IoT Cybersecurity Prüfungen zielen auf die Sicherheit sämtlicher Geräte im Internet of Things (IoT). Diese Devices umfassen Sensoren und Aktoren sowie Backend-Verbindungen und kommunizieren optional mit Gateways und Smartphone-Apps – entsprechend umfangreich sollten die Sicherheitsmaßnahmen zum Schutz vor Bedrohungen aufgestellt werden.
Vor allem die digitale Vernetzung macht Anwendungen und Komponenten von mobilen oder statischen IoT-Geräten anfällig für Angriffe. Um auf ein vernetztes Devices zuzugreifen, werden hauptsächlich drei Ziele angegriffen: das Device selbst, das Netz und die Infrastruktur (App, Cloud). Die Sicherheit der vernetzten Umgebung, zum Beispiel in der Industrie, kann jedoch einen solchen Zugriff von außen bzw. IoT-Angriffe verhindern. Elemente einer ganzheitlichen IoT-Cybersecurity sind unter anderem:
Mit unseren CETECOM IoT-Cybersecurity-Services verifizieren wir den aktuellen Sicherheitsstatus Ihrer vernetzten Geräte – ein wichtiger Meilenstein bei der Markteinführung Ihrer Produkte. Profitieren Sie von unserer langjährigen Erfahrung in der regulatorischen Zertifizierung von Produkten mit drahtlosen Technologien.
ETSI EN 303 645 definiert die grundlegenden Anforderungen, während ETSI TS 103 701 Testfälle zur Überprüfung dieser Anforderungen enthält. Auf der Grundlage dieser Testdefinitionen kann ein Hersteller die Konformität seines Geräts mit ETSI EN 303 645 nachweisen. ETSI TR 103 621 bietet eine Anleitung zur Erfüllung der in ETSI EN 303 645 definierten Bestimmungen.
Die Funkanlagenrichtlinie (RED-Richtlinie) 2014/53/EU setzt den rechtlichen Rahmen für alle Produkte, die Funktechnologien nutzen. Die wichtigsten definierten Anforderungen sind Gesundheit und Sicherheit, elektromagnetische Verträglichkeit und effiziente Nutzung von Funkfrequenzen. Hersteller und Lieferanten dieser Produkte müssen die Einhaltung der RED auf dem EU-Markt nachweisen, indem sie eine Baumusterprüfung auf der Grundlage der technischen Dokumentation (TD) oder eine Konformitätserklärung (DoC) und die CE-Kennzeichnung vorlegen.
Im Januar 2022 wurde die delegierte Verordnung EU 2022/30 im Amtsblatt der EU veröffentlicht. Diese Verordnung ergänzt Teile von Artikel 3.3 der RED und wird damit relevant für Hersteller von Produkten mit drahtlosen Technologien, die ihre Produkte in der EU in Verkehr bringen wollen.
Die Delegierte Verordnung EU 2022/30 definiert Anforderungen im Bereich der Cybersicherheit für Produkte, die unter die RED fallen. Dies betrifft insbesondere die Buchstaben d) bis f) von Artikel 3.3:
„d) die Funkanlagen weder das Netz oder seinen Betrieb beeinträchtigen noch Netzressourcen missbrauchen und dadurch eine unzumutbare Beeinträchtigung des Dienstes verursachen
e) die Funkanlage enthält Sicherheitsvorkehrungen, die gewährleisten, dass die personenbezogenen Daten und die Privatsphäre des Nutzers und des Teilnehmers geschützt werden
f) die Funkanlage unterstützt bestimmte Funktionen, die den Schutz vor Betrug gewährleisten.“
| Wesentliche Anforderungen | Geeignete Funkgeräte | NICHT anwendbare Funkgeräte |
|---|---|---|
| RED Artikel 3.3 Buchstabe d) (schadet dem Netz nicht) |
alle mit dem Internet verbundenen Funkgeräte (direkt oder über ein anderes Gerät) |
|
| RED Artikel 3.3 Buchstabe e) (personenbezogene Daten und Privatsphäre werden geschützt) |
die in der Lage sind, personenbezogene Daten, Verkehrsdaten oder Standortdaten zu verarbeiten
|
|
| RED Artikel 3.3 Buchstabe f) (Schutz vor Betrug) |
alle mit dem Internet verbundenen Funkgeräte zur Übertragung von Geld, monetären Werten oder virtuellen Währungen (Richtlinie (EU) 2019/713)
|
Ab dem 1. August 2024 müssen die Hersteller ihre Produkte auf die neuen Cybersicherheitsanforderungen testen und die Einhaltung der delegierten Verordnung EU 2022/30 erklären. Dies betrifft sowohl Geräte, die neu zugelassen werden, als auch Devices, die nach dem 1. August 2024 auf den EU-Markt kommen.
Das Problem der aktuellen Situation ist jedoch, dass die Cybersicherheitsanforderungen auf der Grundlage der neuen Verordnung noch nicht harmonisiert sind und daher noch keine akkreditierten Tests möglich sind.
Unsere Labore in Deutschland und den USA sind von der CTIA als Authorized Test Laboratory (ATL) für den CTIA Test Plan für IoT-Geräte anerkannt worden.
Der CTIA Cybersecurity Test Plan definiert Testfälle, die auf dem Device in einem Authorized Test Laboratory (ATL) durchgeführt werden müssen, um die CTIA Cybersecurity Zertifizierung zu erhalten. Die Zertifizierung ist für drei Sicherheitsstufen definiert. Die erste Stufe testet grundlegende Sicherheitsmerkmale von IoT-Devices, während die zweite und dritte Stufe Sicherheitselemente für Devices mit zunehmender Komplexität und Verwaltbarkeit testen.
Auf der Grundlage des CETECOM-Prüfberichts erhalten Sie von der CTIA eine IoT-Cybersecurity-Zertifizierung gemäß den neuesten CTIA-Anforderungen.
Cybersecurity wird zu einem integralen Bestandteil der Produkt- bzw. Gerätesicherheit und kann mit klaren gesetzlichen Vorgaben und unabhängigen Cybersecurity-Tests eine positive Signalwirkung auf den Produktabsatz haben. Ein erster Schritt ist getan – ein europaweites Sicherheitszertifikat wird durch das neue Prüfzeichen angeboten: das CyberSecurity Certified (CSC) Label.
Im Rahmen dieses dreistufigen Zulassungsverfahrens konzentrieren wir uns gemeinsam mit unserem Partner TÜV NORD auf die Erfüllung der grundlegenden Anforderungen für eine sichere Entwicklung und einen sicheren Betrieb über den gesamten Lebenszyklus des Produktes. Diese Anforderungen basieren weitgehend auf den grundlegenden Cybersicherheitsanforderungen für IoT-Geräte für Verbraucher gemäß ETSI EN 303 645.
Auf der Grundlage des CETECOM-Prüfberichts erhalten Sie von TÜV NORD das CyberSecurity Certified (CSC) Label und eine Zertifizierung nach den neuesten CSC-Cybersicherheitsanforderungen.
