellungen
Geschützt davor, auf einer verwundbaren Version eingefroren zu werden Frische-Prüfungen, Ablauf, Logs der Versionsvalidierung
Vor Aktivierung geprüft, gegen Downgrade geschützt Öffentliche Schlüssel, Signaturdateien, Anti-Rollback-Zustand
Fehler werden erkannt und sind behebbar update.log, Health-Check-Logs, Rollback-Aufzeichnungen

Jede Zeile stützt eine oder mehrere Anforderungen aus CRA Anhang I, von Integrität und sicherer Verbreitung bis zu Monitoring und Verfügbarkeit. Die Details auf Artikelebene finden Sie unter CRA-Anforderungen an Sicherheitsaktualisierungen.

Wenn Sie die rechte Spalte heute nicht liefern können, ist diese Lücke Ihr Arbeitspunkt. Ein VEX-Eintrag und eine SBOM-gestützte Abhängigkeitsprüfung decken zwei dieser Zeilen direkt ab. Ihre Lieferanten-Sorgfaltsprüfung deckt die Vertrauenszeile für Komponenten ab, die Sie nicht selbst geschrieben haben.

Häufig gestellte Fragen

Ist der ENISA-Advisory zu sicheren Update-Mechanismen verpflichtend?

Nein. Es ist ein technischer Advisory-Entwurf, keine Rechtsberatung, und ENISA stellt fest, dass er keine Konformitätsvermutung ist. Die bindenden Pflichten stehen im CRA, vor allem in den Update-Anforderungen aus Anhang I. Der Advisory hilft Ihnen, sie in der Praxis zu erfüllen, aber eine Marktüberwachungsbehörde bewertet Sie an der Verordnung (EU) 2024/2847, nicht an diesem Dokument. In Deutschland ist das BSI (Bundesamt für Sicherheit in der Informationstechnik) die nationale Cybersicherheitsbehörde, doch Ihre bindenden Pflichten ergeben sich aus dem CRA selbst.

Wie unterscheidet sich das vom ENISA-Playbook Secure by Design?

Das Playbook Secure by Design and Default deckt das ganze Produkt über 22 Prinzipien und den gesamten Lebenszyklus ab. Dieser Advisory zoomt auf ein Teilsystem, den Update-Kanal, und geht tief auf seine sieben Schritte, Bedrohungen und Kontrollen. Lesen Sie das Playbook für produktweite Prinzipien und diesen Advisory, wenn Sie den Updater selbst entwerfen oder prüfen.

Welche CRA-Anforderungen erfüllt ein sicherer Update-Mechanismus?

Ein sicherer Update-Mechanismus ist der Weg, mit dem Sie die Update-Pflichten aus CRA Anhang I erfüllen. Konkret zeigen Sie damit, dass Sie Sicherheitsfixes schnell ausspielen, über einen manipulationssicheren Kanal verbreiten, vor Beschädigung schützen, Nutzer sie automatisch empfangen lassen und ihnen dabei Kontrolle belassen sowie Nutzer informieren, wann ein Update zählt. Die Kontrollen zu Bauen, Verbreiten, Prüfen und Recovery in diesem Advisory passen zu jedem dieser Punkte. Die Details auf Artikelebene finden Sie unter CRA-Anforderungen an Sicherheitsaktualisierungen.

Muss ich TUF oder Uptane umsetzen?

Nein. Der Advisory ist technologieneutral und sagt nur, dass seine Empfehlungen mit TUF, Uptane und NIST SP 800-40 vereinbar sind. Der Basisschutz ist ein Vertrauensanker auf dem Gerät, signierte Metadaten, Prüfung auf dem Gerät und Anti-Rollback. TUF und Uptane formalisieren mehrere Signaturrollen und Frische-Metadaten für Designs mit höherem Sicherheitsbedarf, setzen Sie sie also ein, wenn Ihr Risikoprofil das verlangt.

Was ist Anti-Rollback und warum betont der Advisory es?

Anti-Rollback hindert einen Angreifer daran, ein Gerät auf eine ältere, verwundbare, aber noch gültig signierte Version zurückzuzwingen. Das ist ein Freeze- oder Downgrade-Angriff, und er taucht bei den Schritten Prüfen, Verifizieren und Installieren auf. Das Thermostat-Beispiel nutzt einen Rollback-Zähler in geschütztem Speicher, der erst nach dem Boot neuer Firmware und bestandenen Health-Checks steigt. Ohne ihn segelt ein signiertes, aber altes Update durch die Signaturprüfung.

Wie reiche ich Feedback bei ENISA ein?

ENISA sammelt Feedback über eine öffentliche Umfrage, mit Frist 10. Juli 2026. Sie können das PDF des Entwurfs auf der ENISA-Website lesen, wo auch der Link zur Umfrage veröffentlicht ist. Wenn Sie Updates für Produkte mit digitalen Elementen ausliefern, ist Ihr reales Auslieferungsmodell genau das, wozu ENISA die Hersteller um eine Einschätzung gebeten hat.

Nächste Schritte

Was Sie vor der Frist am 10. Juli tun

  1. Zeichnen Sie Ihre eigene Version der Sieben-Schritte-Grafik für ein reales Produkt. Markieren Sie, welches der vier Auslieferungsmodelle Sie nutzen und welche Schritte Sie wirklich kontrollieren.
  2. Führen Sie die Sieben-Bedrohungen-Tabelle gegen dieses Produkt. Schreiben Sie je Zeile die Kontrolle auf, die Sie heute haben, und den Nachweis, den Sie zeigen könnten, mit den CRA-Anforderungen an Sicherheitsaktualisierungen als Checkliste.
  3. Schließen Sie die zwei einfachsten Nachweis-Lücken zuerst: erzeugen Sie eine SBOM in Ihrer Build-Pipeline und richten Sie VEX-Einträge für die Advisory-Verknüpfung ein.
  4. Fehlt Ihrem Design Anti-Rollback oder atomare Installation, prüfen Sie ein gepflegtes Update-Framework (Mender, RAUC, SWUpdate, OSTree), bevor Sie es selbst bauen. Es ist die am schwersten nachzurüstende Kontrolle und die, die ENISA am stärksten betont.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für konkrete Compliance-Beratung wenden Sie sich an qualifizierten Rechtsbeistand.

CRA Sicherheit ENISA Lieferkette Secure by Design
Share

Verwandte Artikel

Zurück zu allen Artikeln

Gilt der CRA für Ihr Produkt?

Beantworten Sie 6 einfache Fragen, um herauszufinden, ob Ihr Produkt unter die EU Cyberresilienz-Verordnung fällt. Erhalten Sie Ihr Ergebnis in unter 2 Minuten.

Jetzt prüfen

Bereit für CRA-Konformität?

Beginnen Sie mit der Verwaltung Ihrer SBOMs und Compliance-Dokumentation mit CRA Evidence.

14-tägige Testversion starten

Tiefer Einblick in CRA-Themen

Evergreen-Leitfäden zu den konkreten Anforderungen, Prozessen und Rollen aus dem EU Cyber Resilience Act (CRA).

EU-Konformitätserklärung

Was die EU-Konformitätserklärung enthalten muss, wer sie unterzeichnet und wann sie erforderlich ist.

Leitfaden lesen →
Konformitätsbewertung

Wie die Konformitätsbewertung nach dem CRA funktioniert und wann eine benannte Stelle erforderlich ist.

Leitfaden lesen →
Technische Dokumentation

Was die technische CRA-Dokumentation enthalten muss (Anhang VII Abschnitt für Abschnitt) und wie Hersteller sie strukturieren sollten.

Leitfaden lesen →
SBOM-Anforderungen

Was der CRA für SBOMs vorschreibt und wie BSI TR-03183 Qualitätskriterien definiert.

Leitfaden lesen →
Meldung von Schwachstellen

Wie die 24-Stunden-Meldepflicht gegenüber ENISA funktioniert und was als aktiv ausgenutzte Schwachstelle gilt.

Leitfaden lesen →
Importeurspflichten

Was Artikel 19 von Importeuren verlangt und wie die Herstellerkonformität überprüft wird.

Leitfaden lesen →
Planung des Supportzeitraums

Was die CRA-Supportzeitraumpflicht für Sicherheitsupdates und End-of-Life-Planung bedeutet.

Leitfaden lesen →
Vollständigen CRA-Compliance-Leitfaden ansehen