Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Vernetzte Geräte: Höhere Sicherheitsanforderungen greifen im August 2025

Für vernetzte Geräte, die über eine Funkschnittstelle wie Bluetooth oder WLAN verfügen, gelten im Europäischen Wirtschaftsraum (EWR) bald strengere Vorgaben für IT-Sicherheit und Datenschutz. Ab 1. August 2025 muss ein CE-Kennzeichen deutlich machen, dass die betroffenen Smartphones, Wearables und sonstigen Funkanlagen auch grundlegende Anforderungen zum Schutz von Netzwerken, Privatsphäre und vor Betrug erfüllen. Ansonsten ist der Verkauf im EWR unzulässig.

Anzeige

Die Auflagen ergeben sich aus einem nachgeordneten Rechtsakt zur umstrittenen EU-Richtlinie über Funkanlagen (Radio Equipment Directive, RED). Eigentlich sollte die delegierte Verordnung von 2022, mit der die EU-Kommission Datenpannen bei drahtlos vernetzten Geräten den Kampf ansagt, schon seit 1. August 2024 gelten. Die EU-Kommission hat im Juli vorigen Jahres aber eine Zusatzverordnung beschlossen, die den 1. August 2025 als Termin vorsieht. Grund: die zuständigen Normungsinstitute CEN und Cenelec brauchten mehr Zeit.

Inzwischen ist der Standardisierungsprozess vollendet, sodass die harmonisierten Normen EN 18031-1/- 2/-3 Ende voriger Woche im EU-Amtsblatt veröffentlicht werden konnten. Damit ist klar, dass der spätere Starttermin gehalten werden kann und die Umsetzungsfrist läuft. Die Normen spezifizieren die verbindlichen Vorschriften aus und definieren Prüfkriterien, was Konformitätsnachweise vereinfachen soll. Das soll auch kleineren Unternehmen erleichtern, die Auflagen zu befolgen.

Inhaltlich behandeln die Normen unter anderem die Absicherung vertraulicher Kommunikation sowie das Vorhandensein eines Update-Mechanismus. Sie erfüllen aber lediglich mit Einschränkungen die Konformitätsvermutung. Restriktionen betreffen insbesondere das zwingende Setzen von Nutzer-Passwörtern sowie die Gewährleistung der Zugangssteuerung durch Eltern oder Erziehungsberechtigte für Spielzeuge. Außen vor bleiben ferner Geräte, die finanzielle Transaktionen ermöglichen.

An der Entwicklung der Normen war auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) beteiligt. Das BSI betont, dass Verantwortliche denk der Normen ihre Produkte anhand transparenter Anforderungen und Testkriterien selbst testen könnten. Die jeweils zuständige Behörde für die Marktüberwachung nach der "Radio Equipment Directive" (RED) – in Deutschland die Bundesnetzagentur – überprüfe dann nur noch die Einhaltung der Vorgaben. Ohne Normen wäre der Nachweis der Konformität nur durch eine notifizierte Prüfstelle möglich gewesen.

Harmonisierte Normen gelten laut Entscheidungen des Europäischen Gerichtshofs (EuGH) mehr oder weniger mit Gesetzeskraft. Dadurch sind die Erwartungen an solche Spezifikationen gestiegen. Funkanlagen müssen nach der aus der RED abgeleiteten Verordnung in bestimmten Kategorien oder Klassen so konstruiert sein, dass sie "weder schädliche Auswirkungen auf das Netz oder seinen Betrieb" haben noch "missbräuchliche Nutzung von Netzressourcen" bewirken und so Dienste unverhältnismäßig beeinträchtigen. "Funktionen zum Schutz vor Betrug" wie Multi-Faktor-Authentifizierung sollen implementierbar sein.

Mit dem Ende 2024 in Kraft getretenen Cyber Resilience Act (CRA) kommen noch einmal verschärfte Auflagen auf Gerätehersteller zu. Ab Dezember 2027 dürfen demnach Produkte "mit digitalen Elementen" wie Software in der EU nur noch auf den Markt kommen, wenn sie weitergehende Mindestanforderungen an IT-Sicherheit einhalten. Sie müssen dann in der Regel mindestens fünf Jahre lang mit Sicherheitsupdates versorgt werden. Herstellern obliegt es, über den gesamten Lebenszyklus ihrer Produkte und Anwendungen die Verantwortung für deren IT-Sicherheit zu übernehmen (Security by Design).

Ein neuer Plan der Kommission geht einen Schritt weiter. E-Commerce-Plattformen wie Temu, Shein, Amazon Marketplace oder Alibaba sollen demnach für den Online-Verkauf gefährlicher oder illegaler Produkte haften, schreibt die Financial Times. Vorgesehen sei eine Zollreform, mit der Betreiber digitaler Marktplätze verpflichtet würden, umfassende Daten bereitzustellen, bevor Waren in der EU ankommen. Die zuständigen Beamten sollen – koordiniert durch eine Europäische Zollbehörde (EUCA) – so Pakete besser kontrollieren und prüfen können.

Gestrichen werden soll Zollfreigrenze für Lieferungen unter 150 Euro. Die Kommission will damit gegen die Flut an Paketen insbesondere aus China vorgehen, die unsichere Produkte oder Fälschungen enthalten. Teils ähnliche Maßnahmen enthält ein E-Commerce-Aktionsplan der Bundesregierung.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Stefan Krempl)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

heise-Angebot: iX-Workshop IT-Sicherheit: Angriffs...
heise-Angebot: heise security Webinar: Praktische ...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Sonntag, 09. Februar 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image