Alsensio TRA-Reifecheck

Eine Norm sagt, was Sie nachweisen müssen. Sie sagt nicht, wie Sie diesen Nachweis aktuell, vollständig und prüfbar halten.

Was im Ordner liegt

Compliance dokumentiert

  • Bedrohungsanalyse als Excel-Tabelle
  • Anforderungen aus 62443 / CRA als Word-Liste
  • Risikobewertung über mehrere Dateien verteilt
  • Freigaben per E-Mail dokumentiert
  • Report für jedes Audit neu zusammenkopiert
Was beim Audit zählt

Compliance belegt

  • ? Welche Version der Analyse gilt eigentlich?
  • ? Ist jede Anforderung nachweislich abgedeckt — oder nur „sollte passen"?
  • ? Wurde nach der Freigabe noch etwas geändert?
  • ? Lässt sich die Risikoentscheidung lückenlos herleiten?
  • ? Bei jeder Produktvariante alles von vorn?

Diese Lücke zwischen „haben wir dokumentiert" und „können wir belegen" ist das eigentliche Risiko — und der Ansatzpunkt des TRA-Workshops, durchgeführt in TRA Studio.

Normen ändern sich. Ihr Nachweis muss mitwachsen.

Was immer als Nächstes verbindlich wird — der Nachweis muss aktuell, versioniert und prüfbar bleiben. Genau dafür ist TRA Studio gebaut.

1

IEC 62443

Heute etablierter Standard für industrielle Cybersicherheit. 4-1 (Prozess) + 4-2 (technische Controls).

2

Cyber Resilience Act

Meldepflichten: 11.09.2026 · Hauptpflichten: 11.12.2027.
Einordnung: Harmonisierte CRA-Normen in Entwicklung (CEN/CENELEC), voraussichtlich auf Basis IEC 62443.

3

Harmonisierte Normen

Einordnung: In Entwicklung. Was auch immer folgt — der Kern bleibt: ein Nachweis, der aktuell und lückenlos belegbar ist.

„Wer seine Nachweise heute prüfbar führt, ist normfest — egal welche Norm als Nächstes verbindlich wird."

Kostenlos · 16 Fragen · ca. 5 Minuten

Wie belastbar ist Ihre Bedrohungs- & Risikoanalyse?

Der TRA-Reifecheck in zwei Teilen: wie systematisch Sie Bedrohungen und Risiken analysieren (TRA-Methodenreife) — und wie aktuell, nachvollziehbar und prüfbar dieser Nachweis heute wirklich ist (Nachweis-Belastbarkeit).

Angebot

Der TRA-Workshop

Ein moderierter Workshop, in dem wir für Ihr echtes Produkt eine vollständige Bedrohungs- und Risikoanalyse durchführen — live in TRA Studio, gemeinsam mit Ihrem Team. Sie verlassen den Workshop mit einem belastbaren, prüfbaren Nachweis statt einer weiteren Excel-Tabelle. Für Entwicklungsleitung, Produktsicherheitsverantwortliche und Embedded-/Firmware-Architektur.

Teil 1 · Analyse

Ihr Produkt, live analysiert

Wir modellieren Scope, Betriebsumgebung, Schutzziele und Komponenten Ihres Leitprodukts, identifizieren die Bedrohungen systematisch (Interfaces, Schwachstellen, Kataloge wie MITRE ATT&CK for ICS) und bewerten jedes Risiko reproduzierbar nach Exposure × Exploitability × Impact — direkt im Werkzeug, nicht auf Zuruf.

Teil 2 · Maßnahmenplan

Behandeln, priorisiert & belegt

Zu jedem relevanten Risiko entscheiden wir die Behandlung, halten Residualrisiko und Freigabe fest und leiten einen konkreten Maßnahmenplan ab — priorisiert nach Wirkung und Aufwand, mit klaren Verantwortlichkeiten. Der freigegebene Stand bleibt in TRA Studio nachvollziehbar und prüfbar.

Das nehmen Sie konkret mit:

📋

Bewertete Threat-&-Risk-Liste

Ihre realen Bedrohungen mit Risikobewertung und Risikomatrix — für Ihr Leitprodukt, nicht generisch.

🗺️

Maßnahmen- & Behandlungsplan

Priorisierte Maßnahmen mit Residualrisiko, Verantwortlichkeiten und Aufwand — direkt umsetzbar.

📄

Auditfähiger Nachweis

Report mit CRA-Annex-I-Mapping — und der bearbeitete Stand bleibt in TRA Studio, den Sie behalten.

Ausbaupfad

Je nach Ergebnis gehen wir nahtlos in die Umsetzung — technisch am Produkt und organisatorisch im Nachweis, laufend prüfbar mit TRA Studio:

Secure Boot & KryptoIdentity & Use ControlHärtungThreat ModelingSecurity-VerifikationLaufende Nachweisführung in TRA Studio
Dauer: ca. 2–3 Tage · Preis: ab 1.200 € / Tag
TRA-Workshop anfragen →

Häufige Fragen

Wir dokumentieren doch alles — wo ist das Problem? +

Dokumentation ist nicht dasselbe wie ein belastbarer Nachweis. Bedrohungsanalyse in Excel, Anforderungen in Word, Risikobewertung über mehrere Dateien, Freigaben per E-Mail: Beim Audit lässt sich damit oft nicht zweifelsfrei zeigen, welche Version gilt, ob jede Anforderung wirklich abgedeckt ist und ob nach der Freigabe noch etwas geändert wurde. Diese Lücke zwischen „haben wir" und „können wir belegen" ist das eigentliche Risiko.

Was passiert im TRA-Workshop genau? +

Wir führen für Ihr Leitprodukt eine vollständige Bedrohungs- und Risikoanalyse durch gemeinsam mit Ihrem Team: Scope und Betriebsumgebung abgrenzen, Schutzziele und Komponenten erfassen, Bedrohungen systematisch identifizieren (Interfaces, Schwachstellen, Kataloge wie MITRE ATT&CK for ICS) und jedes Risiko reproduzierbar bewerten. Ergebnis sind eine bewertete Risikoliste, ein priorisierter Maßnahmenplan und ein auditfähiger Nachweis mit CRA-Annex-I-Mapping — den Sie behalten.

Brauche ich die Software, um am Workshop teilzunehmen? +

Nein. Wir bringen die Software /*TRA Studio*/ zum Workshop mit und arbeiten Ihre Analyse gemeinsam darin aus — Sie müssen nichts installieren oder lizenzieren. Den erarbeiteten Stand behalten Sie. Wenn Sie die Analyse danach selbst aktuell und prüfbar weiterführen möchten, lässt sich TRA Studio als Desktop-, On-Premises- oder Cloud-Variante nahtlos übernehmen.

Warum reicht ein dokumentierter Prozess nicht? +

IEC 62443 und der Cyber Resilience Act verlangen einen aktuellen, nachvollziehbaren Nachweis — nicht nur eine Ablage. Auditoren und Zertifizierungsstellen prüfen, ob sich Anforderungsabdeckung und Risikoentscheidungen lückenlos herleiten lassen und ob der freigegebene Stand unverändert ist. Der Bruch zwischen Dokument und belegbarem Stand ist der häufigste Befund in unseren Assessments.

Was kostet der TRA-Workshop und wie lange dauert er? +

Richtwert: ca. 2–3 Tage. Preis: ab 1.200 € / Tag. Der genaue Umfang hängt von der Komplexität Ihres Produkts ab — sprechen Sie uns an für ein konkretes Angebot.

Bringt mich das Richtung CRA-Konformität oder Zertifizierung? +

Eine aktuelle, prüfbare Bedrohungs- und Risikoanalyse ist das Fundament — sie erfüllt die im CRA (Annex I) geforderte Risikobewertung und deckt die Secure-by-Design- und Schwachstellenmanagement-Anforderungen nachvollziehbar ab. Das gilt ebenso für IEC 62443 und kommende harmonisierte Normen. Zertifizierung und Zulassung sind separate Schritte, auf die wir im Ausbaupfad vorbereiten können.

TRA-Workshop anfragen

Bereit, aus verstreuten Nachweisen eine belastbare, prüfbare Bedrohungs- und Risikoanalyse zu machen? Sprechen Sie uns an.