Informationssicherheit für IoT Geräte

Cybersicherheit bei IoT-Geräten

Das sogenannte Internet der Dinge (englisch: Internet of Things, kurz: IoT) wird seit einigen Jahren immer bedeutender. Unter dem Begriff versteht man sämtliche Technologien, die die Vernetzung von Gegenständen und Maschinen ermöglichen und sie mithilfe entsprechender Kommunikationstechniken zusammenarbeiten lassen. In der Regel sind das alle Geräte mit Funkschnittstellen wie WLAN, Bluetooth oder Zigbee.

Beim IoT muss immer das komplette System bestehend aus dem Gerät oder beispielsweise einer Smartphone-Applikation (App) und dem Backend bzw. der Cloud betrachtet werden. Immer öfter werden solche Geräte in Privathaushalten als sogenannte Smart-Home-Systeme eingesetzt. 

Doch Konsumenten und Anwender müssen sich auf die Cybersicherheit von IoT-Geräten verlassen können. Niemand möchte, dass persönliche Daten aufgrund einer unzureichenden Verschlüsselung zwischen Smartphone und IoT-Gerät gehackt werden. TÜV SÜD bietet im Bereich Cybersicherheit Prüfungen für IoT-Geräte an, die Problembereiche zuverlässig aufdecken und etwaige Sicherheitslücken mit wirksamen Optimierungsansätzen begegnen. Außerdem helfen unsere Cybersicherheitsprüfungen, schwerwiegende Imageschäden durch Sicherheitsprobleme im Vorfeld zu verhindern.

 

Unsere Dienstleistungen

 IoT Prüfung CSC Zertifizierung Dienstleistungen

TÜV CSC-Zertifizierung

  • Echte, herstellerunabhängige Zertifizierung  (zum CSC-Prüfzeichen)
  • Nach Vorbild des GS-Zeichens
  • Basierend auf international anerkannten Normen und Standards (unter anderem ETSI EN 303 645)
  • Es gibt drei Prüflevel: Basic, Substantial und High, deren Prüfumfang und Prüftiefe zunimmt.
  • Geprüft werden das IoT-Produkt selbst sowie der Produktentwicklungsprozess.
  • Permanente Qualitätsverbesserung durch Erfahrungsaustausch der TÜV-Organisationen

Die drei Prüflevel der CSC-Zertifizierung

 

Grafik Pyramide PrüflevelBlaues Dreieck

BASIC

Produkt: Dokumentations- und technische Prüfungen inkl. Gerätesicherheit
Unternehmen: Prüfung interner Prozesse

Blaues DreieckSUBSTANTIAL

- Penetrationstest
- Cloud-Prüfung
- Einbeziehung Lieferanten/Subunternehmer
- Alle nach ETSI EN303645 verpflichtende Anforderungen

Blaues Dreieck

HIGH

- TÜV SÜD eigener Penetrationstest (inkl. Quellcode-Prüfung)
- Vertiefte Prüfung (zusätzliche Prüfpunkte) 

Anwendungsbereich

Grundsätzlich ist das TÜV CSC-Zertifizierungsprogramm für alle Consumer-IoT-Geräte und Router anwendbar. 

Typische IoT-Produkte sind:

∙ Persönliche Fitnessgeräte (Tracker)
∙ Smart-Home-Anwendungen
∙ Wearables
∙ Smart TVs
∙ Spielzeuge
∙ Weißware wie Kühlschränke, Waschmaschinen, Herde, Geschirrspülmaschinen

Die nachfolgenden Produkte sind explizit ausgeschlossen:

∙ Produkte für Autos, Luftfahrt und öffentlichen Nahverkehr
∙ Medizinische Geräte
∙ Produkte für die militärische Anwendung
∙ Produkte für die kritische Infrastruktur
∙ Industrieprodukte (IIoT) und Produkte für die Kraftwerkssparte

Jetzt unverbindlich anfragen

 

Normenprüfungen

Für mehr Sicherheit von vernetzten Geräten (IoT) hat das European Telecommunication Standards Institute (ETSI) mit der Norm ETSI EN 303 645 eine Grundlage für einen IoT-Sicherheitsstandard in Europa geschaffen. In den USA regelt die Norm NIST IR 8259 grundlegende Anforderungen an die Cybersecurity von IoT-Geräten. 

Hier finden Sie die TÜV SÜD Prüfrichtlinie zur Norm NIST IR 8259 (Englisch)

Download Testing-Guideline für NIST 8425 (engl.)

 

Kundenspezifische Dienstleistungen

 

  • IoT Security Kurzcheck
    • Prüfzeit beträgt 10 Tage (Lead-time)
    • Bilingual (deutsch/englisch)

    Ziel Prüfumfang IoT

     

     

  • Penetrationstest

    Ein sogenannter Penetrationstest gibt Aufschluss über Schwachstellen eines IoT-Geräts oder -Systems und seine Anfälligkeit für Hackerangriffe. Dabei versucht ein sogenannter Ethical Hacker, das System zu infiltrieren und Schwachstellen aufzuzeigen. Selbstverständlich entsteht hierbei kein Schaden beim Hersteller oder Cloudbetreiber. Die Prüfung erfolgt unter anderem nach der OWASP-IoT-Top-10-Liste. Des Weiteren kann bei der Prüfung unter drei verschiedenen Prüfarten unterschieden werden:

    • Black-Box-Test: Hier liefert uns der Hersteller keinerlei Informationen über das IoT-System. Der Prüfer muss wie der Hacker den Weg in das System finden.
    • Grey-Box-Test: Bei diesen Prüfungen sind Informationen/Dokumente wie z. B. Aufbauplan, SW-Architektur, Risikobewertung vorhanden. Der Prüfer kann gezielter „angreifen“ und dadurch schneller Schwachstellen identifizieren.
    • White-Box-Test: Neben den Informationen des Grey-Box-Tests wird auch der Quellcode zur Verfügung gestellt, der ebenfalls Teil der Prüfung ist. Wir sind uns bewusst, wie hoch sensibel für Sie als Hersteller der Quellcode ist und dass Sie ihn nur ungern an Dritte wie TÜV SÜD aushändigen. Diese Bedenken können wir mit unseren Lösungsansätzen jedoch entkräften.
  • Schulungen und Workshops
    In unseren Schulungen zum Thema Cybersecurity gehen wir auf grundsätzliche Probleme der Cybersicherheit, Lösungsansätze und Anforderungen aus den aktuellen Normen ein.

    Gerne bieten wir  auch kundenspezifische  Workshops an, wenn Sie Unterstützung für ein konkretes Produkt bzw. Projekt benötigen.

 

Jetzt unverbindliches Angebot anfordern

 

Logo EU

Wissenswert

Podcast Cybersicherheit von Konsumprodukten
Podcast

Safety First - Der Podcast von TÜV SÜD

Episode #26: Cybersicherheit von Consumerprodukten

Jetzt anhören!

Wie können wir Ihnen helfen?

// Feedback
// Prüfzeichen
// Standorte
Youtube LinkedIn Instagram

WORLDWIDE

Germany

German

Global

Americas

Asia

Europe

Middle East and Africa