Definition und Zweck

Der Zweck von ETSI TS 103 645 besteht darin, eine Sicherheitsgrundlage zu schaffen, die die Privatsphäre und Sicherheit der Verbraucher schützt, indem sichergestellt wird, dass IoT-Geräte von Anfang an mit bestimmten wichtigen Sicherheitsvorkehrungen ausgelegt sind. Der Standard definiert Vorkehrungen zum Schutz von IoT-Geräten vor häufigen Bedrohungen und Schwachstellen und fördert dadurch das Vertrauen der Verbraucher in die IoT-Technologie.

Gremien

ETSI TS 103 645 wurde vom Europäischen Institut für Telekommunikationsnormen (ETSI), einer anerkannten europäischen Standardisierungsorganisation, entwickelt und wird dort gepflegt.

Zuletzt aktualisiert

ETSI TS 103 645 wurde im Februar 2019 veröffentlicht. ESTI TS 103 645 V2.1.2 wurde im Juni 2020 veröffentlicht.

Gilt für

ETSI TS 103 645 gilt für IoT-Verbrauchergeräte, die in privaten Umgebungen weit verbreitet sind. Dies kann von intelligenten Haushaltsgeräten und Sicherheitssystemen bis hin zu Wearables und vernetzten Spielzeugen reichen.

Kontrollen und Anforderungen

Der Standard umfasst eine Reihe von hochrangigen, ergebnisorientierten Bestimmungen, wie z. B.:

• Keine Standardpasswörter: Alle IoT-Gerätepasswörter müssen einzigartig sein und dürfen nicht auf einen universellen Werksstandardwert zurückgesetzt werden können.
• Ein Mittel zur Verwaltung von Schwachstellenberichten implementieren: Ein öffentlicher Ansprechpartner als Teil einer Offenlegungspolitik für Schwachstellen.
• Software aktuell halten: Zeitgerechte und sichere Software-Updates.
• Sensible Sicherheitsparameter sicher speichern: Sichere Speicherung von Anmeldeinformationen und sicherheitsrelevanten Daten.
• Sicher kommunizieren: Verschlüsselung sensibler Daten über Netzwerke.
• Minimierung der exponierten Angriffsflächen: Alle Gerätefunktionen und Fernzugriffsmöglichkeiten müssen überprüft und minimiert werden.
• Sicherstellung der Softwareintegrität: Software auf IoT-Geräten sollte durch sichere Startmechanismen überprüft werden.
• Schutz personenbezogener Daten: Alle gesammelten oder verarbeiteten personenbezogenen Daten müssen geschützt werden.
• Gewährleistung der Systemresilienz bei Ausfällen: Geräte sollten widerstandsfähig sein und sich von Ausfällen erholen.
• Untersuchung von Systemtelemetriedaten: Wenn Diagnosedaten gesammelt werden, sollten diese auf Sicherheitsanomalien überprüft werden.

Bitte beachten Sie die offizielle ESTI TS 103 645 V2.1.2 Dokumentation für Details zu Kontrollen und Anforderungen.

Audit-Art, Häufigkeit und Dauer

Die Einhaltung von ETSI TS 103 645 kann Selbstbewertungs- oder Drittzertifizierungsprozesse umfassen, bei denen IoT-Geräte anhand der Anforderungen des Standards bewertet werden. Angesichts der sich schnell entwickelnden Natur des IoT und der damit verbundenen Sicherheitsbedrohungen ist es ratsam, regelmäßige Überprüfungen durchzuführen. Der Standard gibt jedoch keine Häufigkeit vor.

Die Dauer von Konformitätsprüfungen oder Zertifizierungsprozessen hängt von der Komplexität des Geräts, der Anzahl der zu bewertenden Geräte und der Tiefe der angewandten Sicherheitsanforderungen ab.