Definition und Zweck

Die ETSI EN 303 645 skizziert hochrangige Bestimmungen für die Sicherheitsaspekte von Verbrauchergeräten und deren zugehörigen Diensten, mit einem Schwerpunkt auf IoT-Geräten. Der Zweck besteht darin, Schutz vor häufigen Cyberbedrohungen für Verbraucher zu bieten und die Privatsphäre ihrer persönlichen Daten zu gewährleisten.

Verantwortliche Organisation

Die verantwortliche Organisation für diesen Standard ist das Europäische Institut für Telekommunikationsnormen (ETSI).

Zuletzt aktualisiert

V2.1.1 der ESTI EN 303 645 wurde im Jahr 2020 veröffentlicht.

Gilt für

Die ETSI EN 303 645 gilt hauptsächlich für IoT-Verbrauchergeräte. Dazu gehören Geräte wie vernetzte Kinderspielzeuge, intelligente Kameras, Wearables, Gesundheitstracker, vernetzte Heimautomatisierungs- und Alarmsysteme sowie andere verwandte IoT-Produkte für den Verbrauchereinsatz.

Kontrollen und Anforderungen

Einige wichtige Bestimmungen der ESTI EN 303 645-Compliance umfassen:

• Keine universellen Standardpasswörter: IoT-Geräte sollten keine universellen Standardpasswörter haben.
• Einen Mechanismus zur Verwaltung von Schwachstellenberichten implementieren: Anbieter sollten einen klaren Mechanismus für die Meldung von Sicherheitslücken haben.
• Software aktuell halten: Hersteller sollten sicherstellen, dass die Software sicher aktualisierbar ist.
• Zugangsdaten und sicherheitsrelevante Daten sicher speichern: Auf Geräten gespeicherte Daten sollten angemessen gesichert werden.
• Sicher kommunizieren: IoT-Geräte und -Dienste sollten bei Bedarf geeignete Verschlüsselung verwenden.
• Angriffsflächen minimieren: Unnötige Ports und Dienste sollten deaktiviert werden, und die Hardware sollte keinen unnötigen Zugriff gewähren.
• Integrität der Software gewährleisten: Software auf IoT-Geräten sollte mithilfe sicherer Startmechanismen verifiziert werden.
• Sicherstellen, dass persönliche Daten geschützt sind: Persönliche Daten, die von IoT-Geräten und -Diensten verarbeitet werden, sollten gemäß den geltenden Datenschutzbestimmungen behandelt werden.
• Systeme widerstandsfähig gegen Ausfälle machen: Geräte und Dienste sollten betriebsbereit bleiben und Benutzer über Funktionsverluste (z. B. Netzwerk- oder Stromausfall) informieren.
• Untersuchen Sie Systemtelemetriedaten: Stellen Sie sicher, dass alle Telemetriedaten (z. B. Nutzungs- oder Fehlerdaten) auf Sicherheitsanomalien überprüft werden.
• Erleichtern Sie es den Verbrauchern, persönliche Daten zu löschen: Benutzer sollten eine klare Methode haben, um ihre persönlichen Daten von einem Gerät/Dienst zu entfernen.
• Erleichtern Sie die Installation und Wartung von Geräten: Geräte sollten einfach zu installieren sein und klare Wartungsanweisungen haben.
• Validieren Sie Eingabedaten: Über APIs oder zwischen Netzwerken übertragene Daten sollten validiert werden.

Bitte beziehen Sie sich auf die offizielle ESTI EN 303 645 V2.1.1 Dokumentation für eine detaillierte Liste der Kontrollen und Anforderungen.

Art, Häufigkeit und Dauer der Prüfung

Typischerweise umfasst die ESTI EN 303 645 eine Bewertung durch Dritte oder eine interne Überprüfung, bei der die IoT-Geräte und ihre zugehörigen Dienste untersucht werden, um die Einhaltung des Standards sicherzustellen. Die Häufigkeit der Überprüfungen hängt von den Richtlinien des Herstellers und gegebenenfalls von regulatorischen Anforderungen ab. Regelmäßige Überprüfungen, insbesondere nach wesentlichen Produktaktualisierungen oder Änderungen, werden jedoch empfohlen.

Die Dauer einer Überprüfung hängt von der Komplexität des IoT-Geräts oder -Dienstes, der Tiefe der Überprüfung und der Anzahl der überprüften Geräte/Dienste ab.