»Immer mehr Menschen in Deutschland nutzen die Möglichkeiten der Digitalisierung und Vernetzung des eigenen Zuhauses. Jedes neue internetfähige Gerät eröffnet aber auch Cyber-Kriminellen neue Angriffsmöglichkeiten. Daher hat das BSI gemeinsam mit Herstellern, Prüfinstituten und internationalen Regierungsorganisationen die Entwicklung des neuen Standards vorangetrieben. Es gilt, vernetze Geräte als Teil des täglich wachsenden Internets der Dinge (IoT) auf eine sichere Basis zu stellen. Mit dem neuen EU-Standard ist dies gelungen, für die Informationssicherheit und Privatsphäre der Verbraucherinnen und Verbraucher in Deutschland und Europa ist dies ein Meilenstein«, erklärt BSI-Vizepräsident Dr. Gerhard Schabhüser.
Der neue, weltweit anwendbare Mindestsicherheitsstandard EN 303 645 dient als Empfehlung für die sichere Entwicklung (Security by Design) von IoT-Geräten. Er baut auf dem vorherigen Standard TS 103 645 auf und auch der vom BSI mitentwickelte deutsche Sicherheitsstandard DIN SPEC 27072 ist in die Erstellung des neuen europäischen Standards eingeflossen.
Unzureichend geschützte IoT-Geräte sind ein Risiko für die Informationssicherheit und Privatsphäre der Nutzer und daher ein beliebtes Ziel von Cyber-Angreifern. Kompromittierte Geräte können missbraucht werden, um an persönliche Daten der Besitzer zu gelangen oder um großflächige Cyber-Angriffe auf Infrastrukturen Dritter durchzuführen. Um diesen Bedrohungen zu begegnen, beinhaltet der Standard verpflichtend umzusetzende Anforderungen. Hierzu gehören sichere Authentisierungsmechanismen, ein angemessenes Updatemanagement und die Absicherung der Kommunikation.
Auf Basis des neuen Standards erarbeitet das BSI mit weiteren Partnern bei der europäischen Standardisierungsorganisation ETSI derzeit bereits eine Prüfspezifikation zu EN 303 645. Diese definiert, wie die Anforderungen aus dem Sicherheitsstandard strukturiert und umfassend getestet werden können.