Wählen Sie ein anderes Land, um sich über die Services vor Ort zu informieren

//Land auswählen

Informationssicherheit für IoT-Geräte

Das sogenannte Internet der Dinge (englisch: Internet of Things, kurz: IoT) wird seit einigen Jahren immer bedeutender. Unter dem Begriff versteht man sämtliche Technologien, die die Vernetzung von Gegenständen und Maschinen ermöglichen und sie mithilfe entsprechender Kommunikationstechniken zusammenarbeiten lassen. In der Regel sind das alle Geräte mit Funkschnittstellen wie WLAN, Bluetooth oder Zigbee.

Beim IoT muss immer das komplette System bestehend aus dem Gerät oder beispielsweise einer Smartphone-Applikation (App) und dem Backend bzw. der Cloud betrachtet werden. Immer öfter werden solche Geräte in Privathaushalten als sogenannte Smart-Home-Systeme eingesetzt. 

Konsumenten und Anwender wollen sich auf die Sicherheit von IoT-Produkten verlassen. Niemand möchte, dass persönliche Daten aufgrund einer unzureichenden Verschlüsselung zwischen Smartphone und IoT-Gerät gehackt werden. Informationssicherheitsprüfungen von TÜV SÜD bieten hier optimale Lösungen, indem sie Problembereiche zuverlässig aufdecken und etwaigen Sicherheitslücken mit wirksamen Optimierungsansätzen begegnen. Außerdem helfen unsere Prüfungen dabei, schwerwiegende Imageschäden durch Sicherheitsprobleme im Vorfeld zu verhindern.

 

Unsere Dienstleistungen

Grafik Dienstleistungen IoT

Zertifizierung

  • Echte, herstellerunabhängige Zertifizierung  (zum Prüfzeichen)
  • Nach Vorbild des GS-Zeichens
  • Basierend auf international anerkannten Normen und Standards (unter anderem ETSI EN 303645)
  • Es gibt drei Prüflevel: Basic, Substantial und High, deren Prüfumfang und Prüftiefe zunimmt.
  • Geprüft werden das IoT-Produkt selbst sowie der Produktentwicklungsprozess.
  • Permanente Qualitätsverbesserung durch Erfahrungsaustausch der TÜV-Organisationen
 

Prüflevel IoT

Anwendungsbereich

Grundsätzlich ist das Zertifizierungsprogramm VdTÜV CIoT für alle Consumer-IoT-Geräte anwendbar. 

Typische CIoT-Produkte sind:

∙ Router
∙ Persönliche Fitnessgeräte (Tracker)
∙ Smart-Home-Anwendungen
∙ Wearables
∙ Smart TVs
∙ Smart Watches
∙ Spielzeuge
∙ Weißware wie Kühlschränke, Waschmaschinen, Herde, Geschirrspülmaschinen

Die nachfolgenden Produkte sind explizit ausgeschlossen:

∙ Produkte für Autos, Luftfahrt und öffentlichen Nahverkehr
∙ Medizinische Geräte
∙ Produkte für die militärische Anwendung
∙ Produkte für die kritische Infrastruktur
∙ Industrieprodukte (IIoT) und Produkte für die Kraftwerkssparte

Jetzt unverbindlich anfragen

 

Normenprüfungen

Für mehr Sicherheit von vernetzten Geräten (IoT) hat das European Telecommunication Standards Institute (ETSI) mit der Norm 303654 Grundlage für einen IoT-Sicherheitsstandard in Europa geschaffen. In den USA regelt die Norm NIST IR 8259 grundlegende Anforderungen an die Cybersecurity von IoT-Geräten. 

Hier finden Sie die TÜV SÜD Prüfrichtlinie zur Norm NIST IR 8259 (Englisch)

 

Kundenspezifische Dienstleistungen

 

  • Basic Check IoT Security
    • Prüfzeit beträgt 10 Tage (Lead-time)
    • Bilingual (deutsch/englisch)
    • Immer up to date, da alle Normen- und Gesetzesänderungen berücksichtigt werden

    Ziel Prüfumfang IoT

     

     

  • Ermittlung des Datensendeverhaltens

    Nahezu alle Retailer und Importeure von IoT-Geräten sind an der Entwicklung des Produktdesigns nicht beteiligt, selbst wenn sie - wie in den meisten Fällen -  unter dem eigenen Markennamen vertrieben werden. Bei komplexeren IoT-Geräten sollte jedoch transparent gemacht werden, welche Daten von den IoT-Geräten tatsächlich erhoben und an die Cloud gesendet werden. Denn oft gelangen Informationen, die das Nutzerverhalten analysieren oder Bildmaterial ohne Zustimmung des Nutzers unbemerkt und ungewollt an den Cloudbetreiber.

    Um dies zu vermeiden, kann TÜV SÜD mit dem sogenannten „Man of the Middle (MITM)"-Verfahren die Datenübertragung von IoT-Geräten analysieren. Dabei wird der Netzwerkverkehr umgeleitet und entschlüsselt und damit ein Einblick in den Inhalt des Netzwerkverkehrs, dem sogenannten Payload, ermöglicht.

    Diese Prüfung ist jedoch bei Apps von IoT-Geräten mit einem besonders starken MITM-Schutzmechanismus nicht möglich.

     

     

  • Penetrationstest

    Ein sogenannter Penetrationstest gibt Aufschluss über Schwachstellen eines IoT-Geräts oder -Systems und seine Anfälligkeit für Hackerangriffe. Dabei versucht ein sogenannter Ethical Hacker, das System zu infiltrieren und Schwachstellen aufzuzeigen. Selbstverständlich entsteht hierbei kein Schaden beim Hersteller oder Cloudbetreiber. Die Prüfung erfolgt unter anderem nach der OWASP-IoT-Top-10-Liste. Des Weiteren kann bei der Prüfung unter drei verschiedenen Prüfarten unterschieden werden:

    • Black-Box-Test: Hier liefert uns der Hersteller keinerlei Informationen über das IoT-System. Der Prüfer muss wie der Hacker den Weg in das System finden.
    • Grey-Box-Test: Bei diesen Prüfungen sind Informationen/Dokumente wie z. B. Aufbauplan, SW-Architektur, Risikobewertung vorhanden. Der Prüfer kann gezielter „angreifen“ und dadurch schneller Schwachstellen identifizieren.
    • White-Box-Test: Neben den Informationen des Grey-Box-Tests wird auch der Quellcode zur Verfügung gestellt, der ebenfalls Teil der Prüfung ist. Wir sind uns bewusst, wie hoch sensibel für Sie als Hersteller der Quellcode ist und dass Sie ihn nur ungern an Dritte wie TÜV SÜD aushändigen. Diese Bedenken können wir mit unseren Lösungsansätzen jedoch entkräften.
  • Schulungen und Workshops
    In unseren Schulungen zum Thema Cybersecurity gehen wir auf grundsätzliche Probleme der Cybersicherheit, Lösungsansätze und Anforderungen aus den aktuellen Normen ein.

    Gerne bieten wir  auch kundenspezifische  Workshops an, wenn Sie Unterstützung für ein konkretes Produkt bzw. Projekt benötigen.

Wissenswert

Podcast Cybersicherheit von Konsumprodukten

Safety First - Der Podcast von TÜV SÜD

Episode #26: Cybersicherheit von Consumerprodukten

Jetzt anhören!

Wie können wir Ihnen helfen?

WORLDWIDE

Germany

German

Global

Americas

Asia

Europe

Middle East and Africa