Die Cybersicherheit von Funkanlagen rückt zunehmend in den Fokus der EU-Gesetzgebung. Mit der Einführung neuer Anforderungen durch die Delegierte Verordnung 2022/30 zur Funkanlagenrichtlinie 2014/53/EU steht die Branche vor großen Herausforderungen. Die neue Normreihe EN 18031, bestehend aus EN 18031-1, EN 18031-2 und EN 18031-3, soll Herstellern dabei helfen, die Konformität ihrer Produkte mit den verschärften Anforderungen nachzuweisen.
Aufbau der EN 18031
Die Richtlinie 2014/53/EU, auch als Funkanlagenrichtlinie oder Radio Equipment Directive bekannt, regelte bisher hauptsächlich Sicherheitsaspekte und elektromagnetische Verträglichkeit. Mit der Ergänzung in Artikel 3.3 durch die Delegierte Verordnung 2022/30 wurden neue Anforderungen an die Cybersicherheit von internetfähigen Funkanlagen eingeführt.
Die neu erarbeitete Normreihe EN 18031 soll Herstellern einheitliche Prüfverfahren an die Hand geben, um die Konformität ihrer Produkte mit diesen neuen Cybersicherheitsanforderungen nachzuweisen. Ab dem 1. August 2025 müssen betroffene Geräte diese Vorgaben verbindlich erfüllen.
Die EN 18031 konkretisiert die Anforderungen der Funkanlagenrichtlinie im Hinblick auf Cybersicherheit. Sie besteht aus drei Teilen:
Konzepte der EN 18031
Die EN 18031 stellt einen umfassenden und flexiblen Rahmen für die Sicherheit von Funkanlagen dar. Sie berücksichtigt die Komplexität und Vielfalt moderner Geräte und bietet Herstellern klare Richtlinien zur Implementierung robuster Sicherheitsmaßnahmen.
Die EN 18031 beschreibt dabei verschiedene Konzepte:
– Identifizieren: Erkennen von Sicherheitsrisiken
– Schützen: Verhindern oder Begrenzen von Sicherheitsvorfällen
– Erkennen: Aufspüren von Sicherheitsvorfällen
– Reagieren: Angemessenes Handeln bei erkannten Vorfällen
– Wiederherstellen: Wiederherstellung nach einem Sicherheitsvorfall
– Entscheidungsbäume helfen bei der Bestimmung, ob bestimmte Anforderungen anwendbar sind
– Vorgaben für die technische Dokumentation zeigen, welche Informationen Hersteller bereitstellen müssen
– Richtlinien für Sicherheitstests geben an, wie die Umsetzung der Anforderungen überprüft werden kann
Insgesamt zielt EN 18031 darauf ab, einen ausgewogenen und praktikablen Ansatz für die Verbesserung der Sicherheit von Funkanlagen zu bieten. Die Norm erkennt an, dass es keine Einheitslösung für alle Geräte gibt, und bietet stattdessen einen Rahmen, in dem Hersteller angemessene Sicherheitsmaßnahmen für ihre spezifischen Produkte entwickeln können.
Anforderungen der EN 18031
Die Anforderungen der EN 18031 sind sorgfältig strukturiert und decken ein breites Spektrum von Sicherheitsaspekten ab, von grundlegender Netzwerksicherheit bis zum Schutz personenbezogener Daten und Betrugsprävention. Sie basieren auf dem Prinzip “Security by Design”, um einen flexiblen und dennoch robusten Sicherheitsansatz zu ermöglichen.
Im Folgenden sind die Anforderungen pro Kategorie kurz zusammengefasst:
Da die Anforderungen unterschiedliche Schutzziele betreffen, sind nicht alle Anforderungen in jeder Teilnorm enthalten.
Anforderungen | EN 18031-1 | EN 18031-2 | EN 18031-3 |
---|---|---|---|
Zugangskontrollmechanismus – Access control mechanism (ACM) | x | x | x |
Authentifizierungsmechanismus – Authentication mechanism (AUM) | x | x | x |
Sicherer Updatemechanismus – Secure update mechanism (SUM) | x | x | x |
Sicherer Speichermechanismus – Secure storage Mechanism (SSM) | x | x | x |
Sicherer Kommunikationsmechanismus – Secure communication mechanism (SCM) | x | x | x |
Protokollierungsmechanismen – Logging Mechanism (LGM) | x | x | |
Löschmechanismen – Deletion mechanism (DLM) | x | ||
Benutzerbenachrichtigungsmechanismen – User notification mechanism (UNM) | x | ||
Resilienz-Mechanismen – Resilience mechanism (RLM) | x | ||
Netzwerk-Überwachungsmechanismus – Network monitoring mechanism (NMM) | x | ||
Verkehrskontrollmechanismus – Traffic control mechanism (TCM) | x | ||
Vertrauliche kryptografische Schlüssel – Confidential cryptographic keys (CCK) | x | x | x |
Allgemeine Geräteeigenschaften – General equipment capabilities (GEC) | x | x | x |
Kryptografie – Cryptography (CRY) | x | x | x |
Prüfung und Bewertung
Die EN 18031 führt ein System von Mechanismen ein, um die Cybersicherheit von Funkanlagen umfassend zu bewerten und zu verbessern. Diese Mechanismen bilden das Rückgrat der Norm und sind sorgfältig strukturiert, um sowohl die Anwendbarkeit als auch die Angemessenheit von Sicherheitsmaßnahmen zu adressieren.
Mechanismen
Jeder Mechanismus beginnt mit einer Prüfung der Anwendbarkeit. Hier wird festgestellt, ob eine bestimmte Sicherheitsmaßnahme für das jeweilige Gerät oder eine spezifische Komponente überhaupt relevant ist. Dies ist ein wichtiger erster Schritt, da nicht jede Sicherheitsmaßnahme für jedes Gerät sinnvoll oder notwendig ist. Die Anwendbarkeitsprüfung verhindert, dass Hersteller unnötige Ressourcen in irrelevante Sicherheitsfeatures investieren.
Wenn ein Mechanismus als anwendbar eingestuft wurde, folgt die Beurteilung seiner Angemessenheit. In diesem Schritt wird geprüft, ob die implementierte Sicherheitsmaßnahme den Anforderungen der Norm entspricht und ob sie effektiv genug ist, um die identifizierten Risiken zu adressieren. Dies ist ein kritischer Punkt, da eine schlecht umgesetzte Sicherheitsmaßnahme möglicherweise keinen ausreichenden Schutz bietet oder sogar neue Schwachstellen schaffen kann.
Ergänzend zu diesen Hauptaspekten gibt es oft unterstützende Anforderungen. Diese dienen dazu, spezifische Aspekte der Hauptanforderungen weiter zu präzisieren oder zusätzliche Sicherheitsaspekte abzudecken, die für die vollständige Umsetzung des Mechanismus wichtig sind.
Prüfung
Um die Einhaltung dieser Mechanismen zu überprüfen, definiert die EN 18031 drei Haupttypen von Assessments: die konzeptuelle Bewertung, die Bewertung der funktionalen Vollständigkeit und die Bewertung der funktionalen Angemessenheit.
Die konzeptuelle Bewertung konzentriert sich auf die Überprüfung der Dokumentation. Hier geht es darum zu verstehen, wie der Hersteller die Sicherheitsanforderungen interpretiert und plant, sie umzusetzen. Dies ist besonders wichtig, um sicherzustellen, dass der Hersteller ein umfassendes Verständnis der Sicherheitsanforderungen hat.
Bei der Bewertung der funktionalen Vollständigkeit wird überprüft, ob alle relevanten Aspekte des Geräts und seiner Sicherheitsfunktionen angemessen dokumentiert und berücksichtigt wurden. Dies kann beispielsweise die Verwendung von Netzwerk-Scannern einschließen, um sicherzustellen, dass alle externen Schnittstellen korrekt identifiziert wurden.
Die Bewertung der funktionalen Angemessenheit geht einen Schritt weiter und untersucht die tatsächliche Implementierung der Sicherheitsmaßnahmen. Hier kommen oft praktische Tests zum Einsatz, wie etwa Fuzzing-Tests, um die Robustheit von Netzwerkschnittstellen zu überprüfen.
Um diese Bewertungen zu strukturieren und zu leiten, verwendet die Norm Entscheidungsbäume. Diese helfen den Prüfern, systematisch durch den Bewertungsprozess zu navigieren und sicherzustellen, dass alle relevanten Aspekte berücksichtigt werden.
Insgesamt bietet dieser Ansatz eine gründliche und flexible Methode zur Bewertung der Cybersicherheit von Funkanlagen. Er berücksichtigt sowohl die theoretischen als auch die praktischen Aspekte der Sicherheitsimplementierung und stellt sicher, dass die Sicherheitsmaßnahmen nicht nur vorhanden, sondern auch effektiv und angemessen sind.
Aktueller Stand der EN 18031
Diese Europäische Norm wurde im Rahmen eines Normungsauftrags der Kommission C(2022) 5637 und seiner Änderung C(2023) 5624 final erarbeitet, um ein freiwilliges Mittel zur Erfüllung der grundlegenden Anforderungen der Funkanlagenrichtlinie im Hinblick auf die Anwendung der in Artikel 3.3 genannten grundlegenden Anforderungen bereitzustellen. Im Falle von Unterschieden zwischen Begriffen, die in dieser Europäischen Norm definiert sind, und Begriffen, die in der genannten Verordnung definiert sind, sind die in der Verordnung definierten Begriffe maßgebend.
Sobald diese Norm im Amtsblatt der Europäischen Union gemäß der Delegierten Verordnung zitiert ist, begründet die Einhaltung der Norm im Rahmen des Anwendungsbereichs die Vermutung der Konformität mit den entsprechenden grundlegenden Anforderungen der Funkanlagenrichtlinie und der zugehörigen EFTA-Verordnungen.
Am 26.6.2024 haben die HAS Consultants (EY) den finalen Entwurf der EN 18031 (FprEN 18031) zurückgewiesen, sodass die Arbeitsgruppe zur Erstellung der Entwürfe eine neue Revision erstellen muss. Der eh schon knappe Zeitplan bis zum 1.8.2025 wird für Hersteller damit umso kürzer, sodass zu erwarten ist, dass es nicht rechtzeitig harmonisierte Normen für eine Selbsterklärung geben wird.
Bei einer REDCA-Sitzung Anfang November 2024 kündigte ein Vertreter der Europäischen Kommission an, dass die Normenreihe EN 18031 für die Cybersicherheit von Funkanlagen in den kommenden Wochen als harmonisierte Norm angenommen wird, allerdings mit bestimmten Einschränkungen. Die Kommission arbeitet derzeit daran, diese Einschränkungen zu definieren, um sicherzustellen, dass EN 18031 eine Konformitätsvermutung für die meisten gängigen Funkanlagen bieten kann, ohne die grundlegenden Anforderungen der Funkanlagenrichtlinie (RED) zu gefährden.
Unterstützung bei der Umsetzung der EN 18031
Die Implementierung der EN 18031 stellt für viele Unternehmen eine komplexe Herausforderung dar. Unser erfahrenes Team von Cybersecurity-Experten bietet umfassende Unterstützung bei der Umsetzung dieser wichtigen Norm:
- Analyse Ihrer aktuellen Produkte und Prozesse
- Erstellung maßgeschneiderter Implementierungsstrategien
- Schulungen für Ihre Mitarbeiter zu den Anforderungen der EN 18031
- Begleitung während des gesamten Konformitätsprozesses
- Unterstützung bei der Dokumentation und Nachweisführung
- Vorbereitung und Begleitung von möglichen Audits, Zulassungen und Zertifizierungen
Wir verstehen die spezifischen Herausforderungen verschiedener Branchen und passen unsere Beratung individuell an Ihre Bedürfnisse an. Unser Ziel ist es, Ihnen nicht nur bei der Einhaltung regulatorischer Vorgaben zu helfen, sondern auch Ihre Cybersecurity-Resilienz insgesamt zu stärken.
Kontaktieren Sie uns für ein unverbindliches Erstgespräch, in dem wir gemeinsam ermitteln, wie wir Sie bei der effizienten und effektiven Umsetzung der EN 18031 unterstützen können.