Das sogenannte Internet der Dinge (englisch: Internet of Things, kurz: IoT) wird seit einigen Jahren immer bedeutender. Unter dem Begriff versteht man sämtliche Technologien, die die Vernetzung von Gegenständen und Maschinen ermöglichen und sie mithilfe entsprechender Kommunikationstechniken zusammenarbeiten lassen. In der Regel sind das alle Geräte mit Funkschnittstellen wie WLAN, Bluetooth oder Zigbee.
Beim IoT muss immer das komplette System bestehend aus dem Gerät oder beispielsweise einer Smartphone-Applikation (App) und dem Backend bzw. der Cloud betrachtet werden. Immer öfter werden solche Geräte in Privathaushalten als sogenannte Smart-Home-Systeme eingesetzt.
Konsumenten und Anwender wollen sich auf die Sicherheit von IoT-Produkten verlassen. Niemand möchte, dass persönliche Daten aufgrund einer unzureichenden Verschlüsselung zwischen Smartphone und IoT-Gerät gehackt werden. Informationssicherheitsprüfungen von TÜV SÜD bieten hier optimale Lösungen, indem sie Problembereiche zuverlässig aufdecken und etwaigen Sicherheitslücken mit wirksamen Optimierungsansätzen begegnen. Außerdem helfen unsere Prüfungen dabei, schwerwiegende Imageschäden durch Sicherheitsprobleme im Vorfeld zu verhindern.
Unsere Dienstleistungen
Die drei Prüflevel der CSC-Zertifizierung
Anwendungsbereich
Grundsätzlich ist das TÜV CSC-Zertifizierungsprogramm für alle Consumer-IoT-Geräte und Router anwendbar.
Typische CIoT-Produkte sind:
∙ Persönliche Fitnessgeräte (Tracker)
∙ Smart-Home-Anwendungen
∙ Wearables
∙ Smart TVs
∙ Spielzeuge
∙ Weißware wie Kühlschränke, Waschmaschinen, Herde, Geschirrspülmaschinen
Die nachfolgenden Produkte sind explizit ausgeschlossen:
∙ Produkte für Autos, Luftfahrt und öffentlichen Nahverkehr
∙ Medizinische Geräte
∙ Produkte für die militärische Anwendung
∙ Produkte für die kritische Infrastruktur
∙ Industrieprodukte (IIoT) und Produkte für die Kraftwerkssparte
Für mehr Sicherheit von vernetzten Geräten (IoT) hat das European Telecommunication Standards Institute (ETSI) mit der Norm ETSI EN 303 645 eine Grundlage für einen IoT-Sicherheitsstandard in Europa geschaffen. In den USA regelt die Norm NIST IR 8259 grundlegende Anforderungen an die Cybersecurity von IoT-Geräten.
Hier finden Sie die TÜV SÜD Prüfrichtlinie zur Norm NIST IR 8259 (Englisch)
Ein sogenannter Penetrationstest gibt Aufschluss über Schwachstellen eines IoT-Geräts oder -Systems und seine Anfälligkeit für Hackerangriffe. Dabei versucht ein sogenannter Ethical Hacker, das System zu infiltrieren und Schwachstellen aufzuzeigen. Selbstverständlich entsteht hierbei kein Schaden beim Hersteller oder Cloudbetreiber. Die Prüfung erfolgt unter anderem nach der OWASP-IoT-Top-10-Liste. Des Weiteren kann bei der Prüfung unter drei verschiedenen Prüfarten unterschieden werden: