cetecom advanced
Die Notwendigkeit von IoT Security verdeutlicht anhand einer Smart-Home Steuerung auf einem Tablet

IoT Cybersecurity Prüfungen

Sicherheit für alle Geräte
im Internet of Things

IoT Cybersecurity Prüfungen zielen auf die Sicherheit sämtlicher Geräte im Internet of Things (IoT). Diese Geräte umfassen Sensoren und Aktoren sowie Backend-Verbindungen und kommunizieren optional mit Gateways und Smartphone-Apps – entsprechend umfangreich sollten die Sicherheitsmaßnahmen zum Schutz vor Bedrohungen aufgestellt werden.

Warum IoT Cybersecurity?

Vor allem die digitale Vernetzung macht Anwendungen und Komponenten von mobilen oder statischen IoT-Geräten anfällig für Angriffe. Um auf ein vernetztes Gerät zuzugreifen, werden hauptsächlich drei Ziele angegriffen: das Gerät selbst, das Netz und die Infrastruktur (App, Cloud). Die Sicherheit der vernetzten Umgebung, zum Beispiel in der Industrie, kann jedoch einen solchen Zugriff von außen bzw. IoT-Angriffe verhindern. Elemente einer ganzheitlichen IoT-Cybersecurity sind unter anderem:

  • Sichere Anwendung
  • Robustes Design
  • Vertrauenswürdiger Umgang mit privaten Daten
  • Update/Upgrade-Verhalten von Firmware und Software
  • Sicherheit gegen Angriffe auf die Datengültigkeit und Authentizität der Kommunikationspartner

Ganzheitliche Zuverlässigkeit: IoT-Cybersecurity-Testing
bei cetecom advanced

Eine Auswahl an verschiedenen Icons, Mann im Hintergrund klickt auf das Cloud-Sicherheits-Symbol

Mit unseren cetecom advanced IoT-Cybersecurity-Services verifizieren wir den aktuellen Sicherheitsstatus Ihrer vernetzten Geräte – ein wichtiger Meilenstein bei der Markteinführung Ihrer Produkte. Profitieren Sie von unserer langjährigen Erfahrung in der regulatorischen Zertifizierung von Produkten mit drahtlosen Technologien.

ETSI EN 303 645 und ETSI TS 103 701

ETSI EN 303 645 (Grundlegende Anforderungen)

  • Definiert grundlegende Cybersicherheitsanforderungen für Verbraucher IoT-Geräte, aber keine Tests oder Testverfahren.
  • Deckt alle Typen von Verbraucher IoT-Geräten ab.
  • Enthält 33 verbindliche Anforderungen und 35 Empfehlungen, u. a.:
    • Keine universellen Standardpasswörter
    • Implementierung eines Systems zur Verwaltung von Berichten über Sicherheitslücken
    • Software auf dem neuesten Stand halten
    • Sichere Speicherung sensibler Sicherheitsparameter
    • Sicher kommunizieren
    • Angriffsflächen minimieren
    • Sicherstellung der Software-Integrität
    • Gewährleistung der Sicherheit personenbezogener Daten
    • Systeme widerstandsfähig gegen Ausfälle machen
    • Prüfen von Telemetriedaten des Systems
    • Einfaches Löschen von Benutzerdaten durch den Benutzer
    • Einfache Installation und Wartung von Geräten
    • Validierung der Eingabedaten
    • Datenschutzbestimmungen
  • Ist nicht geeignet, um eine harmonisierte Norm im Rahmen der RED (Radio Equipment Directive – deutsch: Funkanlagen Richtlinie) zu werden.
  • Harmonisierte Normen der RED müssen Anforderungen enthalten, die zweifelsfrei überprüfbar sind (eindeutige Testergebnisse: ja oder nein). ETSI EN 303 645 enthält jedoch mehrere ergebnisorientierte Bestimmungen (z. B. Umsetzung bewährter Kryptografieverfahren), die auf diese Weise nicht prüfbar sind.

ETSI TS 103 701 (Konformitätsbewertung von Basisanforderungen)

  • Beschreibt, wie die Konformität von Verbraucher IoT-Geräten mit ETSI EN 303 645 zu bewerten ist.
  • Enthält 109 Tests.

Verordnung (EU) 2022/30 - RED Artikel 3.3, Buchstaben d), e) und f)

Die Funkanlagenrichtlinie (RED-Richtlinie) 2014/53/EU setzt den rechtlichen Rahmen für alle Produkte, die Funktechnologien nutzen. Die wichtigsten definierten Anforderungen sind Gesundheit und Sicherheit, elektromagnetische Verträglichkeit und effiziente Nutzung von Funkfrequenzen. Hersteller und Lieferanten dieser Produkte müssen die Einhaltung der RED auf dem EU-Markt nachweisen, indem sie eine Baumusterprüfung auf der Grundlage der technischen Dokumentation (TD) oder eine Konformitätserklärung (DoC) und die CE-Kennzeichnung vorlegen.

Im Januar 2022 wurde die delegierte Verordnung EU 2022/30 im Amtsblatt der EU veröffentlicht. Diese Verordnung ergänzt Teile von Artikel 3.3 der RED und wird damit relevant für Hersteller von Produkten mit drahtlosen Technologien, die ihre Produkte in der EU in Verkehr bringen wollen.

Die delegierte Verordnung EU 2022/30 definiert Anforderungen im Bereich der Cybersicherheit für Produkte, die unter die RED fallen. Dies betrifft insbesondere die Buchstaben d) bis f) von Artikel 3.3:

„d) die Funkanlagen weder das Netz oder seinen Betrieb beeinträchtigen noch Netzressourcen missbrauchen und dadurch eine unzumutbare Beeinträchtigung des Dienstes verursachen

e) die Funkanlage enthält Sicherheitsvorkehrungen, die gewährleisten, dass die personenbezogenen Daten und die Privatsphäre des Nutzers und des Teilnehmers geschützt werden

f) die Funkanlage unterstützt bestimmte Funktionen, die den Schutz vor Betrug gewährleisten.“

Delegierte Verordnung (EU) 2022/30 – Funkanlagenarten

Wesentliche Anforderungen Geeignete Funkgeräte NICHT anwendbare Funkgeräte
RED Artikel 3.3 Buchstabe d)
(schadet dem Netz nicht)
Alle mit dem Internet verbundenen Funkgeräte
(direkt oder über ein anderes Gerät)
  • Medizinprodukte (Verordnung (EU) 2017/745)
  • In-vitro-Diagnostika (Verordnung (EU) 2017/746)
RED Artikel 3.3 Buchstabe e)
(personenbezogene Daten und Privatsphäre werden geschützt)
Die in der Lage sind, personenbezogene Daten, Verkehrsdaten oder Standortdaten zu verarbeiten

  • Kinderbetreuung
  • Spielzeug (Richtlinie 2009/48/EG)
  • Tragbare Geräte
  • Andere mit dem Internet verbundene Funkgeräte
  • Medizinprodukte (Verordnung (EU) 2017/745)
  • In-vitro-Diagnostika (Verordnung (EU) 2017/746)
  • Zivilluftfahrt (Verordnung (EU) 2018/1139)
  • Kraftfahrzeuge, Anhänger, Systeme, Bauteile und selbstständige technische Einheiten (Verordnung (EU) 2019/2144)
  • Elektronische Straßenmautsysteme
    (Richtlinie (EU) 2019/520)
RED Artikel 3.3 Buchstabe f)
(Schutz vor Betrug)
Alle mit dem Internet verbundenen Funkgeräte zur Übertragung von Geld, monetären Werten oder virtuellen Währungen (Richtlinie (EU) 2019/713)

  • Zahlung

 

Ab dem 1. August 2024 müssen die Hersteller ihre Produkte auf die neuen Cybersicherheitsanforderungen testen und die Einhaltung der delegierten Verordnung EU 2022/30 erklären. Dies betrifft sowohl Geräte, die neu zugelassen werden, als auch Geräte, die nach dem 1. August 2024 auf den EU-Markt kommen.

Das aktuelle Problem ist jedoch, dass die Cybersicherheitsanforderungen auf der Grundlage der neuen Verordnung noch nicht harmonisiert sind und daher noch keine akkreditierten Tests möglich sind. Dennoch können unsere Notified Bodies unter der Radio Equipment Directive (RED) Sie dabei unterstützen, verlässliche Aussagen zur Konformität Ihrer Produkte zu machen.

Sie haben Rückfragen zu Cybersecurity Prüfungen gemäß der Funkanlagenrichtlinie (RED)?
Kontaktieren Sie uns, wir freuen uns auf Ihre Anfrage:
mail@cetecomadvanced.com / Tel. +49 2054 9519 0

CTIA Cybersecurity Certification Test Plan für IoT-Geräte

ctia – everything wireless

Unsere Labore in Deutschland und den USA sind von der CTIA als Authorized Test Laboratory (ATL) für den CTIA Test Plan für IoT-Geräte anerkannt worden.

Der CTIA Cybersecurity Test Plan definiert Testfälle, die mit dem Gerät in einem Authorized Test Laboratory (ATL) durchgeführt werden müssen, um die CTIA Cybersecurity Zertifizierung zu erhalten. Die Zertifizierung ist für drei Sicherheitsstufen definiert. Die erste Stufe testet grundlegende Sicherheitsmerkmale von IoT-Geräten, während die zweite und dritte Stufe Sicherheitselemente für Geräte mit zunehmender Komplexität und Verwaltbarkeit testen.

Cybersecurity für IoT-Geräte in drahtlosen Netzwerken

  • Das Programm wurde mit Unterstützung der Betreiber drahtloser Netzwerke entwickelt.
  • Schafft eine branchenweite Best Practice für IoT-Sicherheit in drahtlosen Netzwerken.
  • Erstes Cybersicherheitsprogramm seiner Art mit Unterstützung von Mobilfunkbetreibern, OEMs und Labors
  • Der Testplan wird von der Cybersecurity Working Group kontinuierlich aktualisiert.
  • Testplan Version 1.2.3 ist aktiv (enthält 80 Tests).

Hauptanforderungen des Zertifizierungsprogramms

  • Die Tests müssen in einem von der CTIA autorisierten Testlabor (ATL) durchgeführt werden.
  • IoT-Devices müssen LTE, 5G oder WLAN unterstützen (GSM, CDMA und UMTS werden nicht berücksichtigt).
  • Wireless Personal Area Network-Technologien (ZigBee, Bluetooth, Bluetooth Low Energy) werden wahrscheinlich in Zukunft hinzukommen.

Auf der Grundlage des cetecom advanced Prüfberichts erhalten Sie von der CTIA eine IoT-Cybersecurity-Zertifizierung gemäß den neuesten CTIA-Anforderungen.

Das CyberSecurity Certified (CSC) Label

TÜV Siegel: 'CSC - Cybersecurity Certified'

Cybersecurity wird zu einem integralen Bestandteil der Produkt- bzw. Gerätesicherheit und kann mit klaren gesetzlichen Vorgaben und unabhängigen Cybersecurity-Tests eine positive Signalwirkung auf den Produktabsatz haben. Ein erster Schritt ist getan – ein europaweites Sicherheitszertifikat wird durch das neue Prüfzeichen angeboten: das Cybersecurity Certified (CSC) Label.

Im Rahmen dieses dreistufigen Zulassungsverfahrens konzentrieren wir uns gemeinsam mit unserem Partner TÜV NORD auf die Erfüllung der grundlegenden Anforderungen für eine sichere Entwicklung und einen sicheren Betrieb über den gesamten Lebenszyklus des Produktes. Diese Anforderungen basieren weitgehend auf den grundlegenden Cybersicherheitsanforderungen für IoT-Geräte für Verbraucher gemäß ETSI EN 303 645.

Die folgenden Aspekte der Cybersicherheit werden im Rahmen des Zertifizierungsverfahrens für Devices berücksichtigt:

  • Sichere Produktentwicklung und -dokumentation.
  • Interne Cybersicherheitsprüfungen, z. B. nmap-Scan, Schwachstellenscan, statische und dynamische Codeanalyse, Eingabevalidierung
  • Sicherer Betrieb, bezogen auf die Authentifizierung
  • Verwaltung von Passwörtern
  • Datenspeicherung
  • Sicherer Produktlebenszyklus, bezogen auf
    • Update-Mechanismus
    • Informationen zur Sicherheitsaktualisierung
    • Zurücksetzen auf Werkseinstellungen
    • Patch-Verwaltung
    • Verwaltung von Sicherheitslücken
    • Verwaltung von Zwischenfällen
    • Änderungs- und Risikomanagement

Auf der Grundlage des cetecom advanced Prüfberichts erhalten Sie von TÜV NORD das Cybersecurity Certified (CSC) Label
und eine Zertifizierung nach den neuesten CSC-Cybersicherheitsanforderungen.

News zum Thema IoT & Cybersecurity

Bleiben Sie auf dem Laufenden.
Der cetecom advanced Newsletter wird ca. 1x monatlich versendet. Keine ständigen Follow-up Mails.
Nur ausgewählte Inhalte von unseren Experten.