Informationssicherheit für IoT-Geräte

Das sogenannte Internet der Dinge (englisch: Internet of Things, kurz: IoT) wird seit einigen Jahren immer bedeutender. Unter dem Begriff versteht man sämtliche Technologien, die die Vernetzung von Gegenständen und Maschinen ermöglichen und sie mithilfe entsprechender Kommunikationstechniken zusammenarbeiten lassen. In der Regel sind das alle Geräte mit Funkschnittstellen wie WLAN, Bluetooth oder Zigbee.

Beim IoT muss immer das komplette System bestehend aus dem Gerät oder beispielsweise einer Smartphone-Applikation (App) und dem Backend bzw. der Cloud betrachtet werden. Immer öfter werden solche Geräte in Privathaushalten als sogenannte Smart-Home-Systeme eingesetzt. 

Konsumenten und Anwender wollen sich auf die Sicherheit von IoT-Produkten verlassen. Niemand möchte, dass persönliche Daten aufgrund einer unzureichenden Verschlüsselung zwischen Smartphone und IoT-Gerät gehackt werden. Informationssicherheitsprüfungen von TÜV SÜD bieten hier optimale Lösungen, indem sie Problembereiche zuverlässig aufdecken und etwaigen Sicherheitslücken mit wirksamen Optimierungsansätzen begegnen. Außerdem helfen unsere Prüfungen dabei, schwerwiegende Imageschäden durch Sicherheitsprobleme im Vorfeld zu verhindern.

 

Unsere Dienstleistungen

 IoT Prüfung CSC Zertifizierung Dienstleistungen

TÜV CSC-Zertifizierung

  • Echte, herstellerunabhängige Zertifizierung  (zum CSC-Prüfzeichen)
  • Nach Vorbild des GS-Zeichens
  • Basierend auf international anerkannten Normen und Standards (unter anderem ETSI EN 303 645)
  • Es gibt drei Prüflevel: Basic, Substantial und High, deren Prüfumfang und Prüftiefe zunimmt.
  • Geprüft werden das IoT-Produkt selbst sowie der Produktentwicklungsprozess.
  • Permanente Qualitätsverbesserung durch Erfahrungsaustausch der TÜV-Organisationen

Die drei Prüflevel der CSC-Zertifizierung

 CSC Zertifizierung Informationssicherheit IoT


Anwendungsbereich

Grundsätzlich ist das TÜV CSC-Zertifizierungsprogramm für alle Consumer-IoT-Geräte und Router anwendbar. 

Typische CIoT-Produkte sind:

∙ Persönliche Fitnessgeräte (Tracker)
∙ Smart-Home-Anwendungen
∙ Wearables
∙ Smart TVs
∙ Spielzeuge
∙ Weißware wie Kühlschränke, Waschmaschinen, Herde, Geschirrspülmaschinen

Die nachfolgenden Produkte sind explizit ausgeschlossen:

∙ Produkte für Autos, Luftfahrt und öffentlichen Nahverkehr
∙ Medizinische Geräte
∙ Produkte für die militärische Anwendung
∙ Produkte für die kritische Infrastruktur
∙ Industrieprodukte (IIoT) und Produkte für die Kraftwerkssparte

Jetzt unverbindlich anfragen

 

Normenprüfungen

Für mehr Sicherheit von vernetzten Geräten (IoT) hat das European Telecommunication Standards Institute (ETSI) mit der Norm ETSI EN 303 645 eine Grundlage für einen IoT-Sicherheitsstandard in Europa geschaffen. In den USA regelt die Norm NIST IR 8259 grundlegende Anforderungen an die Cybersecurity von IoT-Geräten. 

Hier finden Sie die TÜV SÜD Prüfrichtlinie zur Norm NIST IR 8259 (Englisch)

 

Kundenspezifische Dienstleistungen

 

  • IoT Security Kurzcheck
    • Prüfzeit beträgt 10 Tage (Lead-time)
    • Bilingual (deutsch/englisch)

    Ziel Prüfumfang IoT

     

     

  • Penetrationstest

    Ein sogenannter Penetrationstest gibt Aufschluss über Schwachstellen eines IoT-Geräts oder -Systems und seine Anfälligkeit für Hackerangriffe. Dabei versucht ein sogenannter Ethical Hacker, das System zu infiltrieren und Schwachstellen aufzuzeigen. Selbstverständlich entsteht hierbei kein Schaden beim Hersteller oder Cloudbetreiber. Die Prüfung erfolgt unter anderem nach der OWASP-IoT-Top-10-Liste. Des Weiteren kann bei der Prüfung unter drei verschiedenen Prüfarten unterschieden werden:

    • Black-Box-Test: Hier liefert uns der Hersteller keinerlei Informationen über das IoT-System. Der Prüfer muss wie der Hacker den Weg in das System finden.
    • Grey-Box-Test: Bei diesen Prüfungen sind Informationen/Dokumente wie z. B. Aufbauplan, SW-Architektur, Risikobewertung vorhanden. Der Prüfer kann gezielter „angreifen“ und dadurch schneller Schwachstellen identifizieren.
    • White-Box-Test: Neben den Informationen des Grey-Box-Tests wird auch der Quellcode zur Verfügung gestellt, der ebenfalls Teil der Prüfung ist. Wir sind uns bewusst, wie hoch sensibel für Sie als Hersteller der Quellcode ist und dass Sie ihn nur ungern an Dritte wie TÜV SÜD aushändigen. Diese Bedenken können wir mit unseren Lösungsansätzen jedoch entkräften.
  • Schulungen und Workshops
    In unseren Schulungen zum Thema Cybersecurity gehen wir auf grundsätzliche Probleme der Cybersicherheit, Lösungsansätze und Anforderungen aus den aktuellen Normen ein.

    Gerne bieten wir  auch kundenspezifische  Workshops an, wenn Sie Unterstützung für ein konkretes Produkt bzw. Projekt benötigen.

Wie können wir Ihnen helfen?

WORLDWIDE

Germany

German