Cybersicherheit im IoT: Ab August 2025 verpflichtend

Warum ist Cybersicherheit so wichtig?

„Heute hat jeder ein Handy, einen Computer, eine Uhr — alles ist mit dem Internet verbunden. Sogar eine Mikrowelle, eine Kaffeemaschine, ein Geschirrspüler oder ein Fernseher können jetzt online sein“, erklärte Pascal Baranger von Würth Elektronik. Gemeinsam mit Jan Norder sprach Baranger auf der diesjährigen Evertiq Expo in Krakau über die bevorstehenden Änderungen der EU-Cybersicherheitsvorschriften für das Internet der Dinge (IoT).

Wie die Vertreter von Würth Elektronik betonten, steigt die Zahl der vernetzten Geräte jedes Jahr, ebenso wie die Kosten für Cyberkriminalität. Bis 2025 werden die globalen Verluste durch Cyberangriffe voraussichtlich 10 Billionen Euro überschreiten.

Die Referenten erinnerten an einen berüchtigten Vorfall aus dem Jahr 2017 in Las Vegas, bei dem Hacker über einen Aquarium-Sensor, der nicht richtig abgesichert war, auf das Casino-Netzwerk zugriffen.

„Wie wir gerne sagen, ein System ist nur so sicher wie sein schwächstes Glied“, sagte Norder.

Neue EU-Vorschriften: RED und das Cyber Resilience Act

Die Präsentation konzentrierte sich auf zwei zentrale EU-Verordnungen: die Radio Equipment Directive (RED) und das Cyber Resilience Act. Beide werden die Cybersicherheitsanforderungen für internetverbundene Geräte erhöhen.

Ab dem 1. August 2025 verlangt die RED-Richtlinie, dass alle Funkgeräte, die in der EU verkauft werden, drei neue Cybersicherheitsanforderungen (Artikel 3.3 D–F) erfüllen:

• 3.3 D: Netzwerkschutz
• 3.3 E: Schutz personenbezogener Daten
• 3.3 F: Schutz vor Betrug

„Ab diesem Datum muss jedes funkvernetzte Gerät, das auf den EU-Markt eingeführt wird, diese Anforderungen erfüllen. Das ist keine Empfehlung – es ist eine gesetzliche Verpflichtung“, betonte Baranger.

Das Cyber Resilience Act, das ab Dezember 2027 in Kraft tritt, geht noch weiter und erweitert die Cybersicherheitsanforderungen auf eine breitere Palette von Produkten und Dienstleistungen. Es wird Risikobewertungen in jeder Phase des Produktlebenszyklus erfordern, eine rasche Beseitigung von Schwachstellen und regelmäßige Sicherheitsupdates.

Die Referenten stellten auch fest, dass die EU weltweit eine Vorreiterrolle bei Cybersicherheitsvorschriften einnimmt. „In den USA haben nur zwei Bundesstaaten – Kalifornien und Oregon – ähnliche Gesetze. In Afrika gibt es gar keine“, erklärte Norder.

Diese regulatorische Lücke könnte ein ernsthaftes Risiko darstellen und Hersteller aus bestimmten Ländern vom EU-Markt ausschließen, wenn ihre Produkte die erforderlichen Cybersicherheitsvorkehrungen nicht erfüllen.

Von der Theorie zur Praxis

Wie kann man feststellen, ob ein Gerät unter die neuen Vorschriften fällt? Die Würth Elektronik-Vertreter stellten einen Entscheidungsbaum vor, der in den EU-Normen EN 18031-2 und EN 18031-3 enthalten ist. Diese Normen, die im Januar 2025 veröffentlicht wurden (und jeweils rund 420 Euro kosten), können als wiederverwendbare Implementierungsleitfäden dienen.

„Es ist wie eine Checkliste“, erklärte Baranger. „Wenn Ihr Gerät mit dem Internet verbunden ist und personenbezogene oder finanzielle Daten verarbeitet oder speichert, müssen Sie ein angemessenes Schutzniveau implementieren, nachweisen und dokumentieren.“

Als Beispiel gaben die Referenten an: Ein Walkie-Talkie, das nicht mit dem Internet verbunden ist oder keine persönlichen Daten verarbeitet, würde nicht unter die neuen Regeln fallen. Ein Raspberry Pi, der in einem Smart Home verwendet wird? Absolut. „Selbst wenn es sich nur um eine Lichtschalter-App handelt, die die E-Mail-Adresse des Nutzers enthält, fällt dies unter Artikel 3.3 E“, erklärte Baranger.

Was, wenn die Zeit knapp wird?

Die Normen wurden im Januar 2025 veröffentlicht, was den Unternehmen nur wenige Monate zur Anpassung lässt. „In vielen Ländern, selbst in Deutschland, sind die Hersteller überrascht. In Bulgarien haben viele noch nie von diesen Änderungen gehört“, sagte Norder.

Die Compliance-Tests in den Laboren sind bereits aufgrund der hohen Nachfrage und begrenzter Verfügbarkeit herausfordernd. „Man kann ein Produkt noch vor dem 1. August auf den Markt bringen, wenn die neuen Regeln noch nicht gelten. Aber was passiert dann?“, fragten sich die Referenten.

Um zu helfen, stellte Würth Elektronik seine Cybersicherheitslösungen vor. Ihre Wi-Fi- und Bluetooth Low Energy-Module ermöglichen:

• Sicheren Start (Secure Boot)
• Sichere Datenspeicherung
• Sichere Verbindungen
• Over-the-Air (OTA) Updates mit verifizierter Sicherheit

Das Unternehmen stellte auch seine Hauptlösung vor, das Cordelia 1-Modul, das in Zusammenarbeit mit Crypto Quantique entwickelt wurde. Sein QuarkLink-System ermöglicht eine Zero-Touch-Provisionierung – eine vollständig automatisierte Methode zum sicheren Einfügen von Passwörtern und Konfigurationsdaten ohne menschliches Eingreifen. „Keine Zwischenhändler, kein Risiko, dass Passwörter exponiert werden“, betonte Baranger.

Für IoT-Hersteller in Europa ist der endgültige Termin nun erreicht. Der Preis, den es zu zahlen hat, wenn man hinterherhinkt? Eine mögliche Ausschließung vom EU-Markt.

„Cybersicherheit ist keine Luxusfrage mehr – es ist wie ein Sicherheitsgurt im Auto. Ab dem 1. August wird es verpflichtend sein“, fassten die Referenten zusammen.

Jan Norder und Pascal Baranger von Würth Elektronik sprachen auf der Konferenz, die während der Evertiq Expo in Krakau 2025 stattfand. Die nächste Ausgabe dieser führenden Elektronikmesse in Polen wird am 7. Mai 2026 im CKF13, Fabryczna Street, Krakau stattfinden.