cetecom advanced
Die Notwendigkeit von IoT Security verdeutlicht anhand einer Smart-Home Steuerung auf einem Tablet

IoT Cybersecurity Prüfungen

Sicherheit für alle Geräte
im Internet of Things

IoT Cybersecurity Prüfungen zielen auf die Sicherheit sämtlicher Geräte im Internet of Things (IoT). Diese Geräte umfassen Sensoren und Aktoren sowie Backend-Verbindungen und kommunizieren optional mit Gateways und Smartphone-Apps – entsprechend umfangreich sollten die Sicherheitsmaßnahmen zum Schutz vor Bedrohungen aufgestellt werden.

Warum IoT Cybersecurity?

Vor allem die digitale Vernetzung macht Anwendungen und Komponenten von mobilen oder statischen IoT-Geräten anfällig für Angriffe. Um auf ein vernetztes Gerät zuzugreifen, werden hauptsächlich drei Ziele angegriffen: das Gerät selbst, das Netz und die Infrastruktur (App, Cloud). Die Sicherheit der vernetzten Umgebung, zum Beispiel in der Industrie, kann jedoch einen solchen Zugriff von außen bzw. IoT-Angriffe verhindern. Elemente einer ganzheitlichen IoT-Cybersecurity sind unter anderem:

  • Sichere Anwendung
  • Robustes Design
  • Vertrauenswürdiger Umgang mit privaten Daten
  • Update/Upgrade-Verhalten von Firmware und Software
  • Sicherheit gegen Angriffe auf die Datengültigkeit und Authentizität der Kommunikationspartner

Ganzheitliche Zuverlässigkeit: IoT-Cybersecurity-Testing
bei cetecom advanced

Eine Auswahl an verschiedenen Icons, Mann im Hintergrund klickt auf das Cloud-Sicherheits-Symbol

Mit unseren cetecom advanced IoT-Cybersecurity-Services verifizieren wir den aktuellen Sicherheitsstatus Ihrer vernetzten Geräte – ein wichtiger Meilenstein bei der Markteinführung Ihrer Produkte. Profitieren Sie von unserer langjährigen Erfahrung in der regulatorischen Zertifizierung von Produkten mit drahtlosen Technologien. Im Bereich Internet of Things Cybersecurity ist cetecom advanced Ihr Partner der Wahl.

Cybersecurity Prüfungen gemäß Radio Equipment Directive
– Verordnung (EU) 2022/30, Artikel 3.3 (d), (e) und (f)

Die Funkanlagenrichtlinie (RED-Richtlinie) 2014/53/EU setzt den rechtlichen Rahmen für alle Produkte, die Funktechnologien nutzen. Die wichtigsten definierten Anforderungen sind Gesundheit und Sicherheit, elektromagnetische Verträglichkeit und effiziente Nutzung von Funkfrequenzen. Hersteller und Lieferanten dieser Produkte müssen die Einhaltung der RED auf dem EU-Markt nachweisen, indem sie eine Baumusterprüfung auf der Grundlage der technischen Dokumentation (TD) oder eine Konformitätserklärung (DoC) und die CE-Kennzeichnung vorlegen.

Seit 2022 wird das Thema IoT Cybersecurity auch in der RED definiert und liefert Herstellern somit Vorgaben, welche Anforderungen an die Sicherheit der Geräte zukünftig berücksichtigt werden müssen:

  • Im Januar 2022 wurde die delegierte Verordnung EU 2022/30 im Amtsblatt der EU veröffentlicht. Diese Verordnung ergänzt Teile von Artikel 3.3 der RED und wird damit relevant für Hersteller von Produkten mit drahtlosen Technologien, die ihre Produkte in der EU in Verkehr bringen wollen.
  • Die delegierte Verordnung EU 2022/30 definiert Anforderungen im Bereich der Cybersicherheit für Produkte, die unter die RED fallen. Dies betrifft insbesondere die Buchstaben d) bis f) von Artikel 3.3:
    • „d) die Funkanlagen weder das Netz oder seinen Betrieb beeinträchtigen noch Netzressourcen missbrauchen und dadurch eine unzumutbare Beeinträchtigung des Dienstes verursachen
    • e) die Funkanlage enthält Sicherheitsvorkehrungen, die gewährleisten, dass die personenbezogenen Daten und die Privatsphäre des Nutzers und des Teilnehmers geschützt werden
    • f) die Funkanlage unterstützt bestimmte Funktionen, die den Schutz vor Betrug gewährleisten.“

Delegierte Verordnung (EU) 2022/30 – Funkanlagenarten

Wesentliche Anforderungen Geeignete Funkgeräte NICHT anwendbare Funkgeräte
RED Artikel 3.3 Buchstabe d)
(schadet dem Netz nicht)
Alle mit dem Internet verbundenen Funkgeräte
(direkt oder über ein anderes Gerät)
  • Medizinprodukte (Verordnung (EU) 2017/745)
  • In-vitro-Diagnostika (Verordnung (EU) 2017/746)
RED Artikel 3.3 Buchstabe e)
(personenbezogene Daten und Privatsphäre werden geschützt)
Die in der Lage sind, personenbezogene Daten, Verkehrsdaten oder Standortdaten zu verarbeiten

  • Kinderbetreuung
  • Spielzeug (Richtlinie 2009/48/EG)
  • Tragbare Geräte
  • Andere mit dem Internet verbundene Funkgeräte
  • Medizinprodukte (Verordnung (EU) 2017/745)
  • In-vitro-Diagnostika (Verordnung (EU) 2017/746)
  • Zivilluftfahrt (Verordnung (EU) 2018/1139)
  • Kraftfahrzeuge, Anhänger, Systeme, Bauteile und selbstständige technische Einheiten (Verordnung (EU) 2019/2144)
  • Elektronische Straßenmautsysteme
    (Richtlinie (EU) 2019/520)
RED Artikel 3.3 Buchstabe f)
(Schutz vor Betrug)
Alle mit dem Internet verbundenen Funkgeräte zur Übertragung von Geld, monetären Werten oder virtuellen Währungen (Richtlinie (EU) 2019/713)

  • Zahlung

 

Ursprünglich sollten die neuen Vorgaben zu den Buchstaben d) bis f) von Artikel 3.3 bereits zum 1. August 2024 in Kraft treten und damit zeitnah für betroffene Hersteller verpflichtend werden. Die Europäische Kommission hat nun allerdings eine Verlängerung der Übergangsfrist erlassen, so dass die neuen Cybersicherheitsanforderungen zum 1. August 2025 in Kraft treten. Hersteller müssen ihre Produkte gegen die neuen Cybersicherheitsanforderungen testen und die Einhaltung der delegierten Verordnung EU 2022/30 erklären. Dies betrifft sowohl Geräte, die neu zugelassen werden, als auch Geräte, die nach dem 1. August 2025 auf den EU-Markt kommen.

Auch wenn die Frist nun von Seiten der EU-Kommission verschoben wurde und die Normen aktuell noch nicht harmonisiert sind, können wir Ihnen bereits jetzt beim Thema IoT Cybersecurity helfen. Unter Einbezug unserer benannten Stellen testen wir Ihre Produkte gemäß der Cybersecurity-Vorgaben der RED und unterstützen Sie bei der Konformitätserklärung. Sichern Sie Ihre Geräte jetzt schon für die Zeit nach dem 1. August 2025 ab – mit unseren Kompetenzen im Bereich der IoT Gerätesicherheit machen wir Ihre Geräte heute bereits fit für zukünftige Anforderungen.

Sie haben Rückfragen zu IoT Cybersecurity Prüfungen gemäß der Funkanlagenrichtlinie (RED)?
Kontaktieren Sie uns, wir freuen uns auf Ihre Anfrage:
mail@cetecomadvanced.com / Tel. +49 2054 9519 0

IoT Cybersecurity Prüfungen nach ETSI EN 303 645 und ETSI TS 103 701

Die ETSI EN 303 645 definiert essenzielle Sicherheitsanforderungen für IoT-Geräte, die für Verbraucher bestimmt sind. Dank ihrer universellen Ausrichtung kann die Norm ein breites Spektrum an IoT-Geräten vom Fitness-Armband am Handgelenk bis zu intelligenten Kühlschränken abdecken. Dieser Standard richtet sich in erster Linie an die Hersteller dieser Geräte. Diese haben die Möglichkeit, die Anforderungen freiwillig bereits während des Entwicklungsprozesses (Security by Design) zu integrieren und sie in der Herstellung ihrer Produkte umzusetzen:

ETSI EN 303 645 (Grundlegende Anforderungen)

  • Definiert grundlegende Cybersicherheitsanforderungen für Verbraucher IoT-Geräte, aber keine Tests oder Testverfahren.
  • Deckt alle Typen von Verbraucher IoT-Geräten ab.
  • Enthält 33 verbindliche Anforderungen und 35 Empfehlungen, u. a.:
    • Keine universellen Standardpasswörter
    • Implementierung eines Systems zur Verwaltung von Berichten über Sicherheitslücken
    • Software auf dem neuesten Stand halten
    • Sichere Speicherung sensibler Sicherheitsparameter
    • Sicher kommunizieren
    • Angriffsflächen minimieren
    • Sicherstellung der Software-Integrität
    • Gewährleistung der Sicherheit personenbezogener Daten
    • Systeme widerstandsfähig gegen Ausfälle machen
    • Prüfen von Telemetriedaten des Systems
    • Einfaches Löschen von Benutzerdaten durch den Benutzer
    • Einfache Installation und Wartung von Geräten
    • Validierung der Eingabedaten
    • Datenschutzbestimmungen
  • Ist nicht geeignet, um eine harmonisierte Norm im Rahmen der RED (Radio Equipment Directive – deutsch: Funkanlagen Richtlinie) zu werden.
  • Harmonisierte Normen der RED müssen Anforderungen enthalten, die zweifelsfrei überprüfbar sind (eindeutige Testergebnisse: ja oder nein). ETSI EN 303 645 enthält jedoch mehrere ergebnisorientierte Bestimmungen (z. B. Umsetzung bewährter Kryptografieverfahren), die auf diese Weise nicht prüfbar sind.

Ein weiteres Dokument, welches für Prüfungen der IoT Cybersecurity herangezogen werden kann, ist ETSI TS 103 701. Die Spezifikation hilft Herstellern, vernetzte Geräte von Beginn an sicher zu gestalten (Security by Design). Zugleich fungiert sie als international anerkannter Maßstab zur Beurteilung von Mindestvorgaben der Cybersicherheit von Geräten. Die Spezifikation beschreibt, wie die Konformität definiert und im Einklang mit dem Sicherheitsstandard ETSI EN 303 645 umfassend getestet werden kann.

ETSI TS 103 701 (Konformitätsbewertung von Basisanforderungen)

  • Beschreibt, wie die Konformität von Verbraucher IoT-Geräten mit ETSI EN 303 645 zu bewerten ist.
  • Enthält 109 Testfälle.

ETSI TS 103 701 gewährleistet, dass Prüfergebnisse der Sicherheitseigenschaften von IoT-Geräten vergleichbar sind. Dies ermöglicht erfahrenen IoT-Experten eine präzise Sicherheitsbewertung. Hersteller haben die Möglichkeit, die Testspezifikation für Selbsttests zu nutzen oder ihre Produkte von einer Prüfstelle evaluieren zu lassen.

Diese Cybersecurity Prüfungen nach ETSI EN 303 645 und ETSI TS 103 701 können in den cetecom advanced Laboren durchgeführt werden. Wir helfen Ihnen gerne auf dem Weg zur Cybersicherheit Ihrer Geräte.

Kontaktieren Sie uns, wir freuen uns auf Ihre Anfrage: mail@cetecomadvanced.com

CTIA Cybersecurity Certification Test Plan für IoT-Geräte

ctia – everything wireless

Unsere Labore in Deutschland und den USA sind von der CTIA als Authorized Test Laboratory (ATL) für den CTIA Test Plan für IoT-Geräte anerkannt worden.

Der CTIA Cybersecurity Test Plan definiert Testfälle, die mit dem Gerät in einem Authorized Test Laboratory (ATL) durchgeführt werden müssen, um die CTIA Cybersecurity Zertifizierung zu erhalten. Die Zertifizierung ist für zwei Sicherheitsstufen definiert. Die erste Stufe (für Verbrauchergeräte) testet grundlegende Sicherheitsmerkmale von IoT-Geräten, während die zweite Stufe (für Unternehmensgeräte) Sicherheitselemente für Geräte mit zunehmender Komplexität und Verwaltbarkeit testet.

Cybersecurity für IoT-Geräte in drahtlosen Netzwerken

  • Das Programm wurde mit Unterstützung der Betreiber drahtloser Netzwerke entwickelt.
  • Schafft eine branchenweite Best Practice für IoT-Sicherheit in drahtlosen Netzwerken.
  • Erstes Cybersicherheitsprogramm seiner Art mit Unterstützung von Mobilfunkbetreibern, OEMs und Laboren
  • Der Testplan wird von der Cybersecurity Working Group kontinuierlich aktualisiert.
  • Testplan Version 2.1.1 ist seit August 2023 aktiv (enthält 117 Testfälle).

Hauptanforderungen des Zertifizierungsprogramms

  • Die Tests müssen in einem von der CTIA autorisierten Testlabor (ATL) durchgeführt werden.
  • IoT-Devices müssen LTE, 5G oder WLAN unterstützen (GSM, CDMA und UMTS werden nicht berücksichtigt).
  • Wireless Personal Area Network-Technologien (ZigBee, Bluetooth, Bluetooth Low Energy) werden wahrscheinlich in Zukunft hinzukommen

Auf der Grundlage des cetecom advanced Prüfberichts erhalten Sie von der CTIA eine IoT-Cybersecurity-Zertifizierung gemäß den neuesten CTIA-Anforderungen.

Das CyberSecurity Certified (CSC) Label

TÜV Siegel: 'CSC - Cybersecurity Certified'

Cybersecurity wird zu einem integralen Bestandteil der Produkt- bzw. Gerätesicherheit und kann mit klaren gesetzlichen Vorgaben und unabhängigen Cybersecurity-Tests eine positive Signalwirkung auf den Produktabsatz haben. Ein erster Schritt ist getan – ein europaweites Sicherheitszertifikat wird durch das neue Prüfzeichen angeboten: das Cybersecurity Certified (CSC) Label.

Im Rahmen dieses dreistufigen Zulassungsverfahrens konzentrieren wir uns gemeinsam mit unserem Partner TÜV NORD auf die Erfüllung der grundlegenden Anforderungen für eine sichere Entwicklung und einen sicheren Betrieb über den gesamten Lebenszyklus des Produktes. Diese Anforderungen basieren weitgehend auf den grundlegenden Cybersicherheitsanforderungen für IoT-Geräte für Verbraucher gemäß ETSI EN 303 645.

Die folgenden Aspekte der Cybersicherheit werden im Rahmen des Zertifizierungsverfahrens für Devices berücksichtigt:

  • Sichere Produktentwicklung und -dokumentation.
  • Interne Cybersicherheitsprüfungen, z. B. nmap-Scan, Schwachstellenscan, statische und dynamische Codeanalyse, Eingabevalidierung
  • Sicherer Betrieb, bezogen auf die Authentifizierung
  • Verwaltung von Passwörtern
  • Datenspeicherung
  • Sicherer Produktlebenszyklus, bezogen auf
    • Update-Mechanismus
    • Informationen zur Sicherheitsaktualisierung
    • Zurücksetzen auf Werkseinstellungen
    • Patch-Verwaltung
    • Verwaltung von Sicherheitslücken
    • Verwaltung von Zwischenfällen
    • Änderungs- und Risikomanagement

Auf der Grundlage des cetecom advanced Prüfberichts erhalten Sie von TÜV NORD das Cybersecurity Certified (CSC) Label
und eine Zertifizierung nach den neuesten CSC-Cybersicherheitsanforderungen.

News zum Thema IoT & Cybersecurity

Bleiben Sie auf dem Laufenden.
Der cetecom advanced Newsletter wird ca. 1x monatlich versendet. Keine ständigen Follow-up Mails.
Nur ausgewählte Inhalte von unseren Experten.