EN 18031 – Cybersecurity in Funkanlagen

Die Cybersicherheit von Funkanlagen rückt zunehmend in den Fokus der EU-Gesetzgebung. Mit der Einführung neuer Anforderungen durch die Delegierte Verordnung 2022/30 zur Funkanlagenrichtlinie 2014/53/EU steht die Branche vor großen Herausforderungen. Die neue Normreihe EN 18031, bestehend aus EN 18031-1, EN 18031-2 und EN 18031-3, soll Herstellern dabei helfen, die Konformität ihrer Produkte mit den verschärften Anforderungen nachzuweisen.

Aufbau der EN 18031

Die Richtlinie 2014/53/EU, auch als Funkanlagenrichtlinie oder Radio Equipment Directive bekannt, regelte bisher hauptsächlich Sicherheitsaspekte und elektromagnetische Verträglichkeit. Mit der Ergänzung in Artikel 3.3 durch die Delegierte Verordnung 2022/30 wurden neue Anforderungen an die Cybersicherheit von internetfähigen Funkanlagen eingeführt.

Die neu erarbeitete Normreihe EN 18031 soll Herstellern einheitliche Prüfverfahren an die Hand geben, um die Konformität ihrer Produkte mit diesen neuen Cybersicherheitsanforderungen nachzuweisen. Ab dem 1. August 2025 müssen betroffene Geräte diese Vorgaben verbindlich erfüllen.

Die EN 18031 konkretisiert die Anforderungen der Funkanlagenrichtlinie im Hinblick auf Cybersicherheit. Sie besteht aus drei Teilen:

EN 18031-1 - Funkanlagen mit Internetanschluss
Diese Norm legt Prüfverfahren und Bedingungen fest, um die Übereinstimmung von internetfähigen Funkanlagen mit Artikel 3 Absatz 3 Buchstabe d der RED zu überprüfen. Dieser Artikel fordert, dass Funkanlagen keine schädlichen Auswirkungen auf Netzwerke oder deren Betrieb haben dürfen.
EN 18031-2 - Funkanlagen, die Daten verarbeiten
Teil 2 der Norm behandelt datenverarbeitende Funkanlagen wie internetfähige Geräte, Funkanlagen für die Kinderbetreuung, Spielzeugfunkgeräte und tragbare (wearable) Funkanlagen. Sie überprüft die Erfüllung von Artikel 3 Absatz 3 Buchstabe e der RED zum Schutz personenbezogener Daten.
EN 18031-3 - Internetfähige Funkanlagen, die virtuelles Geld oder Geldwerte verarbeiten
Der dritte Teil befasst sich mit Funkanlagen, die virtuelle Währungen oder Geldwerte verarbeiten. Hier werden Prüfverfahren für Artikel 3 Absatz 3 Buchstabe f der RED definiert, der Funktionen zum Schutz vor Betrug fordert.

Konzepte der EN 18031

Die EN 18031 stellt einen umfassenden und flexiblen Rahmen für die Sicherheit von Funkanlagen dar. Sie berücksichtigt die Komplexität und Vielfalt moderner Geräte und bietet Herstellern klare Richtlinien zur Implementierung robuster Sicherheitsmaßnahmen.

Die EN 18031 beschreibt dabei verschiedene Konzepte:

Security by Design
Die Norm betont, wie wichtig es ist, Sicherheit von Anfang an in den Entwicklungsprozess einzubeziehen, anstatt sie nachträglich hinzuzufügen. Obwohl EN 18031 selbst keine detaillierten Entwicklungsprozesse vorschreibt, verweist er auf bewährte Methoden und Standards für sicheres Produktdesign.

Strukturierte Bedrohungsanalyse
EN 18031 empfiehlt die Verwendung des STRIDE-Modells. Dieses Modell hilft Herstellern, systematisch über mögliche Bedrohungen nachzudenken, indem es sechs Hauptkategorien von Bedrohungen betrachtet: Spoofing, Tampering, Repudiation, Information disclosure, Denial of service und Elevation of privilege.

Kategorisierung von Sicherheitsmaßnahmen
Die Norm teilt Sicherheitsanforderungen in fünf Hauptkategorien ein:
– Identifizieren: Erkennen von Sicherheitsrisiken
– Schützen: Verhindern oder Begrenzen von Sicherheitsvorfällen
– Erkennen: Aufspüren von Sicherheitsvorfällen
– Reagieren: Angemessenes Handeln bei erkannten Vorfällen
– Wiederherstellen: Wiederherstellung nach einem Sicherheitsvorfall

Assets
Die Norm führt den Begriff “Assets” ein, um die Hauptziele von Sicherheitsmaßnahmen zu definieren. Diese umfassen Netzwerk-Assets, Sicherheits-Assets, Datenschutz-Assets und finanzielle Assets. Dieser Ansatz hilft Herstellern, gezielt Schutzmaßnahmen für die wichtigsten Teile ihres Produkts zu entwickeln.

Mechanismen
Die Norm verwendet “Mechanismen”, um spezifische Sicherheitsanforderungen zu adressieren. Dieser Ansatz erlaubt es, die Anforderungen flexibel auf verschiedene Gerätetypen und Einsatzszenarien anzuwenden.

Praktische Bewertungsmethoden
Die Norm bietet konkrete Werkzeuge zur Beurteilung der Konformität:
– Entscheidungsbäume helfen bei der Bestimmung, ob bestimmte Anforderungen anwendbar sind
– Vorgaben für die technische Dokumentation zeigen, welche Informationen Hersteller bereitstellen müssen
– Richtlinien für Sicherheitstests geben an, wie die Umsetzung der Anforderungen überprüft werden kann

Insgesamt zielt EN 18031 darauf ab, einen ausgewogenen und praktikablen Ansatz für die Verbesserung der Sicherheit von Funkanlagen zu bieten. Die Norm erkennt an, dass es keine Einheitslösung für alle Geräte gibt, und bietet stattdessen einen Rahmen, in dem Hersteller angemessene Sicherheitsmaßnahmen für ihre spezifischen Produkte entwickeln können.

Anforderungen der EN 18031

Die Anforderungen der EN 18031 sind sorgfältig strukturiert und decken ein breites Spektrum von Sicherheitsaspekten ab, von grundlegender Netzwerksicherheit bis zum Schutz personenbezogener Daten und Betrugsprävention. Sie basieren auf dem Prinzip “Security by Design”, um einen flexiblen und dennoch robusten Sicherheitsansatz zu ermöglichen.

Im Folgenden sind die Anforderungen pro Kategorie kurz zusammengefasst:

Zugangskontrollmechanismus - Access control mechanism (ACM)
Diese Anforderungen verlangen geeignete Zugangskontrollmechanismen, um nicht-autorisierten Zugriff auf Sicherheits- und Netzwerkressourcen zu verhindern. Dabei müssen die Mechanismen auf die jeweiligen Ressourcen und die vorgesehene Nutzungsumgebung angepasst sein.
Authentifizierungsmechanismus - Authentication mechanism (AUM)
In dieser Kategorie werden Anforderungen an die Authentifizierung von Entitäten definiert, die auf Netzwerk- und Benutzerschnittstellen zugreifen wollen. Mindestens ein Faktor muss zur Authentifizierung verwendet werden. Authentifikatoren müssen validiert und änderbar sein. Außerdem werden Vorgaben für Passwörter und Schutz vor Brute-Force-Angriffen gemacht.
Sicherer Updatemechanismus - Secure update mechanism (SUM)
Das Gerät muss über einen Mechanismus für Software-Updates verfügen, der die Integrität und Authentizität der Updates sicherstellt. Updates müssen automatisiert oder zumindest mit minimaler Nutzerinteraktion möglich sein.
Sicherer Speichermechanismus - Secure storage Mechanism (SSM)
Für persistent gespeicherte Sicherheits- und Netzwerkressourcen müssen angemessene Mechanismen zum Integritäts- und Vertraulichkeitsschutz vorhanden sein. Geräte müssen sichere Speichermechanismen einsetzen, um sicherzustellen, dass gespeicherte Sicherheits- und Datenschutzressourcen vor unbefugtem Zugriff geschützt sind. Dies umfasst Verschlüsselung und andere Formen der Datensicherung.
Sicherer Kommunikationsmechanismus - Secure communication mechanism (SCM)
Bei der Kommunikation von Sicherheits- und Netzwerkressourcen über Netzwerkschnittstellen sind Integritäts-, Authentizitäts-, Vertraulichkeits- und Replay-Schutz nach Best Practics erforderlich. Anforderungen an sichere Kommunikationsprotokolle, die die Integrität, Authentizität und Vertraulichkeit der Daten während der Übertragung gewährleisten. Dies umfasst auch Schutzmaßnahmen gegen Wiedergabeangriffe (Replay Attacks).
Protokollierungsmechanismen - Logging Mechanism (LGM)
Geräte sollten in der Lage sein, relevante interne Aktivitäten zu protokollieren, um Datenschutz und Sicherheit zu unterstützen. Protokolle müssen dauerhaft gespeichert und sollten zeitlich markiert werden, um bei Untersuchungen helfen zu können.
Löschmechanismen - Deletion mechanism (DLM)
Mechanismen für das sichere Löschen von Daten müssen es Benutzern oder autorisierten Entitäten ermöglichen, persönliche und private Daten zu löschen, was wichtig für die sichere Entsorgung oder den Ersatz von Geräten ist.
Benutzerbenachrichtigungsmechanismen - User notification mechanism (UNM)
Geräte sollen Benachrichtigungsmechanismen bereitstellen, um den Benutzer über Änderungen zu informieren, die den Schutz oder die Privatsphäre persönlicher Informationen beeinflussen können.
Resilienz-Mechanismen - Resilience mechanism (RLM)
Das Gerät muss über Mechanismen verfügen, um die Auswirkungen von Denial-of-Service-Angriffen auf die Netzwerkschnittstellen abzumildern und sich davon zu erholen.
Netzwerk-Überwachungsmechanismus - Network monitoring mechanism (NMM)
Netzwerkgeräte müssen Mechanismen zur Erkennung von Anzeichen für Denial-of-Service-Angriffe im verarbeiteten Netzwerkverkehr aufweisen.
Verkehrskontrollmechanismus - Traffic control mechanism (TCM)
Geräte, die andere Geräte mit öffentlichen Netzen verbinden, müssen Mechanismen zur Kontrolle und Filterung des Netzwerkverkehrs bereitstellen.
Vertrauliche kryptografische Schlüssel - Confidential cryptographic keys (CCK)
Diese Anforderungen behandeln die angemessene Stärke, Erzeugung und Verhinderung von statischen Standardwerten für vertrauliche kryptografische Schlüssel.
Allgemeine Geräteeigenschaften - General equipment capabilities (GEC)
Hierunter fallen Anforderungen zur Beseitigung bekannter Schwachstellen, Begrenzung exponierter Dienste, Dokumentation der Schnittstellen und Dienste, Entfernung unnötiger Schnittstellen und Eingabevalidierung.
Kryptografie - Cryptography (CRY)
Die verwendeten kryptografischen Verfahren müssen den Best Practices entsprechen.

Da die Anforderungen unterschiedliche Schutzziele betreffen, sind nicht alle Anforderungen in jeder Teilnorm enthalten.

AnforderungenEN 18031-1EN 18031-2EN 18031-3
Zugangskontrollmechanismus – Access control mechanism (ACM)xxx
Authentifizierungsmechanismus – Authentication mechanism (AUM)xxx
Sicherer Updatemechanismus – Secure update mechanism (SUM)xxx
Sicherer Speichermechanismus – Secure storage Mechanism (SSM)xxx
Sicherer Kommunikationsmechanismus – Secure communication mechanism (SCM)xxx
Protokollierungsmechanismen – Logging Mechanism (LGM) xx
Löschmechanismen – Deletion mechanism (DLM) x 
Benutzerbenachrichtigungsmechanismen – User notification mechanism (UNM) x 
Resilienz-Mechanismen – Resilience mechanism (RLM)x  
Netzwerk-Überwachungsmechanismus – Network monitoring mechanism (NMM)x  
Verkehrskontrollmechanismus – Traffic control mechanism (TCM)x  
Vertrauliche kryptografische Schlüssel – Confidential cryptographic keys (CCK)xxx
Allgemeine Geräteeigenschaften – General equipment capabilities (GEC)xxx
Kryptografie – Cryptography (CRY)xxx

Prüfung und Bewertung

Die EN 18031 führt ein System von Mechanismen ein, um die Cybersicherheit von Funkanlagen umfassend zu bewerten und zu verbessern. Diese Mechanismen bilden das Rückgrat der Norm und sind sorgfältig strukturiert, um sowohl die Anwendbarkeit als auch die Angemessenheit von Sicherheitsmaßnahmen zu adressieren.

Mechanismen

Jeder Mechanismus beginnt mit einer Prüfung der Anwendbarkeit. Hier wird festgestellt, ob eine bestimmte Sicherheitsmaßnahme für das jeweilige Gerät oder eine spezifische Komponente überhaupt relevant ist. Dies ist ein wichtiger erster Schritt, da nicht jede Sicherheitsmaßnahme für jedes Gerät sinnvoll oder notwendig ist. Die Anwendbarkeitsprüfung verhindert, dass Hersteller unnötige Ressourcen in irrelevante Sicherheitsfeatures investieren.

Wenn ein Mechanismus als anwendbar eingestuft wurde, folgt die Beurteilung seiner Angemessenheit. In diesem Schritt wird geprüft, ob die implementierte Sicherheitsmaßnahme den Anforderungen der Norm entspricht und ob sie effektiv genug ist, um die identifizierten Risiken zu adressieren. Dies ist ein kritischer Punkt, da eine schlecht umgesetzte Sicherheitsmaßnahme möglicherweise keinen ausreichenden Schutz bietet oder sogar neue Schwachstellen schaffen kann.

Ergänzend zu diesen Hauptaspekten gibt es oft unterstützende Anforderungen. Diese dienen dazu, spezifische Aspekte der Hauptanforderungen weiter zu präzisieren oder zusätzliche Sicherheitsaspekte abzudecken, die für die vollständige Umsetzung des Mechanismus wichtig sind.

Prüfung

Um die Einhaltung dieser Mechanismen zu überprüfen, definiert die EN 18031 drei Haupttypen von Assessments: die konzeptuelle Bewertung, die Bewertung der funktionalen Vollständigkeit und die Bewertung der funktionalen Angemessenheit.

Die konzeptuelle Bewertung konzentriert sich auf die Überprüfung der Dokumentation. Hier geht es darum zu verstehen, wie der Hersteller die Sicherheitsanforderungen interpretiert und plant, sie umzusetzen. Dies ist besonders wichtig, um sicherzustellen, dass der Hersteller ein umfassendes Verständnis der Sicherheitsanforderungen hat.

Bei der Bewertung der funktionalen Vollständigkeit wird überprüft, ob alle relevanten Aspekte des Geräts und seiner Sicherheitsfunktionen angemessen dokumentiert und berücksichtigt wurden. Dies kann beispielsweise die Verwendung von Netzwerk-Scannern einschließen, um sicherzustellen, dass alle externen Schnittstellen korrekt identifiziert wurden.

Die Bewertung der funktionalen Angemessenheit geht einen Schritt weiter und untersucht die tatsächliche Implementierung der Sicherheitsmaßnahmen. Hier kommen oft praktische Tests zum Einsatz, wie etwa Fuzzing-Tests, um die Robustheit von Netzwerkschnittstellen zu überprüfen.

Um diese Bewertungen zu strukturieren und zu leiten, verwendet die Norm Entscheidungsbäume. Diese helfen den Prüfern, systematisch durch den Bewertungsprozess zu navigieren und sicherzustellen, dass alle relevanten Aspekte berücksichtigt werden.

Insgesamt bietet dieser Ansatz eine gründliche und flexible Methode zur Bewertung der Cybersicherheit von Funkanlagen. Er berücksichtigt sowohl die theoretischen als auch die praktischen Aspekte der Sicherheitsimplementierung und stellt sicher, dass die Sicherheitsmaßnahmen nicht nur vorhanden, sondern auch effektiv und angemessen sind.

Aktueller Stand der EN 18031

Am 30. Januar 2025 wurde die EN 18031 offiziell als harmonisierte Norm für die Funkanlagenrichtlinie (RED) anerkannt. Die Commission Implementing Decision (EU) 2025/138 führt die EN 18031-Reihe als Mittel zur Erfüllung der Anforderungen gemäß Artikel 3(3) (d), (e) und (f) der Funkanlagenrichtlinie auf.

Allerdings gibt es wesentliche Einschränkungen für die Konformitätsvermutung:

  • Passwortverwendung: Falls ein Gerät die Möglichkeit bietet, kein Passwort zu setzen oder zu verwenden (Klauseln 6.2.5.1 und 6.2.5.2 der EN 18031), entfällt die Konformitätsvermutung.
  • Abschnitte „Rationale“ und „Guidance“: Diese Abschnitte in den Normen sind lediglich unterstützend und begründen keine Konformitätsvermutung.
  • Kinderspielzeug (EN 18031-2): Für Produkte, die als Kinderspielzeug eingestuft werden, gilt keine Konformitätsvermutung, wenn die vorgesehenen Zugangskontrollmethoden (RBAC, DAC, MAC) nicht sicherstellen, dass ausschließlich Eltern oder Erziehungsberechtigte die Zugangskontrolle ausüben.
  • Sichere Updates (EN 18031-3): Die Prüfkriterien für sichere Updates (SUM-2, Klausel 6.3.2.4) führen nicht automatisch zur Konformitätsvermutung gemäß Artikel 3(3)(f) der Funkanlagenrichtlinie.

Wenn die Konformitätsvermutung entfällt, ist eine benannte Stelle einzubeziehen.

Trotz dieser Einschränkungen stellt die Harmonisierung der EN 18031 einen bedeutenden Fortschritt dar, da sie Unternehmen eine standardisierte Grundlage zur Erfüllung der Cybersicherheitsanforderungen der RED bietet. Hersteller müssen jedoch genau prüfen, ob ihre Produkte die Anforderungen vollständig erfüllen oder ob eine zusätzliche Bewertung durch eine benannte Stelle erforderlich ist.

Unterstützung bei der Umsetzung der EN 18031

Die EN 18031 konkretisiert die Anforderungen an Cybersicherheit für Produkte mit Funktechnologien im Rahmen der Radio Equipment Directive (RED). Für viele Hersteller ist ihre Umsetzung mit hohem Aufwand verbunden – sei es in der technischen Absicherung, der internen Prozessanpassung oder der Nachweisführung gegenüber Behörden und Prüfstellen.

Secuvise unterstützt Unternehmen dabei, die Anforderungen der EN 18031 verständlich einzuordnen und systematisch umzusetzen. Ob erste Orientierung, konkrete Umsetzungsschritte oder Vorbereitung auf eine Konformitätsbewertung – wir helfen dabei, praktikable Lösungen zu finden, die den regulatorischen Vorgaben entsprechen und sich mit bestehenden Entwicklungsprozessen vereinbaren lassen.

Wenn Sie vor der Frage stehen, wie Sie die EN 18031 effizient erfüllen können, stehen wir Ihnen mit technischer und regulatorischer Expertise zur Seite.

Mehr dazu unter: secuvise.com