Sicherheit von Daten für den Hersteller und Verbraucher

Glebstock / stock.adobe.com

30.08.2022 Prüfung + Zertifizierung

Informationssicherheit / Cyber Security – Prüfung und Zertifizierung im VDE Institut

Informationen haben einen hohen Wert für Unternehmen, Behörden sowie Privatpersonen und müssen daher angemessen geschützt werden. Ein vertrauenswürdiger Umgang mit diesen Informationen sowie deren Schutz sind die wesentlichen Ziele der Informationssicherheit. Das VDE Institut hilft Ihnen dabei, diese Ziele zu erreichen.

Informationssicherheit, IT-Sicherheit oder Cyber Security?

Informationssicherheit ist der Schutz von sensiblen Daten vor Verlust und Manipulation

bluebay2014 / Fotolia

Personenbezogene und sensible Daten können sowohl auf Papier, Rechnern oder auch in Köpfen gespeichert sein. In erster Linie geht es bei der Informationssicherheit um den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Informationssicherheit ist also der Zustand, in dem die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind.

Der Begriff Informationssicherheit statt IT-Sicherheit ist umfassender und wird daher zunehmend verwendet. In einigen Publikationen, wie dem IT-Grundschutz, wird jedoch weiterhin der Begriff "IT-Sicherheit" verwendet. Verschiedene Texte und die Normung werden allerdings sukzessive stärker auf die Betrachtung von Informationssicherheit ausgerichtet. Cyber Security, Cybersecurity, IT Safety oder Information Security sind englische Bezeichnungen und werden ebenfalls sehr häufig verwendet. Vor allem dann, wenn Unternehmen international tätig sind.

Mit VDE Zertifizierung vor Cyberangriffen schützen

Mit dem Ausbau der Digitalisierung und dem damit einhergehenden Fortschritt der intelligenten Vernetzung im eigenen Zuhause wie auch in der Industrie wächst das Risiko von Datendiebstahl und Manipulation. Viele Fälle zeigen, wie einfach es für Hacker sein kann, in Smart-Home- und Management-Systeme einzudringen. Zu den Aufgaben des VDE Instituts zählen - neben der Implementierung einheitlicher Prüfstandards - die Prüfung und Zertifizierung der Sicherheit im Bereich des Datenschutzes, der Cyber Security und der Funktionalen Sicherheit.

Unsere Prüfungen zur Informationssicherheit (einschließlich Cyber Security) basieren auf den folgenden Bestimmungen bzw. Standards:

VDE PB-0004 und -0005
IEC 62443-4-1 und -4-2
ETSI EN 303 645

Als Grundlage für unsere VDE Prüfbestimmung dienen der BSI Sicherheitsstandard Common Criteria und der BSI IT-Grundschutz. Diese Standards wurden auf die Anforderungen von Smart-Home-Lösungen konkretisiert und um Aspekte des Datenschutzes erweitert. Damit sind die Prüfungen für den gesamten Smart-Home-Bereich anwendbar, zum Beispiel für Energie, Komfort, Multimedia, Sicherheit oder AAL.

Die Prüfung der Informationssicherheit gliedert sich in folgende Bereiche:

Prüfung der Geräte (Kommunikationsgeräte und Gateways)
Prüfung der Backend- und Cloud-Systeme
Prüfung der Apps für Smartphones und Tablets
Sicherheitssoftwaresysteme (für die sichere elektronische Identität zur Authentifizierung)

Hierbei werden die Sicherheitsziele zur Cyber Security im Produkt- und Systemkonzept und in der Implementierung getestet. Die Dokumentation für den Benutzer und die technischen Aspekte des Datenschutzes sind Bestandteil der Prüfung.

Zu den Sicherheitszielen gehören:

Schutz der Kommunikation gegenüber Abhören und Manipulation
Schutz der Systeme gegenüber unerlaubtem Eindringen,
- unautorisierter Verwendung, Manipulation
- und Verlust von Daten
Schutz der persönlichen Daten
Geschützte Sicherheits-Updates der Systeme

Wir schützen Ihre Smart-Home-Produkte vor Cyber-Angriffen durch den Einsatz modernster Technologien

Smart-Home-Produkte geschützt vor Hackerangriffen

iconimage / Fotolia

Die Informationssicherheitsprüfung

1. Bestätigung zur grundsätzlichen Umsetzung eines IT-Schutzkonzepts.
2. Bestätigung der wirksamen Umsetzung des IT-Schutzes.
3. Bestätigung zur Vollständigkeit der Dokumentation bezüglich IT-Sicherheit.

Prüfung des Datenschutzes

1. Identifikation der Datenschutzrelevanz
2. Prüfung des Datenschutzes entsprechend der
3. Europäische Richtlinie (EU-DS-GVO Datenschutzgrundverordnung)

Angebot anfordern

Cyber Security für Geräte mit Funkschnittstellen

Nach der delegierten Verordnung (EU) 2022/30 und dem Amendment (EU) 2023/2444 erweitern sich ab dem 01. August 2025 die Anforderungen an Funkanlagen, die unter die Funkanlagenrichtlinie 2014/53/EU fallen, um die Bereiche "Schutz des Netzes", "Schutz persönlicher Daten" und "Schutz vor Betrug". Bereiten Sie Ihre Produkte jetzt schon vor – das VDE Institut unterstützt Sie dabei.

Die Delegierte Verordnung, die am 12. Januar 2022 von der Europäischen Kommission veröffentlicht wurde, ergänzt die Funkanlagenrichtlinie. Sie legt fest welche Funkanlagen (Geräte mit Funkschnittstelle) die wesentlichen Anforderungen des Artikels 3, 3, (d), (e) und (f) der Funkanlagenrichtlinie erfüllen müssen.

Die grundlegende Anforderung nach Artikel 3, 3. (d) der RED „Funkanlagen haben weder schädliche Auswirkungen auf das Netz oder seinen Betrieb noch bewirken sie eine missbräuchliche Nutzung von Netzressourcen, wodurch eine unannehmbare Beeinträchtigung des Dienstes verursacht würde.“ gilt nach der Delegierten Verordnung für alle Geräte, „die selbst über das Internet kommunizieren können, unabhängig davon, ob sie direkt oder über andere Geräte kommunizieren („mit dem Internet verbundene Funkanlagen“)“ (Artikel 1.1, DR (EU) 2022/30).

Die grundlegende Anforderung nach Artikel 3, 3. (e) der RED „Funkanlangen verfügen über Sicherheitsvorrichtungen, die sicherstellen, dass personenbezogene Daten und die Privatsphäre des Nutzers und des Teilnehmers geschützt werden.“ gilt für alle Geräte die personenbezogene Daten, Verkehrsdaten und Standortdaten verarbeiten können (Artikel 1.2, DR (EU) 2022/30), aber nur dann, wenn die Funkanlage eine mit dem Internet verbundene Funkanlage, eine Anlage, die zur Kinderbetreuung genutzt wird (z. B. Babyphone), ein Spielzeug nach der Richtlinie 2009/48/EU (Spielzeugrichtlinie) oder eine am Körper oder an der Kleidung getragene Funkanlage („Wearables“) ist.

Die grundlegende Anforderung nach Artikel 3, 3. (f) der RED „Funkanlagen unterstützen bestimmte Funktionen zum Schutz vor Betrug.“ gelten für alle Geräte, die eine mit dem Internet verbundene Funkanlage sind und die es „dem Besitzer oder Nutzer ermöglichen, Geld, monetäre Werte oder virtuelle Währungen […] zu übertragen“ (Artikel 1.3, DR (EU) 2022/30).

Einen ausführlichen Katalog mit allen betroffenen Geräten gibt es nicht. Die Expert*innen des VDE Instituts unterstützen Sie aber gerne bei der Analyse, ob Ihr Produkt unter die Vorgaben der Funkanlagenrichtlinie gemäß der neuen delegierten Verordnung fällt.

Die grundlegenden Anforderungen aus dem Artikel 3.3 (d), (e) und (f) der Funkanlagenrichtlinie werden durch die delegierte Verordnung verbindlich im Verständnis des New Legislative Framework. Entsprechende harmonisierte Normen wurden für den erweiterten Produktkatalog noch nicht veröffentlicht. Ein Mandat an die Standardisierungsorganisationen soll aber in Kürze erteilt werden. Die Expert*innen im VDE Institut sind vorbereitet. In Abstimmung mit der Notifizierten Stelle RED im VDE wurden Prüfanforderungen erstellt, die die Anforderungen aus der Delegierten Verordnung schon mit abdecken. Eine wichtige Grundlage ist der Standard ETSI EN 303 645 mit der entsprechenden Prüfanforderung ETSI TS 103 701, die bereits im VDE schon für viele Geräte erfolgreich angewandt wird.

Wenn Sie als Hersteller für Ihre Funkanlagen die Konformität mit den Artikeln 3, 3. (d), (e) und (f) erklären wollen müssen Sie bis zur Veröffentlichung von Fundstellen passender harmonisierter Normen im Amtsblatt der EU eine Notifizierte Stelle verbindlich einschalten (2014/53/EU Artikel 17, (4)). Das VDE-Institut steht Ihnen hierfür mit der Möglichkeit eine EU-Baumusterprüfbescheinigung (EU-Type Examination Certificate) zu erhalten gerne zur Verfügung.

Die neue Verordnung ist seit dem 01. Februar 2022 in Kraft und gilt verbindlich ab dem 1. August 2025. Für betroffene Hersteller ist der richtige Zeitpunkt sich mit den neuen Anforderungen zu befassen schon jetzt. Denn ab dem 1. August 2025 dürfen nur noch Produkte auf den europäischen Markt gebracht werden, die die grundlegenden Anforderungen nach Artikel 3, 3. (d), (e) und (f) erfüllen. Das VDE Institut unterstützt Sie gerne bei der Erlangung der Konformität mit den neuen Anforderungen für Ihre Funkanlagen.

Funktionale Sicherheit für das vernetzte Zuhause

Gibt es durch die zusätzlichen Kommunikationsmöglichkeiten der Systeme weitere Gefährdungen?

Die Funktionale Sicherheit nach DIN EN 61508-4:2011 und die Funktionale Sicherheit in Produktnormen (z. B. Haushaltsgeräte) geben darüber Aufschluss. Zur Komplettierung der Sicherheitsbetrachtung unterstützen wir Sie auch bei dieser Herausforderung. Erfahren Sie mehr über unsere Dienstleistungen im Bereich der Funktionalen Sicherheit.

Was unterscheidet die Funktionale Sicherheit von der Informationssicherheit?

VDE-Institut prüft und zertifiziert Funktionale Sicherheit

Ryan McVay / Photodisc

Bei der Funktionalen Sicherheit (FuSi - Englisch: „functional safety") geht es darum, durch Automatisierungstechnik sicherzustellen, dass von einem Gerät oder einer Anlage keine Gefahr für Menschen oder Umwelt ausgeht. Diese Art von Sicherheit richtet sich gewissermaßen „vom Gerät nach draußen".

Bei der Informationssicherheit geht es darum, Gefahren abzuwehren, die von außen auf das System einwirken. Es geht also um Dinge wie Schadsoftware oder einen nicht autorisierten Zugriff auf ein System. In beiden Fällen kann die Funktion des Systems beeinträchtigt oder es sogar dazu gebracht werden, nichts oder etwas Falsches zu tun.

Damit ist die Verbindung zwischen beiden Themen hergestellt: Wenn das betrachtete System zum Beispiel eine sicherheitsrelevante Steuerung oder ein Feldgerät in einer Sicherheitseinrichtung ist, dann ist jede Beeinträchtigung seiner Funktion auch gleichzeitig eine der (funktionalen) Sicherheit.

Schützen Sie Ihre Smart Factory mit VDE Zertifizierung

Im Industriebereich von Büro-IT und Operations-OT prüfen wir die Schnittstellen zwischen Maschinen, den Management- und Bürosystemen sowie zum Internet. Dabei spielt es keine Rolle, ob das Netzwerk nur innerhalb einer Fabrik betrieben wird oder ob externe Kommunikationspartner, wie z. B. Zweigstellen, über das Internet mit diesem Netzwerk verbunden sind. Die Prüfung schließt auch eine Bewertung der Risikoanalyse in Bezug zur Informationssicherheit gemäß IEC 62443 mit ein. Nach erfolgreicher Prüfung erhält der Netzwerkbetreiber das VDE Zertifikat für Informationssicherheit.

Das geprüfte Netzwerk wird mit Hilfe einer vierstufigen Skala klassifiziert. Nach den vorliegenden Entwürfen zur IEC 62443 wird der Einsatz und die Bestimmtheit, mit dem ein Angriff erwartet wird, mit Hilfe dieser Skala, der sogenannten Security Levels (SL), beschrieben.

Security Level 1: Schutz gegen ungewollten, zufälligen Missbrauch.
Security Level 2: Schutz gegen gewollten Missbrauch unter Verwendung von einfachen Mitteln, mit niedrigem Aufwand, allgemeinen Fähigkeiten und niedriger Motivation.
Security Level 3: Schutz gegen gewollten Missbrauch unter Verwendung von technisch hochentwickelten Mitteln, mit moderatem Aufwand, automatisierungstechnisch spezifischen Fähigkeiten und moderater Motivation.
Security Level 4: Schutz gegen gewollten Missbrauch unter Verwendung von technisch hochentwickelten Mitteln, mit erheblichem Aufwand, automatisierungstechnisch spezifischen Fähigkeiten und hoher Motivation.