Die neue EU-Produktsicherheitsverordnung 2023/988, die ab Dezember 2024 verbindlich wird, bringt weitreichende Veränderungen für Hersteller, Händler und Importeure mit sich. Insbesondere die wachsende Digitalisierung und der Trend zu vernetzten Produkten stellen neue Anforderungen an Produktsicherheit und IT-Sicherheit. In diesem Blogbeitrag beleuchten wir, wie Penetrationstests dabei helfen können, diese Anforderungen zu erfüllen, welche Akteure betroffen sind und wie ein Dienstleister wie wir diese unterstützen kann.
Warum sind Penetrationstests für Produktsicherheit entscheidend?
Vernetzte Produkte wie Smart Home Geräte, Wearables oder Industrie-4.0-Systeme eröffnen neue Möglichkeiten – bringen aber auch Risiken durch Cyberangriffe mit sich. Die EU-Verordnung verpflichtet Hersteller, eine umfassende Risikoanalyse durchzuführen, die sowohl physische als auch digitale Gefahren umfasst (IHK: Sicherheit von IKT und IoT-Produkten), (Produktkanzlei: Produktsicherheitsrecht 2024) Penetrationstests sind ein Schlüsselwerkzeug, um digitale Schwachstellen frühzeitig zu identifizieren und zu beheben.
Konkret leisten Penetrationstests:
Erkennung von Sicherheitslücken: Durch Simulation realistischer Angriffe decken Penetrationstests Schwachstellen in Software, Firmware und Netzwerkschnittstellen auf.
Prüfung der Cybersicherheitsmerkmale: Die Verordnung fordert, dass vernetzte Produkte resistent gegen vorhersehbare Angriffe sind. Penetrationstests überprüfen diese Anforderungen praxisnah(Das ändert sich 2024: …)(Produktsicherheit: Neue…).
Nachweis der Konformität: Die Ergebnisse der Tests dienen als Dokumentation für die Erfüllung der Produktsicherheitsrichtlinien.
Beispiele aus dem Pentest-Alltag:
Hardcoded Backdoors
IoT-Sicherheitskameras: Einige Modelle wurden entdeckt, die ein fest programmiertes, unveränderbares Administrator-Passwort haben. Angreifer können diese Schwachstelle nutzen, um auf Live-Feeds zuzugreifen oder das Gerät als Einstiegspunkt in das Netzwerk zu verwenden.
Router: Einige ältere WLAN-Router enthalten standardisierte Zugangsdaten wie „admin/admin“, die weder entfernt noch deaktiviert werden können, wodurch Netzwerke anfällig für externe Angriffe sind.
Debug-Schnittstellen mit trivialem Systemzugriff
Smart-TVs: Modelle, die offene Debugging-Schnittstellen wie UART oder JTAG enthalten, ermöglichen Angreifern, die Kontrolle über die Geräte zu übernehmen, wenn physischer Zugriff oder ein ungeschützter Netzwerkzugang besteht.
Industrielle Steuerungssysteme (ICS): Viele Steuerungseinheiten haben ungesicherte Debug-Schnittstellen, die es Angreifern erlauben, den Firmware-Code direkt zu manipulieren, was in kritischen Umgebungen wie Produktionsanlagen gefährlich ist.
Unverschlüsselte Übermittlung von sensitiven Daten
Smart Locks: Einige smarte Türschlösser kommunizieren über unverschlüsselte Bluetooth- oder WLAN-Verbindungen, wodurch Passcodes oder Zugangsdaten abgefangen werden können.
Mobile Banking-Apps: Es wurden Fälle entdeckt, in denen sensible Daten wie Benutzernamen und Passwörter im Klartext über HTTP an Server übertragen wurden, was Angreifern erlaubt, diese Informationen durch einfaches Abhören (Sniffing) zu stehlen.
IoT-Geräte: Smart-Home-Assistenten senden regelmäßig Daten wie Sprachbefehle oder Benutzer-ID in unverschlüsselter Form, die von Dritten abgefangen und missbraucht werden könnten.
Diese realen Szenarien zeigen, wie wichtig es ist, Produkte durch Penetrationstests auf solche Schwachstellen zu prüfen, um die Sicherheitsanforderungen der neuen EU-Verordnung zu erfüllen und Verbraucher vor Missbrauch zu schützen.
Wer muss sich mit Produktsicherheit beschäftigen?
Die neue Verordnung betrifft eine Vielzahl von Akteuren:
Hersteller: Tragen die Hauptverantwortung für die Sicherheit ihrer Produkte, einschließlich der Durchführung von Risikoanalysen und Sicherheitsbewertungen(BTL Rechtsanwälte).
Importeure: Müssen sicherstellen, dass die Produkte den EU-Anforderungen entsprechen und korrekt dokumentiert sind(Das ändert sich 2024: …).
Händler: Sind verpflichtet, keine unsicheren Produkte zu verkaufen und bei bekannten Sicherheitsmängeln Maßnahmen zu ergreifen (IHK: Sicherheit von IKT und IoT-Produkten).
Online-Marktplätze: Haben neue Verpflichtungen, um die Sicherheit der über ihre Plattformen angebotenen Produkte zu gewährleisten (Produktkanzlei: Produktsicherheitsrecht 2024).
Herausforderungen und wie wir diese gemeinsam adressieren können
Herausforderungen für Unternehmen:
Komplexität der Sicherheitsanforderungen: Die Integration von Cybersicherheit in die Produktsicherheit erfordert spezifisches Know-how.
Nachweis der Konformität: Die Erstellung technischer Unterlagen und Risikoanalysen ist zeitaufwändig und erfordert Expertise.
Reaktionsfähigkeit bei Sicherheitsvorfällen: Unternehmen müssen Kommunikationskanäle einrichten und Verfahren zur schnellen Reaktion implementieren.
Unsere Unterstützung als Penetrationstest-Dienstleister:
Individuelle Risikoanalyse: Wir unterstützen bei der Identifikation produktspezifischer Bedrohungen und bieten maßgeschneiderte Testverfahren.
Ganzheitliche Sicherheitsprüfungen: Neben der Prüfung digitaler Sicherheit untersuchen wir auch physische und softwarebedingte Risiken.
Schulungen und Beratung: Wir bieten Workshops zur Sensibilisierung für Cybersicherheit und helfen, interne Prozesse zu optimieren.
Regelmäßige Überprüfung: Durch kontinuierliche Tests helfen wir, neue Schwachstellen zu identifizieren und Produkte auch langfristig sicher zu halten, zum Beispiel nach größeren Funktionsupdates.
Investition in Sicherheit zahlt sich aus
Die Anforderungen der neuen EU-Produktsicherheitsverordnung sind streng – aber machbar. Penetrationstests bieten eine effiziente Möglichkeit, die Produktsicherheit zu gewährleisten und den gesetzlichen Anforderungen gerecht zu werden. Wir laden Sie ein, mit uns Kontakt aufzunehmen und gemeinsam einen Sicherheitsplan für Ihre Produkte zu entwickeln. Schützen Sie nicht nur Ihre Kunden, sondern auch Ihre Marke und Ihren Marktzugang.
Sichern Sie jetzt die Zukunft Ihrer Produkte – kontaktieren Sie uns für ein unverbindliches Erstgespräch!