TÜV Süd

Diese Sicherheitsstandards gelten im IoT

Für Hersteller von IoT-Geräten gelten seit Januar 2022 strengere Security-Vorgaben. Dazu hat der TÜV Süd ein Whitepaper zusammengestellt.
Von 
CSO | 01. August 2022 05:07 Uhr
Hersteller von IoT-Geräten müssen bis zum 1. August 2024 die Privatsphäre und die Netzstabilität gewährleisten und das Betrugsrisiko verringern.
Hersteller von IoT-Geräten müssen bis zum 1. August 2024 die Privatsphäre und die Netzstabilität gewährleisten und das Betrugsrisiko verringern.
Foto: metamorworks - shutterstock.com

Smart Home Gateways, internetfähige Fernseher und Überwachungs- oder Beleuchtungssysteme - all diese IoT-Produkte bieten viel Komfort, aber eignen sich auch als Einfallstor für Hacker. Sind sie nicht ausreichend gesichert, kann der jeweilige Hersteller zur Verantwortung gezogen werden.

"Im Jahr 2020 wurden weltweit etwa 11,7 Milliarden IoT-Geräte aktiv genutzt", sagt Florian Wolff von Schutter, Team Leader IoT Cyber Security beim TÜV Süd. "Bis 2025 werden es voraussichtlich mehr als 30 Milliarden sein. Leider steht dem Marktwachstum aber eine ebenso hohe Zunahme der Schäden durch Cyberkriminalität gegenüber, die bis 2025 auf über 10 Billionen Dollar steigen dürften." Diese Prognose erfordert strengere Auflagen für Hersteller.

IoT-Hersteller sollten Geräte prüfen lassen

Laut EU-Kommission richten sich aktuell über 80 Prozent aller Cyberangriffe gegen drahtlose Geräte. Im Rahmen des Rechtsakts zur Funkanlagenrichtlinie (RED) hat die EU daher die Cybersecurity-Anforderungen für IoT-Produkte erhöht. Dazu gehören Smartphones, Tablets, elektronische Kameras und Wearables wie Smartwatches und Fitness-Tracker. Die Verordnung gilt seit dem 12. Januar 2022. Bis zum Ende der Übergangsfrist am 1. August 2024 müssen Hersteller "mit geeigneten Maßnahmen die Privatsphäre schützen, das Betrugsrisiko verringern und die Netzstabilität gewährleisten."

  • Verbesserung der Netzstabilität: Geeignete Maßnahmen müssen verhindern, dass drahtlose Geräte die Kommunikationsnetze schädigen oder zur Störung der Funktionen von Websites oder anderen Diensten verwendet werden können.

  • Besserer Schutz der Privatsphäre: Hersteller müssen die Privatsphäre schützen und beispielsweise durch neue Maßnahmen den unbefugten Zugriff auf personenbezogene Daten und deren unbefugte Übermittlung verhindern. Der Schutz der Rechte von Kindern wird zu einem wesentlichen Bestandteil dieser Rechtsvorschrift.

  • Verringerung des Betrugsrisikos: Drahtlose Geräte und Produkte müssen Funktionen aufweisen, die das Betrugsrisiko bei elektronischen Zahlungen minimieren. Dazu gehörtbeispielsweise eine sichere Authentifizierung um betrügerische Zahlungen zu verhindern.

Der TÜV mahnt: "Da entsprechend harmonisierte Normen bislang fehlen, sollten Hersteller ihre Produkte rechtzeitig von unabhängigen Prüfstellen bewerten lassen."

Anforderungen an IoT-Produkte

Connectivity, Cybersicherheit und Compliance sind die Schwerpunkte, auf die sich Hersteller fokussieren sollten, um IoT-Produkte den EU-Richtlinien entsprechend auf den Markt zu bringen. Als Beispiel für die Konnektivität nennt der TÜV Süd den nahtlosen Informationsfluss zwischen IoT-Produkten sowie die Möglichkeit für Upgrades und Aktualisierungen. Hinsichtlich der Compliance müssen sich Hersteller laut TÜV an den Normen und Vorschriften zur Cybersicherheit sowie dem jeweiligen nationalen Recht orientieren. In Europa gelten sowohl die Verordnung DSGVO 2016/679 sowie die RED 2014/53/EU.

Erfüllen Unternehmen die Vorschriften, prognostizieren die Experten des TÜV ihnen langfristig ein größeres Erfolgspotenzial in der IoT-Branche und können sich dadurch das Vertrauen ihrer Kunden sichern. Das vollständige Whitepaper des TÜV zur IoT-Cybersicherheit können Sie online herunterladen.

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.