Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Consumer IoT

Basisanforderungen an die IT-Sicherheit von vernetzten Geräten für Verbraucher und zugehörige Konformitätsprüfungen

Europäische Norm ETSI EN 303 645

Die europäische Norm „Cyber Security for Consumer Internet of Things: Baseline Requirements“ (ETSI EN 303 645) definiert Basissicherheitsanforderungen an IoT-Geräte für Verbraucher. Der generische Charakter der Norm ermöglicht es, das breite Spektrum an Geräten im IoT-Umfeld abzudecken – von der Smartwatch bis zur intelligenten Waschmaschine. Dabei richtet sich die Norm hauptsächlich an die Gerätehersteller. Diese können die Anforderungen freiwillig bei der Entwicklung (Security by Design) und Herstellung ihrer Produkte umsetzen (siehe auch IT-Sicherheitskennzeichen).

Unzureichend geschützte IoT-Geräte sind ein beliebtes Ziel für Cyber-Angriffe und bilden daher ein Risiko für die Informationssicherheit und Privatsphäre der Nutzerinnen und Nutzer. Kompromittierte Geräte können missbraucht werden, um an persönliche Daten zu gelangen oder um großflächige Cyber-Angriffe auf Infrastrukturen Dritter durchzuführen.

Zur Norm konforme IoT-Geräte verfügen über Sicherheitsmechanismen, um diesen Bedrohungen zu begegnen. Hinsichtlich einer Konformität beinhaltet die Norm verpflichtend umzusetzende Anforderungen („Mandatory Requirements“). Hierzu gehören unter anderem sichere Authentisierungsmechanismen, ein angemessenes Updatemanagement und die Absicherung der Kommunikation. Außerdem sind zusätzliche Empfehlungen („Recommendations“) spezifiziert, von denen nur unter Angabe einer Begründung abgewichen werden kann.

Prüfspezifikation ETSI TS 103 701

Um die Konformität zur Norm nachzuweisen, bietet die zugehörige Prüfspezifikation „Cyber Security for Consumer Internet of Things: Conformance Assessment of Baseline Requirements“ (ETSI TS 103 701) Hilfestellung. Die Spezifikation beinhaltet Testfälle für jede Anforderung und Empfehlung der Norm und eine Prüfmethodik für deren Anwendung auf Basis von Herstellerangaben. Damit kann strukturiert geprüft werden, ob ein IoT-Gerät die jeweilige Anforderung oder Empfehlung erfüllt. Dies gewährleistet, dass Prüfergebnisse der Sicherheitseigenschaften von IoT-Geräten vergleichbar sind. Hersteller können die Prüfspezifikation für einen Selbsttest nutzen oder ihr Produkt durch eine Prüfstelle evaluieren lassen.

Leitfaden ETSI TR 103 621

Der Leitfaden „Guide to Cyber Security for Consumer Internet of Things“ (ETSI TR 103 621) beinhaltet Informationen zur konformen Umsetzung der Anforderungen und Empfehlungen aus der EN 303 645. Hierbei werden für jede Provision der EN 303 645 Implementierungsbeispiele und Hinweise geben. Das Dokument selbst ist informativer Art.

Aktuelle Versionen

Zusätzliche Verfeinerungen für Konformitätsprüfung BSI TR-03173

Ergänzt werden Norm und Prüfspezifikation durch die vom BSI veröffentlichte Technische Richtlinie „Amendments for Conformance Assessments based on ETSI EN 303 645/TS 103 701“ (BSI TR-03173). Diese legt einige Verfeinerungen für die Durchführung der Konformitätsprüfung fest, um Prüfaspekte zu konkretisieren, die aufgrund des generischen Charakters der Norm und zugehöriger Prüfspezifikation offengehalten sind. Es wird beispielsweise hinsichtlich der Prüfung von Usability-Anforderungen (also Anforderungen für die einfache Verwendung des IoT-Geräts durch Nutzerinnen und Nutzer) vorgegeben, Kriterien aus der Prüfspezifikation zu verwenden, die nur informativ bereitgestellt werden.

Zusammenwirken von ETSI EN 303 645, ETSI TS 103 701 und BSI TR-03173
Zusammenwirken der aufgeführten Dokumente zur Konformitätsprüfung Quelle: BSI

Dokumentenvorlage für die Konformitätsprüfung

Zur Unterstützung einer Konformitätsprüfung unter Verwendung der Prüfspezifikation und des Ergänzungsdokuments BSI TR-03173 stellt das BSI die Dokumentenvorlage („Assessment Template“) zur Verfügung. Diese ermöglicht eine einfache und strukturierte Dokumentation der im Rahmen der Prüfung benötigten Konformitätserklärung und der Ergebnisse der Konformitätsprüfung. Hersteller können die Vorlage nutzen, um einen Selbsttest durchzuführen, aber um auch benötigte Informationen an eine Prüfstelle zu geben. Eine Prüfstelle kann diese Informationen für die Konformitätsprüfung nutzen und die Ergebnisse einzelner Testfälle in die Vorlage eintragen.

Die Vorlage bildet die in der Prüfspezifikation beschriebene Methodik zur Konformitätsprüfung ab. In einer Excel-Vorlage können die benötigten Informationen aus dem Formular „Identification of the DUT“, das Implementation Conformance Statement (ICS) und die Ergebnisse der Prüfung eingetragen werden.

Die Vorlage wird ergänzt durch eine Word-Datei. Diese beinhaltet vorgefertigte Felder für die Abgabe aller in der Prüfspezifikation geforderten Informationen zur Durchführung der Testfälle (genannt Implementation eXtra Information for Testing, kurz IXIT). Es werden nicht alle Informationen aus der Vorlage für jedes Gerät benötigt. Die Angaben im Anhang der Prüfspezifikation dienen als Hilfestellung. Sie zeigen auf, welche Informationen erforderlich sind (siehe ETSI TS 103 701, Annex B) und wie die Felder auszufüllen sind (siehe ETSI TS 103 701, Annex C).

Ergänzende Dokumente

IT-Sicherheitskennzeichen

Die ETSI EN 303 645 dient als zugrundeliegender Standard zur Erteilung des IT-Sicherheitskennzeichens. Sie betrifft verschiedene Kategorien von IoT-Geräten für Verbraucher. Hersteller und Dienstanbieter können ihre IT-Produkte mit dem IT-Sicherheitskennzeichen des BSI auszeichnen. Sie sichern damit zu, dass ihre Produkte bestimmte Sicherheitseigenschaften besitzen.

Auf der Website des BSI können allgemeine Informationen für Hersteller zum IT-Sicherheitskennzeichen sowie die Dokumente zur Beantragung eines IT-Sicherheitskennzeichens abgerufen werden. Eine Liste der bereits erteilten IT-Sicherheitskennzeichen ist ebenfalls online abrufbar.

Kontaktadresse

shs@bsi.bund.de

Ähnliche Themen

Zurück zu Für Hersteller

Kurz-URL:
https://www.bsi.bund.de/dok/sik-antrag-post