Es ist nichts Neues: Systemgrenzen in Engineeringumgebungen, sowie hybride Workflows und Datensilos erschweren Entscheidern das Treffen von optimalen Entscheidungen. Denn ein Blick auf das übergeordnete Gesamtsystem ist meist nicht möglich. Genau diesen übergeordneten Blick auf das eigene System, bestehend aus Anforderungen, Architekturen, Codefragmenten, SBOMs, Tests und anderen Artefakten bietet itemis ANALYZE.

Als state-of-the-art Traceability Werkzeug ist es in der Lage Verknüpfungen der unterschiedlichsten Elemente im eigenen System zu ziehen – manuell, teilautomatisiert oder vollautomatisiert. Als nicht-invasive Software belässt es die Anforderungen im Anforderungsmanagementsystem, den Quellcode im Repository usw. Gleichzeitig versetzt es die Benutzer in die Lage, Zusammenhänge zwischen Anforderungen, Tests und QS-Dokumentation zu sehen.

Bislang erforderte die Analyse dieses komplexen Beziehungsgeflechts oft lokale Softwareinstallationen. Mit itemis ANALYZE Cloud ist der übergeordnete Blick auf das eigene System einfach aus dem Browser heraus möglich. Die Lösung kombiniert die Leistungsfähigkeit der Desktop-Anwendung mit der Zugänglichkeit der Cloud in einem neuen, hybriden Workflow. Projektteams, Stakeholder und Auditoren können über eine WebApp direkt im Browser auf den zentralen Knowledgegraph” zugreifen – ohne technische Hürden. Zudem lassen sich komplexe Projektzustände in der Cloud als revisionssichere Snapshots für Audits „einfrieren”.

Sicherer Governance-Layer für “Agentic AI”

Ein zentrales Element des Cloud-Releases ist die Vorbereitung der Daten für Künstliche Intelligenz Systeme. Während herkömmliche KI-Konnektoren oft große Mengen an Rohdaten blind in Large Language Models (LLMs) laden – was zu Kontextverlust und Halluzinationen führen kann [1]  –, geht itemis einen anderen Weg. itemis ANALYZE fungiert als schützender Governance-Layer. Die Software extrahiert non-invasiv nur die relevanten Beziehungen (Trace-Links) aus den Primärsystemen und liefert der KI eine semantisch aufbereitete Basis für verlässliches Schlussfolgern (Reasoning). Das garantiert “Erklärbare KI”: Jeder Output der KI ist durch direkte Links zur Originalquelle lückenlos nachvollziehbar.

Best-of-Breed (BoB) statt monolithischer Plattform

In einer Zeit, in der proprietäre US-Datenmonolithen den Markt dominieren, setzt itemis ANALYZE bewusst auf den „Best of Breed”-Ansatz [2]. Die offene Adapter-Infrastruktur belässt die volle Datenhoheit in den Primärsystemen der Anwender und verhindert einen Vendor Lock-in.

„Um das volle Potenzial von KI im Systems Engineering sicher zu nutzen, brauchen Unternehmen mehr als nur einen Daten-Dump – sie brauchen einen ‘roten Faden’. Mit itemis ANALYZE Cloud schaffen wir genau diesen Governance-Layer. Wir befreien das Wissen aus lokalen Tool-Silos und ermöglichen es Teams, komplexe Nachweise für Standards wie ASPICE oder ISO 26262 transparent, automatisiert und absolut revisionssicher zu führen”, sagt Dr. Alexander Nyßen, Executive Vice President Digital Engineering bei der itemis AG.

Einladung zum Launch-Event

Die itemis AG lädt Interessenten, Kunden und Pressevertreter ein, den neuen hybriden Workflow und die KI-gestützten Anwendungsfälle live zu erleben:

Wann: 23. April 2026, 16:00 bis 16:45 Uhr (CEST)

Format: Kostenloses Launch-Event (Englisch)

Sprecher: Dr. Alexander Nyßen (EVP Digital Engineering), Jonathan Mohring (Präsident itemis Inc), Florian Antony und Vanessa Klekler.

Registrierung: Formular

[1] – Lost in the Middle: How Language Models Use Long Contexts" (Liu et al., 2023/2024),https://arxiv.org/abs/2307.03172

[2] – Don’t call it platform, A. Nyßen, 2026, https://blogs.itemis.com/…

Stephan E: Die Dringlichkeit ist in den letzten Wochen und Monaten durch die geopolitische und wirtschaftliche Lage nochmals massiv gestiegen. Ich hatte schon vor einiger Zeit darauf hingewiesen, dass dieses Thema an Gewicht zunehmen wird. Die jüngsten Entwicklungen haben diese Intensität nur bestätigt. Wir können nicht länger so blind weitermachen, wie wir das in der Vergangenheit getan haben. Es geht um die Eigenständigkeit, die Resilienz und letztlich um die Wettbewerbsfähigkeit Europas. Für mich lautet heute die Frage nicht mehr ob, sondern wie schnell wir eine Neuausrichtung vornehmen können.

Svenja W: Ja, so eine Aussage hatte ich erwartet. Es gibt so viele Bereiche, bei denen wir weltweit sehr eng vernetzt und gekoppelt sind. Ein Bereich, der vor allem auch Unternehmen betrifft, ist die Cloudinfrastruktur. Laut aktuellen Marktanalysen [3] beläuft sich der Anteil amerikanischer Cloudanbieter in Europa auf 60%, gefolgt von asiatischen Anbietern mit 25% und europäischen von 15%. Diese Abhängigkeit zieht sich dann aber weiter über Betriebssysteme, wie MacOS und Windows, Mikrochips bis hin zu Browsern, Social Media Apps und Messengern. Ich selbst nutze ja bereits Signal als Alternative, nur habe ich das Problem, dass die Mehrzahl meiner Kontakte auf WhatsApp zu finden sind. Wie könnte deiner Ansicht nach eine nachhaltige Strategie hin zu mehr digitaler Souveränität im privaten, aber vor allem im unternehmerischen Umfeld aussehen?

Stephan Eberle: Diese Zahlen sprechen eine erschreckend klare Sprache. Und sie zeigen, wie tief diese Abhängigkeit in unserer digitalen Infrastruktur verwurzelt ist. Sie reicht von der Cloud-Infrastruktur über Shopsysteme, Datenbanken, Sicherheitssystemen bis hin zu Bezahlsystemen. Die Auswirkungen können gravierend sein, wie wir im Falle der Sanktionen gegen die Richter des Internationalen Gerichtshofes gesehen haben. Für sie hat der Ausschluss aus diesen Systemen weitreichende Folgen, die weit über das Versenden von E-Mails hinausgehen: bargeldlose Zahlungen können nicht durchgeführt werden, Hotels nicht gebucht werden, Kreditkarten sind von heute auf morgen ungültig. Mein Weg hin zu mehr digitaler Souveränität und weniger Abhängigkeit setzt nicht auf einen “Big Bang”-Komplettumstieg, sondern eine schrittweise Strategie.

Mit dem +1-Migrationspfad hin zum 2-Geschwindigkeiten-Modell der IT-Infrastruktur

Svenja W: Bei dem Wort “schrittweise” denke ich direkt an das japanische Prinzip Kaizen – die Philosophie der kontinuierlichen Verbesserung in kleinen, schrittweisen Etappen. Nachdem Toyota damit so erfolgreich sein Produktionssystem aufgebaut hatte, was schon 40 Jahre her ist, nutzen heute diverse Unternehmen weltweit diesen Ansatz zur kontinuierlichen Verbesserung. Das wird vor allem in Produktions- oder Entwicklungsprozessen eingesetzt. Mit Changemanagement, bspw. in Richtung “digitaler Souveränität”, bringe ich es jetzt direkt nicht in Verbindung. Wie genau würdest du einen derartigen Umstieg beschreiben?

Stephan E: Es ist mir wichtig, nicht einen “entweder-oder”-Ansatz zu propagieren. Ich orientiere mich eher an dem  "+1"-Ansatz des DI.Day, des digitalen Unabhängigkeitstages [5]. Diese Initiative ruft jeden ersten Sonntag des Monats dazu auf, zu digitalen Angeboten zu wechseln, die mit unseren demokratischen Werten vereinbar sind. Dabei muss man nicht sofort alles kappen. Stattdessen schaltet man zunächst eine zusätzliche, souveräne Alternative hinzu. Das nimmt den Druck heraus. Genauso können Unternehmen verfahren. So schneidet sich das Unternehmen nicht plötzlich von einer funktionierenden Infrastruktur ab und schafft ein zweites Standbein. Das bedeutet zunächst mehr Redundanz, Wartungsaufwand und Kosten. Es senkt aber das Risiko eines Komplettausfalls und schafft Resilienz. Fällt das eine System aus, hast du ein Backup. Ich würde im geschäftlichen Umfeld in kleinen, vertretbaren Bereichen beginnen. Hier kann man ohne Druck Alternativen erproben und die "Nadel jeden Tag ein Stückchen in Richtung Unabhängigkeit verschieben."

Svenja W: Wobei der Druck, wie wir ja jeden Tag in den Nachrichten lesen, zunimmt. Von einem +1-Ansatz habe ich kürzlich aus dem Land Schleswig-Holstein gelesen [4]. Hier gibt es ein Projekt „Linux +1“ der Landesregierung. In der öffentlichen Verwaltung entstehen digital souveräne IT‑Arbeitsplätze, die weg von den bisherigen Standards, wie Windows/Office hin zu Linux und Open-Source-Software aufgebaut werden. Hier bedeutet das “+1”, dass neben Linux als Basisbetriebssystem zusätzlich alle nötigen Open‑Source-Anwendungen und Dienste bereitgestellt werden, um einen voll funktionsfähigen, modernen IT‑Arbeitsplatz zu schaffen. Stellst du dir die Zielarchitektur für Unternehmen ähnlich vor?

Stephan E: Ich würde bei Unternehmen einen hybriden Ansatz vorziehen. Es hat keinen Sinn, sich unnötig aus funktionierenden Systemen auszuschließen, nur um maximal souverän zu sein. Ich sehe hier eher ein 2-Geschwindigkeiten-Modell: Zielarchitekturen mit einer Kombination aus hochperformanten Hyperscale-Cloudkomponenten (meist amerikanisch) und EU-Rechts- und Datenschutzkonformen Cloudkomponenten. Letztere sind zwar weniger performant, bieten aber mehr Schutz für sensible Daten und stellen ein wertvolles Backup-System für den “Fall der Fälle” dar. Aktuell sehe ich derartige Changeprozesse eher weniger. Hier fehlt mir im Allgemeinen etwas der Tatendrang. Ich wünsche mir, dass wir – Unternehmen in Europa – das Bewusstsein entwickeln und die Tendenz hin zu mehr Eigenständigkeit ganz klar favorisieren. Vor allem sollten wir Europas Pflänzchen gießen: Förderung statt nur Lippenbekenntnisse.

Svenja W: Ja, dazu hast du ja deinen Unmut zu den Plänen der bayerischen Landesregierung öffentlich geäußert, milliardenschwere Lizenzverträge mit Microsoft auf den Weg zu bringen [6]. Interessant in diesem Zusammenhang finde ich auch die Initiative von AWS Europa mit seinem neuen Produkt, der so genannten “European Digital Sovereignty Cloud” (ESC) zu unterstützen. Das BSI prüft aktuell, ob die ESC mit den rechtlichen Vorgaben in Europa vereinbar ist [8]. Wie schätzt du diese Initiative ein? Unsere "heimischen Pflänzchen" werden durch derartige Angebote ja weniger gestärkt, oder?

Stetig und konsequent handeln

Stephan Eberle: Du sagst es. Ich frage mich, ob diese ESC nicht eine Totgeburt ist. Eine Studie der Uni Köln legt dar, dass sogar europäische Unternehmen mit "relevanten Geschäftsbeziehungen in die USA" von der US-Jurisdiktion erfasst werden können  [9]. Meiner Ansicht nach scheint die von der ESC geplante Abkopplung von der globalen AWS‑Umgebung alles andere als ausreichend, um die Daten wirklich vor Herausgabepflichten zu schützen. Auch Gipfeltreffen, wie im November 2025 in Berlin [7] sind ein guter Start. Darüber hinaus sollten wir aktiv Alternativen schaffen, finden und verwenden.

Ein Beispiel ist Black Forest Labs [10] in Freiburg, die Open Weight KI-Lösungen für Bildbearbeitung entwickeln und das Potenzial haben, eine Alternative zu Lösungen von Unternehmen wie Open AI zu bieten. Solche Ansätze müssen wir sehen, ihnen eine Chance geben und sie fördern. Die konsequente Haltung von Schleswig-Holstein auf Alternativen zu setzen, zeigt, dass ein anderer Weg möglich und machbar ist. Es ist eine Frage des Willens und der Bereitstellung von Ressourcen. Diese Transformation geschieht nicht von allein und nicht von wenigen.

Der risiko-getriebene Ansatz: Selbst entscheiden statt EU-Diktat

Svenja W: Das haben auch die Regierungen erkannt. Am 6. Mai 2025 wurde in Deutschland, das BMDS, das Bundesministerium für Digitale Souveränität gegründet. Der Fokus liegt hier, wie der Name schon sagt, in der Stärkung der technologischen Unabhängigkeit in den Bereichen KI, Cloud-Infrastrukturen, Zero Trust und Open Source. Erste Schritte waren unter anderem der Europäische Souveränitätsgipfel im November, Investitionspakete und Partnerschaften, sowie die Gründung eines Infrastrukturgremiums zwischen Frankreich, Deutschland, Italien und den Niederlanden [13]. Auf europäischer Ebene gibt es seit 2022 die beiden recht jungen Gesetze Digital Services Act (DSA) und Digital Markets Act (DMA) [14]. Diese zielen darauf ab, sehr große externe Player im europäischen Markt zu beobachten und den Einfluss zu regulieren. Sie sprechen von VLOBs, also Very Large Online Platforms oder Very Large Online Search Engines (VLOSEs). Diese haben unter Umständen einen derart mächtigen Marktanteil im europäischen Binnenraum, dass sie als sogenannte “Gatekeeper” bezeichnet werden. Sie sind in der Lage, durch ihr Handeln einen entscheidenden Einfluss auf diesen Markt auszuüben. Ich sehe ganz klar, dass sich hier etwas bewegt. Meinst du das reicht oder würde deiner Ansicht nach eine verpflichtende Verordnung nach dem Muster des Cyber Resilience Acts (CRA) stärkere Wirkung entfalten?

Stephan E: Eine erzwungene Compliance, eine Art "Digital Sovereignty Act" nach dem Muster einer weiteren EU-Richtlinie, würde am Ende nur Innovation und Best-Practices bremsen und das Gesamtsystem weiter verkomplizieren. Es gibt Bereiche, in denen die ausländischen Lösungen schlichtweg die weltweit führenden sind – nimm Google Gemini als Beispiel. Ich finde es wäre absurd, Unternehmen per Gesetz zu zwingen, dieses nicht zu nutzen und stattdessen auf eine weniger leistungsfähige Alternative umzusteigen – daher präferiere ich diesen 2-Phasen-Ansatz. Die Verantwortung sollte bei den Unternehmen bleiben. Ich favorisiere einen risiko-getriebenen Ansatz: Jedes Unternehmen erstellt eine grobe Risikobewertung hinsichtlich der digitalen Souveränität. Es geht um die Frage: Kann ich das Risiko vertreten, das ich eingehe, wenn ich dieses oder jenes System exklusiv nutze?

Das Risiko steigt durch die internationalen Entwicklungen ohnehin. Unternehmen werden reagieren müssen, weil sie sehen, dass ihre Geschäftsprozesse gefährdet sind. Eine Risikoanalyse sollte genau solche Bedrohungen enthalten und die Bereiche, oder Assets, identifizieren, die im Falle einer solchen Eskalation am stärksten betroffen wären. Das kann eine Cloudlösung, Microchips, ein Satellitensystem, AI-Modell oder eine unternehmenskritische Software sein. Genau an dieser Stelle kann man dann mit dem "+1"-Ansatz beginnen.

Europäische Alternativen: EuroStack und co.

Svenja W: So eine Risikoanalyse hat ja der Europäischer Rat für Auswärtige Beziehungen (ECFR) für den Markt Europa bereits erstellt. Die vier am meisten risikobehafteten Bereiche AI, Cloud Computing, Space und Chips werden nun beim Aufbau des so genannten EuroStack innereuropäisch gestärkt EuroStack [11]. Wenn ich als Unternehmen nun auf der Suche nach innereuropäischen Alternativen bin, wo starte ich mit meiner Suche?

Stephan E: Es gibt unterschiedliche Verzeichnisse, wie die crowdfinanzierte Seite “alternativeto.net”, die international ist. Für europäische Alternativen gibt es das Verzeichnis “european-alternatives.eu”. Hier kann jeder auch eigene europäische Alternativen einreichen und das Verzeichnis aktiv mitgestalten.

Cloud-agnostic: ein Qualitätskriterium in bezüglich Resilienz

Svenja W: Wenn ich mir die Angebote anschaue, gibt es hier schon einiges. Bei den Cloudapps sehe ich häufig die Alternative, diese selbst zu hosten. Für kleinere und mittelständische Unternehmen ist genau die Möglichkeit, eine App in einer etablierten Cloudumgebung laufen zu lassen, die erste Wahl. Diese haben einfach nicht die Ressourcen, eine eigene Cloudumgebung zu administrieren. Gibt es für diese vertrauenswürdige Alternativen? Gibt es Qualitätsmerkmale, die du hervorheben würdest?

Stephan E: Schauen wir auf die Cloudarchitektur würde ich einen Schritt zurücktreten und strikte Abhängigkeiten meiner Cloudanwendungen von dem jeweiligen Anbieter lösen. Denn es gibt mit Scaleway, IONOS oder STACKIT europäische Cloudanbieter. Bezüglich der Architektur bedeutet dies im ersten Schritt einen konsequenten Einsatz von Containerisierung (bspw. Kubernetes) und Infrastructure-as-Code (Terraform). Das erhöht die Abstraktionsebene und ermöglicht es, Anwendungen „auf Knopfdruck“ auch bei europäischen Hostern (z. B. StackIT, IONOS, oder OVH) deployen oder eben auch selbst, d.h. auf eigener Server-Hardware, hosten zu können. Genau das bringt mich zur Cloud-Agnostizität. Sie ist die zentrale technische Voraussetzung für digitale Souveränität von Cloudanwendungen. Wenn Anwendungen von vornherein so ausgelegt sind, dass sie unabhängig von einer spezifischen Cloud-Umgebung betrieben werden können, schaffen wir maximale Freiheit und minimieren das Risiko einer Vendor-Lock-in-Situation.

itemis Produkte sind cloudagnostisch

Wir haben das für unsere Produkte itemis CREATE (Zustandsautomatenmodellierung), itemis ANALYZE (Traceability, Knowledge-Graph) und itemis SECURE (Risikoanalyse und Compliance) konsequent umgesetzt. Bisher hat das noch kein Kunde verlangt, aber wir arbeiten proaktiv daran, dass wir dazu bereit sind, sobald dies geschieht. Zu itemis ANALYZE möchte ich noch hinzufügen: itemis ANALYZE ist eine souveräne europäische Alternative zu Palantir. Die Lösung vernetzt Daten non-invasiv als Wissensgraph, garantiert volle Datenhoheit ohne Vendor Lock-in und bietet revisionssichere, belegbare Entscheidungsvorlagen. Im Grunde geht es darum, Daten aus unterschiedlichsten Kontexten und Quellen zusammen auszuwerten. Dabei ist es egal, welcher Art diese Daten sind. Das ist die Basisfunktion.

Doch zurück zu dem Thema Cloudagnostizität: Für DevOps gibt es unterschiedliche Open Source-Projekte, welche die cloudagnostische Auslegung erleichtern, wie jclouds [12]. Dies ist eines von mehreren Open Source Projekten, die wir unterstützen. Es ermöglicht den Zugriff mit Java auf Blob Stores, Datenbanken und mehr in AWS, Azure, GCP oder eigener Infrastruktur, ohne dass die Cloudanwendung “wissen muss”, auf welcher dieser Cloudumgebung sie gerade läuft – eine Abstraktionsebene zwischen Service und Cloudumgebung.

Svenja W: Sehr spannend, noch einmal zu hören, wie bedeutsam unsere europäische digitale Souveränität ist. Am besten gefiel mir die Idee des schrittweisen Übergangs und dem +1-Ansatz und die Kombination der US-Performance und EU-Compliance im “2-Geschwindigkeiten-Modell”. Das unterstützt vor allem bei der Frage: "Wo fange ich an?”. Ich schaue auf meine Risiken und bearbeite die Teile meiner IT-Infrastruktur mit den größten Risiken zunächst. Die dabei entstehenden Mehrkosten betrachte ich als sogenannte „Versicherungsprämie“. Und dann gehe ich in kleinen, aber kontinuierlichen Schritten in Richtung technologischer Unabhängigkeit. Es muss kein kalter Komplettumstieg sein. In kleinen Schritten zum Ziel – im Sinne von Kaizen. Spannendes Thema, vielen Dank für das Gespräch.

Literaturverzeichnis

[1] Blog: https://blog.fahl-secure.de/post/digitale-souveraenitaet-illusion/, abgerufen 27.1.2026

[2] Artikel: https://www.derstandard.at/story/3000000284329/, abgerufen 27.1.2026

[3] Artikel: https://www.srgresearch.com/…, abgerufen 27.1.2026

[4] Projektseite: https://www.schleswig-holstein.de/DE/landesregierung/themen/digitalisierung/linux-plus1/Projekt, abgerufen 27.1.2026

[5] Projektseite: https://di.day/ , abgerufen am 27.1.2026

[6] LinkedIN-Beitrag: https://www.linkedin.com/feed/update/urn:li:activity:7406611615996907520/, abgerufen am 27.1.2026

[7] Artikel: https://www.golem.de/news/digitaler-souveraenitaetsgipfel-vorteile-fuer-eu-firmen-bei-it-ausschreibungen-geplant-2511-202282.html, abgerufen am 27.1.2026

[8] https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2026/260115_BSI_AWS_European_Cloud.html, abgerufen am 29.1.2026

[9] https://www.heise.de/news/Gutachten-US-Behoerden-haben-weitreichenden-Zugriff-auf-europaeische-Cloud-Daten-11111043.html, abgerufen am 29.1.2026

[10] https://bfl.ai/about, abgerufen am 29.1.2026

[11] https://ecfr.eu/publication/get-over-your-x-a-european-plan-to-escape-american-technology/, abgerufen am 29.1.2026

[12] stephaneberle9/jclouds: The Java Multi-Cloud Toolkit

[13] https://bmds.bund.de/… , abgerufen am 15.2.2026

[14] https://www.swp-berlin.org/publikation/eu-binnenmarkt-und-online-plattformen, abgerufen am 17.2.2026

Sicherheit durch Konformität: Der CRA wirft seine Schatten voraus

Der bereits am 10. Dezember 2024 in Kraft getretene CRA verfolgt ein klares Ziel: Verbraucherprodukte müssen über ihren gesamten Lebenszyklus hinweg cybersicher sein. Dies gilt insbesondere für Produkte, die sensible Bereiche des Privatlebens oder der Gesundheit betreffen, wie etwa vernetzte Alarmanlagen oder am Körper tragbare medizinische Geräte (Wearables).

Obwohl die Verordnung erst 2027 vollständig verbindlich wird, stehen kritische Meilensteine bereits für dieses Jahr fest:
11. Juni 2026: Notifizierung von Konformitätsbewertungsstellen.
11. September 2026: Beginn der strikten Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle.

Strategische Relevanz: itemis PODIUM klärt auf

"Der CRA ist kein reines IT-Thema – es ist ein strategisches Product-Security-Thema", betont Dirk Leopold (EVP Digital Engineering, itemis AG). Wer sich nicht frühzeitig vorbereitet, riskiert im Ernstfall den Marktausschluss seiner Produkte. Da die ersten Meldepflichten bereits in weniger als sechs Monaten wirksam werden, stellen sich viele Unternehmen drängende Fragen: Was genau muss gemeldet werden? Auf welchem Weg und an welche Stellen?

Um Licht ins regulatorische Dunkel zu bringen, lädt die itemis AG zum nächsten itemis PODIUM am 18. März um 12 Uhr ein. Die Expertenrunde bietet einen praktischen Leitfaden, damit Unternehmen sicher auf Kurs bleiben.

Expertenrunde und Community-Vorstellung

Unter der bewährten Moderation von Dirk Leopold diskutiert ein hochkarätiges Panel die Anforderungen des CRA:
Michael Happ und Tim Scherer (bekannt aus dem letzten Podium)
Janine Funke und Hauke Petersen als zusätzliche Experten auf der Bühne.

Neben der Erläuterung der konkreten Fristen zum 11. September wird im Rahmen der Veranstaltung eine neue Community für alle CRA-Betroffenen vorgestellt. Teilnehmer haben zudem die Chance, ihre individuellen Fragen im Live-Chat direkt an die Experten zu stellen.

Gezielte Risikoanalyse als Schlüssel zur CRA – Konformität 

Ein zentraler Aspekt der neuen Verordnung ist die systematische Identifikation von Bedrohungen und der Abschätzung von Cyberrisiken. Hier setzt die itemis AG mit technischer Expertise an: Die notwendige Bedrohungs- und Cybersecurity Risikoanalyse (TARA) lässt sich effizient und normkonform mit dem Produkt itemis SECURE durchführen, sowohl als Desktopanwendung als auch im Web. Damit bietet itemis nicht nur das strategische Wissen, sondern auch die passende Werkzeugunterstützung für die praktische Umsetzung der CRA-Anforderungen im Unternehmen.

Anmeldung und Teilnahme

Die Veranstaltung richtet sich an Geschäftsführer, Produktmanager und Sicherheitsverantwortliche, die den CRA nicht nur als Hürde, sondern als Qualitätsmerkmal begreifen wollen. Eine frühzeitige Auseinandersetzung ist essenziell, um die Konformität der eigenen Produkte sicherzustellen. 

Weitere Informationen:

Live Event auf LinkedIN – itemis Podium

Produktseite zu itemis SECURE

Das Ergebnis ist zwar lauffähiger Code, jedoch keine echte Modernisierung. Architektur, Paradigmen und strukturelle Altlasten des Bestandssystems werden häufig unverändert übernommen. In der Praxis folgt auf die Migration daher ein langwieriges, manuelles Refactoring, über Monate oder Jahre.

Auch aktuelle KI-gestützte Ansätze stoßen an Grenzen. Legacy-Systeme sind meist über Jahrzehnte gewachsen, fachlich komplex und eng verflochten. Ohne ein strukturiertes Vorgehen zum systematischen Gesamtverständnis bleibt die Modernisierung fragmentarisch und erzeugt sogar falsche Ergebnisse. Das zentrale Problem ist daher nicht die Übersetzung einzelner Codeabschnitte, sondern das fehlende strukturelle Verständnis des Gesamtsystems.

Die itemis AG hat einen KI-gestützten Ansatz entwickelt, der Migration als kontrollierten, wissensbasierten Konstruktionsprozess versteht. Der Ansatz gliedert sich in drei klar definierte Schritte:

1. Semantische Gesamtanalyse und strukturierte Dokumentation

Im ersten Schritt analysiert die KI das Bestandssystem ganzheitlich. Implizite Fachlogik, technische Abhängigkeiten, architektonische Muster und historische Designentscheidungen werden systematisch extrahiert und über mehrere Abstraktionsebenen dokumentiert.

Diese strukturierte Systembeschreibung schafft erstmals Transparenz über gewachsene Komplexität und bildet die Grundlage für fundierte Modernisierungsentscheidungen.

2. Generierung nachvollziehbarer Refactoring- und Migrationspläne

Auf Basis der gewonnenen Erkenntnisse werden strukturierte Pläne erstellt, die beschreiben, wie bestehende Logik kontrolliert in native Konzepte der Zielarchitektur überführt wird.

Moderne Architekturprinzipien wie klare Modularisierung, Dependency Injection oder ereignisgetriebene Strukturen werden dabei gezielt berücksichtigt. Refactoring wird dadurch planbar und methodisch gesteuert.

3. Kontrollierte Transformation mit Mensch-in-der-Schleife

Erst im dritten Schritt erfolgt die eigentliche Code-Transformation. Der gesamte Prozess ist auf Transparenz und Überprüfbarkeit ausgelegt. Fachexperten können in jeder Phase Beobachtungen, Domänenwissen und bewusste historische Designentscheidungen einbringen.

Durch diese Kombination aus KI-gestützter Analyse und menschlicher Expertise entsteht eine kontrollierbare und belastbare Modernisierung.

Der Ansatz verschiebt den Fokus von der reinen Code-Übersetzung hin zu einem strukturierten Architekturprozess. Unternehmen profitieren von:

– deutlich reduziertem manuellem Refactoring-Aufwand

– höherer Planbarkeit von Modernisierungsprojekten

– transparenter Entscheidungsgrundlage für Architektur- und Investitionsfragen

– verkürzten Projektlaufzeiten bei geschäftskritischen Systemen

"Viele Modernisierungsinitiativen scheitern an mangelnder Transparenz über implizite Fachlogik und historisch gewachsene Strukturen", erklärt Holger Schill, EVP Cloud & Enterprise bei itemis. "Unser Ansatz schafft zunächst ein belastbares Gesamtverständnis und ermöglicht darauf aufbauend eine strukturierte Modernisierung."

Weitere Informationen zur KI-gestützten Legacy-Code-Migration finden Sie unter:KI-gestützte Legacy-Code-Migration

Das neue Cloud-Angebot kombiniert die bewährte Leistungsfähigkeit von itemis SECURE Classic mit den Vorteilen einer modernen Web App und integriertem Cloud Storage. Damit ebnet itemis den Weg für einen hybriden Ansatz, der maximale Flexibilität bietet.

Die Vorteile von itemis SECURE Cloud auf einen Blick:

• Sicher: Rollenbasierte Zugriffskontrollen sorgen für Schutz sensibler Daten.
• Simpel: Vereinfachte Versionskontrolle reduziert administrativen Aufwand.
• Zugänglich: Browserbasierter Zugriff ohne lokale Installationen ermöglicht ortsunabhängiges Arbeiten.
• Kollaborativ: Nahtlose Zusammenarbeit im Team und mit externen Partnern.

Feierliche Markteinführung mit Online Event

Die Veröffentlichung von itemis SECURE Cloud wird am 23. Oktober 2025 um 15:00 Uhr MESZ in einem 30-minütigen englischsprachigen Online Event präsentiert. Teilnehmer erhalten exklusive Einblicke in die neuen Funktionen und erfahren, wie sie ihre Sicherheitsprozesse zukunftssicher gestalten können.

Jetzt anmelden und dabei sein: https://info.itemis.com/en/launch-event-itemis-secure-goes-cloud

Über itemis SECURE
itemis SECURE ist die Bedrohungs- und Risikonalayselösung für Industrie- und Fertigungsunternehmen. Es unterstützt diese bei der Einhaltung von Industriestandards wie ISO/SAE 21434, ISO 62443 und UNECE WP.29 R155. Der modellbasierte Ansatz vereinfacht Bedrohungsanalysen und Risikobewertungen (TARAs) und hält das gesamte TARA-Modell permanent konsistent. Das ist der Hauptvorteil im Vergleich zur Verwendung einfacher oder intelligenterer Tabellenkalkulationen.

Die automatische Risikoberechnung hilft, Schwachstellen zu priorisieren. itemis SECURE bietet unterstützende Visualisierungen, wie Angriffsbaumdiagramme. Es generiert standardisierte und revisionssichere Berichte von Bewertungsmodellen.

Zur Unterstützung der Integration und Zusammenarbeit enthält itemis SECURE einen Community Threat Catalog, der in Zusammenarbeit mit der Automotive Security Research Group (ASRG) entwickelt wurde. Über das openXSAM-Format tauscht itemis SECURE Daten mit anderen Werkzeugen in der Wertschöpfungskette aus. Leitfäden, Assistenten und anpassbare Checklisten unterstützen Benutzer bei der Einhaltung der notwendigen ISO/SAE 21434 Prozessschritte.

Die itemis AG liefert mit itemis CREATE ein leistungsstarkes und flexibles Werkzeug für Entwickler, Engineers und Systemexperten zur professionellen Verhaltensmodellierung mit Zustandsautomaten. Das Tool steht nun auch als Cloud-Version und VS Code-Extension zur Verfügung, während die bewährte Desktop-Version weiterhin unterstützt wird.

Cloud-native Flexibilität für flexibles Arbeiten

Die neue Cloud-Version von itemis CREATE revolutioniert die Zusammenarbeit bei der Zustandsautomaten-Entwicklung. Entwickler können nun von jedem Gerät und Standort aus – lediglich mit einem Web Browser und Internetverbindung – Zustandsautomaten modellieren, simulieren und Code generieren. Der CREATE Player – exklusiv für die Web Version verfügbar – erlaubt es zudem, existierende Modelle mit Kollegen zu teilen und kollaborativ daran zu arbeiten. Diese cloud-native Lösung bietet maximale Flexibilität, höchste Sicherheit und gesteigerte Effizienz für moderne Entwicklungsteams.

Visual Studio Code Integration: Nahtlose Workflow-Integration

Mit der neuen Visual Studio Code-Erweiterung integriert sich itemis CREATE nahtlos  in bestehende Visual Studio Code Installationen.. Entwickler können komplexe Systeme visuell modellieren, Verhalten simulieren und testen sowie generierten Code direkt ausführen – alles innerhalb ihrer gewohnten Entwicklungsumgebung. Die Erweiterung kann direkt aus Visual Studio Code über den integrierten Marketplace installiert werden.

Vollständige Entwicklungsunterstützung

itemis CREATE bietet weit mehr als reine Zustandsautomaten-Modellierung:
Zeit- und eventgesteuerte Simulation für realitätsnahe Tests
Multi-Language Codegenerierung in C/C++, C#, Java, Python und weitere Zielsprachen  
Flexible Export-Optionen in verschiedene Grafikformate (PNG, SVG)
SCXML-Kompatibilität für standardisierte Austauschformate
Embedded-Device Debugging für Zielplattform-spezifische Entwicklung

Kostenfreier Zugang für die akademische Ausbildung

Universitäten und Studenten profitieren vom kostenfreien Zugang zu itemis CREATE. Zusätzlich unterstützt das Entwicklerteam die Erstellung des umfassenden Leitfadens unter http://www.statecharts.online – einer interaktiven Lernplattform, die von Grundlagen bis zu fortgeschrittenen Themen wie Parallelität und Implementierungsstrategien reicht. 

Für Schulen gibt es die “Teacher’s Toolbox" mit akademischen Lizenzen für Lehrende und Lernende, sowie Folien, Übungen mit Lösungen Creative Commons Lizenz lizensiert.

Weiterführende Links:

itemis CREATE

Informationsplatform Statecharts online

Video: Hardwaresimulation mit itemis CREATE YET

• Die itemis AG wird Adopter Mitglied der Connectivity Standards Allicance (CSA)
• Frühe Einbindung in die Standardisierung der Kommunikation im IoT-Umfeld als Benefit für Kunden
• Der Kommunikationsstandard “Matter” der CSA soll akzeptierter Standard für Smart Home-Geräte mit unterschiedlichsten Smart Home-Ökosystemen werden

Die itemis AG wird Adopter-Mitglied der Connectivity Standards Alliance (CSA) – ehemals Zigbee Alliance – die weltweit die innovativsten Unternehmen zusammenbringt. Dadurch baut die itemis ihre Stellung als Innovationsführer im IoT- und Smart Home Umfeld weiter aus.

Mit einer Mitgliedschaft will die itemis AG früh in die Standardisierung der Kommunikation im IoT-Umfeld eingebunden sein, um ihre Kunden optimal zu unterstützen. Denn das Thema Interoperabilität und Kommunikation – speziell im Smart Home – erfordert komplexe Entwicklungsaufwände. Mit dem jüngsten Kommunikationsstandard “Matter” der CSA wurde ein allgemein anerkannter akzeptierter Standard geschaffen, der die einfache Verknüpfung von Smart Home-Devices mit unterschiedlichsten Smart Home-Ökosystemen verwirklicht. Neben der Interoperabilität spielt auch die Sicherheit bei Matter eine große Rolle.

“Mithilfe dieses Standards können wir uns  auf die Implementierung der immer komplexer werdenden Anwendungsfälle konzentrieren, anstatt mühselig Integrationen in verschiedene Ökosysteme zu implementieren.”, erklärt Benedikt Niehues, Software Architect Smart Technologies.

Gerade für den deutschen Mittelstand stellt die Digitalisierung ihrer Produkte eine große Herausforderung dar.  Das für die Entwicklung von cyber-physischen Produkten erforderliche Wissen ist vielseitig und erfordert die Koordination externer Spezialisten für die Erstellung von Firmware, Mobile-App und Cloud-Backend. Weiterhin sollte das Produkt mit den gängigsten Smart Home Ökosystemen kompatibel sein.

Mit der Mitgliedschaft bei der CSA bringt itemis für ihre IoT-Kunden die Effektivität  des zukunftsfähigen Kommunikationsstandards Matter mit.

• Die itemis AG ist als attraktiver Arbeitgeber – „Great Place to Work® Certified““ ausgezeichnet worden
• Die Zertifizierung steht für ein glaubwürdiges Management, das fair und respektvoll mit den Mitarbeiterinnen und Mitarbeitern zusammenarbeitet, für eine hohe Identifikation der Beschäftigten und für einen starken Teamgeist.
• Die itemis AG, als absoluter Neuling in diesem Wettbewerb, konnte unter anderem in den Kategorien Gerechtigkeit, Fürsorge und Teamgeist punkten.

Damit ist es offiziell:

Was intern schon immer bekannt und bewusst war, hat sich die itemis AG nun offiziell von Great Place to Work® bestätigen lassen. Die itemis AG ist als attraktiver  Great Place to Work®  Arbeitgeber Deutschlands zertifiziert worden –  und das laut der ehrlichsten Jury der Welt: den Mitarbeiterinnen und Mitarbeitern.

Zertifiziert werden Unternehmen aus allen Branchen, jeglicher Größe und allen Regionen Deutschlands, die ihren Beschäftigten eine außergewöhnlich gute und attraktive Unternehmenskultur bieten. Für Jens Wagener, dem Vorstandsvorsitzenden der itemis AG, ist das Ergebnis keine große Überraschung:

„Wir haben uns dieses Jahr das erste Mal zertifizieren lassen und es macht uns unendlich stolz, dass unsere Mitarbeiterinnen und Mitarbeiter uns bestätigt haben, was wir schon längst im Gefühl hatten. itemis hat es geschafft eine Arbeitsplatzkultur zu etablieren, die von Vertrauen, Mut und Verantwortungsbewusstsein geprägt ist und wo jede und jeder einzelne von uns ihren/seinen Teil dazu beiträgt. Die Auszeichnung durch Great Place to Work® bestätigt uns, dass wir auf dem richtigen Weg sind und diesen auch weiterverfolgen werden. Wir gratulieren auch den anderen Unternehmen, auch wenn es für uns nur einen "Great Place to Work®" gibt, nämlich itemis!”

Mitarbeitendenbefragung und exzellente Angebote für Beschäftigte

Damit sich die itemis AG und die weiteren  Unternehmen nun ein Jahr lang als attraktiver Arbeitgeber – „Great Place to Work® Certified bezeichnen dürfen, sind sie ein ausführliches Prüfverfahren durchlaufen. Im ersten Schritt fand eine anonyme Mitarbeiterbefragung statt, die rund 60 Fragen zu Unternehmenskultur und Führung, Vertrauen und Anerkennung, Förderung und Zusammenarbeit, Identifikation mit Arbeit und Unternehmen und weiteren Themen enthielt.

Der zweite Schritt sah ein Kulturaudit vor – eine Personal-Befragung zu Maßnahmen der Personal- und Führungsarbeit wie Weiterbildung, Gesundheitsförderung und Vereinbarkeit von Beruf und Familie. Beide Bewertungsinstrumente wurden bei allen teilnehmenden Unternehmen durchgeführt. Die itemis AG, als absoluter Neuling in diesem Wettbewerb, konnte unter anderem in den Kategorien Gerechtigkeit, Fürsorge und Teamgeist punkten

Siemens Digital Industries erweitert im Bereich Product Lifecycle Management sein Application Lifecycle Management (ALM) um das Cybersecurity Tool Security Analyst von itemis
Diese zwei erstklassigen Lösungen ermöglichen es OEMs und Tier-Suppliern der Automobilindustrie, das Sicherheitsniveau für ihre Produkte zu erhöhen und zu erreichen 
Dadurch können Kunden Cybersecurity Compliance für ISO/SAE 21434 erreichen

itemis, mit seinem marktführenden Cybersecurity Tool für die Durchführung von Threat Analysis and Risk Assessments (TARA), gab heute bekannt, dass es dem Partnerprogramm von Siemens Digital Industries Software beigetreten ist. Mit der Anbindung an die Siemens Polarion ALM (Application Lifecycle Management) Software wird der Bereich des Product Lifecycle Management erweitert. 

Die Polarion Software kann zur Automatisierung des Managements von Systems-Engineering-Projekten eingesetzt werden und ermöglicht die Entwicklung hochwertiger Embedded Software. 

Siemens Digital Industries Software treibt den Wandel zu einem digitalen Unternehmen voran, in dem Engineering, Manufacturing und Electronics Design auf die Zukunft treffen. itemis’ Lösung Security Analyst unterstützt Threat Analysis and Risk Assessments (TARA) während des gesamten Lebenszyklus von Fahrzeugen und stellt die Konsistenz sowie die Gültigkeit der TARAs sicher, während gleichzeitig Branchenvorschriften wie die ISO/SAE 21434 und UNECE WP.29 R155 vollständig erfüllt werden. 

“Wir freuen uns, dass itemis dem Siemens Partnerprogramm beigetreten ist. Mit ihrem modellbasierten TARA-Ansatz bietet die itemis-Lösung die Möglichkeit, ein ganzes Modell einfach zu aktualisieren und die Komplexität von TARAs zu reduzieren”, sagte Karkare Piyush, Global Director – Automotive Industry Solutions bei Siemens Digital Industries Software. “Mit den umfangreichen Import- und Exportfunktionen von itemis können Polarion-Anwender ihre Daten in die Erstellung von TARAs integrieren.”

Die Kombination dieser beiden erstklassigen Lösungen wird es OEMs und Tier-Zulieferern in der Automobilindustrie ermöglichen, ein hohes Maß an Sicherheit für ihre Produkte zu gewährleisten.

“itemis freut sich, der Partner Community von Siemens Digital Industries Software beizutreten. Die Zusammenarbeit unserer starken Unternehmen, hat das Potenzial, unseren Kunden einen erheblichen Mehrwert zu bieten, da sie nun in der Lage sind, auf einfache Weise die Cybersecurity Compliance nach ISO/SAE 21434 zu erreichen”, sagte Dirk Leopold, Head of Advanced Engineering der itemis AG.