Die Notwendigkeit von IoT Security verdeutlicht anhand einer Smart-Home Steuerung auf einem Tablet

IoT Cybersecurity Prüfungen

Sicherheit für alle Geräte im Internet of Things

IoT Cybersecurity Prüfungen zielen auf die Sicherheit sämtlicher Geräte im Internet of Things (IoT). Diese Devices umfassen Sensoren und Aktoren sowie Backend-Verbindungen und kommunizieren optional mit Gateways und Smartphone-Apps – entsprechend umfangreich sollten die Sicherheitsmaßnahmen zum Schutz vor Bedrohungen aufgestellt werden.

Alle Akkreditierungen
Alle Akkreditierungen

Warum IoT Cybersecurity?

Vor allem die digitale Vernetzung macht Anwendungen und Komponenten von mobilen oder statischen IoT-Geräten anfällig für Angriffe. Um auf ein vernetztes Devices zuzugreifen, werden hauptsächlich drei Ziele angegriffen: das Device selbst, das Netz und die Infrastruktur (App, Cloud). Die Sicherheit der vernetzten Umgebung, zum Beispiel in der Industrie, kann jedoch einen solchen Zugriff von außen bzw. IoT-Angriffe verhindern. Elemente einer ganzheitlichen IoT-Cybersecurity sind unter anderem:

  • Sichere Anwendung
  • Robustes Design
  • Vertrauenswürdiger Umgang mit privaten Daten
  • Update/Upgrade-Verhalten von Firmware und Software
  • Sicherheit gegen Angriffe auf die Datengültigkeit und Authentizität der Kommunikationspartner

Ganzheitliche Zuverlässigkeit: IoT-Cybersecurity-Testing bei CETECOM

Eine Auswahl an verschiedenen Icons, Mann im Hintergrund klickt auf das Cloud-Sicherheits-Symbol

Mit unseren CETECOM IoT-Cybersecurity-Services verifizieren wir den aktuellen Sicherheitsstatus Ihrer vernetzten Geräte – ein wichtiger Meilenstein bei der Markteinführung Ihrer Produkte. Profitieren Sie von unserer langjährigen Erfahrung in der regulatorischen Zertifizierung von Produkten mit drahtlosen Technologien.

ETSI EN 303 645, ETSI TS 103 701 und ETSI TR 103 621

ETSI EN 303 645 definiert die grundlegenden Anforderungen, während ETSI TS 103 701 Testfälle zur Überprüfung dieser Anforderungen enthält. Auf der Grundlage dieser Testdefinitionen kann ein Hersteller die Konformität seines Geräts mit ETSI EN 303 645 nachweisen. ETSI TR 103 621 bietet eine Anleitung zur Erfüllung der in ETSI EN 303 645 definierten Bestimmungen.

ETSI EN 303 645 Basisanforderungen

  • Definiert grundlegende Cybersicherheitsanforderungen für IoT-Devices für Verbraucher, aber keine Tests oder Testverfahren.
  • Deckt alle IoT-Devices für Verbraucher ab.
  • Enthält 33 verbindliche Anforderungen und 35 Empfehlungen.
  • Ist nicht geeignet, um eine harmonisierte Norm im Rahmen der RED zu werden.
  • Harmonisierte Normen der RED müssen Anforderungen enthalten, die zweifelsfrei überprüfbar sind (eindeutige Testergebnisse; ja oder nein). ETSI EN 303 645 enthält jedoch mehrere ergebnisorientierte Bestimmungen (z. B. Umsetzung bewährter Kryptografieverfahren), die auf diese Weise nicht prüfbar sind.

ETSI TS 103 701 Konformitätsbewertung von Basisanforderungen

  • Beschreibt, wie die Konformität von IoT-Verbrauchergeräten mit ETSI EN 303 645 bewertet werden kann.
  • Enthält 109 Tests.

ETSI TR 103 621 Leitfaden zur Cybersicherheit für IoT-Verbrauchergeräte

  • Umsetzungsleitfaden zur Erfüllung der in ETSI EN 303 645 festgelegten Bestimmungen

Verordnung (EU) 2022/30 - RED Artikel 3.3, Buchstaben d), e) und f)

Die Funkanlagenrichtlinie (RED-Richtlinie) 2014/53/EU setzt den rechtlichen Rahmen für alle Produkte, die Funktechnologien nutzen. Die wichtigsten definierten Anforderungen sind Gesundheit und Sicherheit, elektromagnetische Verträglichkeit und effiziente Nutzung von Funkfrequenzen. Hersteller und Lieferanten dieser Produkte müssen die Einhaltung der RED auf dem EU-Markt nachweisen, indem sie eine Baumusterprüfung auf der Grundlage der technischen Dokumentation (TD) oder eine Konformitätserklärung (DoC) und die CE-Kennzeichnung vorlegen.

Im Januar 2022 wurde die delegierte Verordnung EU 2022/30 im Amtsblatt der EU veröffentlicht. Diese Verordnung ergänzt Teile von Artikel 3.3 der RED und wird damit relevant für Hersteller von Produkten mit drahtlosen Technologien, die ihre Produkte in der EU in Verkehr bringen wollen.

Die Delegierte Verordnung EU 2022/30 definiert Anforderungen im Bereich der Cybersicherheit für Produkte, die unter die RED fallen. Dies betrifft insbesondere die Buchstaben d) bis f) von Artikel 3.3:

„d) die Funkanlagen weder das Netz oder seinen Betrieb beeinträchtigen noch Netzressourcen missbrauchen und dadurch eine unzumutbare Beeinträchtigung des Dienstes verursachen

e) die Funkanlage enthält Sicherheitsvorkehrungen, die gewährleisten, dass die personenbezogenen Daten und die Privatsphäre des Nutzers und des Teilnehmers geschützt werden

f) die Funkanlage unterstützt bestimmte Funktionen, die den Schutz vor Betrug gewährleisten.“

Delegierte Verordnung (EU) 2022/30 – Funkanlagenarten

Wesentliche Anforderungen Geeignete Funkgeräte NICHT anwendbare Funkgeräte
RED Artikel 3.3 Buchstabe d)
(schadet dem Netz nicht)
alle mit dem Internet verbundenen Funkgeräte (direkt oder über ein anderes Gerät)
  • Medizinprodukte (Verordnung (EU) 2017/745)
  • In-vitro-Diagnostika (Verordnung (EU) 2017/746)
RED Artikel 3.3 Buchstabe e)
(personenbezogene Daten und Privatsphäre werden geschützt)
die in der Lage sind, personenbezogene Daten, Verkehrsdaten oder Standortdaten zu verarbeiten

  • Kinderbetreuung
  • Spielzeug (Richtlinie 2009/48/EG)
  • tragbare Geräte
  • andere mit dem Internet verbundene Funkgeräte
  • Medizinprodukte (Verordnung (EU) 2017/745)
  • In-vitro-Diagnostika (Verordnung (EU) 2017/746)
  • Zivilluftfahrt (Verordnung (EU) 2018/1139)
  • Kraftfahrzeuge, Anhänger, Systeme, Bauteile und selbstständige technische Einheiten (Verordnung (EU) 2019/2144)
  • elektronische Straßenmautsysteme (Richtlinie (EU) 2019/520)
RED Artikel 3.3 Buchstabe f)
(Schutz vor Betrug)
alle mit dem Internet verbundenen Funkgeräte zur Übertragung von Geld, monetären Werten oder virtuellen Währungen (Richtlinie (EU) 2019/713)

  • Zahlung

 

 

Ab dem 1. August 2024 müssen die Hersteller ihre Produkte auf die neuen Cybersicherheitsanforderungen testen und die Einhaltung der delegierten Verordnung EU 2022/30 erklären. Dies betrifft sowohl Geräte, die neu zugelassen werden, als auch Devices, die nach dem 1. August 2024 auf den EU-Markt kommen.

Das Problem der aktuellen Situation ist jedoch, dass die Cybersicherheitsanforderungen auf der Grundlage der neuen Verordnung noch nicht harmonisiert sind und daher noch keine akkreditierten Tests möglich sind.

CTIA Cybersecurity Certification Test Plan für IoT-Devices

ctia – everything wireless

Unsere Labore in Deutschland und den USA sind von der CTIA als Authorized Test Laboratory (ATL) für den CTIA Test Plan für IoT-Geräte anerkannt worden.

Der CTIA Cybersecurity Test Plan definiert Testfälle, die auf dem Device in einem Authorized Test Laboratory (ATL) durchgeführt werden müssen, um die CTIA Cybersecurity Zertifizierung zu erhalten. Die Zertifizierung ist für drei Sicherheitsstufen definiert. Die erste Stufe testet grundlegende Sicherheitsmerkmale von IoT-Devices, während die zweite und dritte Stufe Sicherheitselemente für Devices mit zunehmender Komplexität und Verwaltbarkeit testen.

Cybersecurity für IoT-Geräte in drahtlosen Netzwerken

  • Das Programm wurde mit Unterstützung der Betreiber drahtloser Netzwerke entwickelt
  • Schafft eine branchenweite Best Practice für IoT-Sicherheit in drahtlosen Netzwerken
  • Erstes Cybersicherheitsprogramm seiner Art mit Unterstützung von Mobilfunkbetreibern, OEMs und Labors
  • Der Testplan wird von der Cybersecurity Working Group kontinuierlich aktualisiert
  • Testplan Version 1.2.3 ist aktiv (enthält 80 Tests)

Hauptanforderungen des Zertifizierungsprogramms

  • Die Tests müssen in einem von der CTIA autorisierten Testlabor (ATL) durchgeführt werden.
  • IoT-Devices müssen LTE, 5G oder WLAN unterstützen (GSM, CDMA und UMTS werden nicht berücksichtigt)
  • Wireless Personal Area Network-Technologien (ZigBee, Bluetooth, Bluetooth Low Energy) werden wahrscheinlich in Zukunft hinzukommen

Auf der Grundlage des CETECOM-Prüfberichts erhalten Sie von der CTIA eine IoT-Cybersecurity-Zertifizierung gemäß den neuesten CTIA-Anforderungen.

Das CyberSecurity Certified (CSC) Label

TÜV Siegel: 'CSC - Cybersecurity Certified'

Cybersecurity wird zu einem integralen Bestandteil der Produkt- bzw. Gerätesicherheit und kann mit klaren gesetzlichen Vorgaben und unabhängigen Cybersecurity-Tests eine positive Signalwirkung auf den Produktabsatz haben. Ein erster Schritt ist getan – ein europaweites Sicherheitszertifikat wird durch das neue Prüfzeichen angeboten: das CyberSecurity Certified (CSC) Label.

Im Rahmen dieses dreistufigen Zulassungsverfahrens konzentrieren wir uns gemeinsam mit unserem Partner TÜV NORD auf die Erfüllung der grundlegenden Anforderungen für eine sichere Entwicklung und einen sicheren Betrieb über den gesamten Lebenszyklus des Produktes. Diese Anforderungen basieren weitgehend auf den grundlegenden Cybersicherheitsanforderungen für IoT-Geräte für Verbraucher gemäß ETSI EN 303 645.

Die folgenden Aspekte der Cybersicherheit werden im Rahmen des Zertifizierungsverfahrens für Devices berücksichtigt:

  • Sichere Produktentwicklung und -dokumentation.
  • Interne Cybersicherheitsprüfungen, z. B. nmap-Scan, Schwachstellenscan, statische und dynamische Codeanalyse, Eingabevalidierung
  • Sicherer Betrieb, bezogen auf die Authentifizierung
  • Verwaltung von Passwörtern
  • Datenspeicherung
  • Sicherer Produktlebenszyklus, bezogen auf
    • Update-Mechanismus
    • Informationen zur Sicherheitsaktualisierung
    • Zurücksetzen auf Werkseinstellungen
    • Patch-Verwaltung
    • Verwaltung von Sicherheitslücken
    • Verwaltung von Zwischenfällen
    • Änderungs- und Risikomanagement

Auf der Grundlage des CETECOM-Prüfberichts erhalten Sie von TÜV NORD das CyberSecurity Certified (CSC) Label und eine Zertifizierung nach den neuesten CSC-Cybersicherheitsanforderungen.

Weitere Themen

News zum Thema IoT & Cybersecurity

Bleiben Sie auf dem Laufenden.
Der CETECOM™ Newsletter wird ca. 1x monatlich versendet. Keine ständigen Follow-up Mails. Nur ausgewählte Inhalte von unseren Experten.