Cybersecurity im IoT: Vorschrift ab August 2025

Warum ist Cybersecurity so wichtig?

“Heute hat jeder ein Handy, einen Computer, eine Uhr – alles mit dem Internet verbunden. Sogar eine Mikrowelle, eine Kaffeemaschine, ein Geschirrspüler oder ein Fernseher können heute online sein”, sagte Pascal Baranger von Würth Elektronik. Baranger sprach zusammen mit Jan Norder an der diesjährigen Evertiq Expo in Kraków über die bevorstehenden Änderungen in den EU-Cybersecurity-Richtlinien für das Internet der Dinge (IoT).

Wie die Repräsentanten von Würth Elektronik betonten, wächst die Zahl der Geräte mit Internetverbindung jedes Jahr – und damit auch die Kosten von Cyberkriminalität. Man geht davon aus, dass 2025 die weltweiten Verluste durch Cyberangriffe 10 Billionen Euro übersteigen werden.

Die Referenten erzählten von einem berüchtigten Vorfall 2017 in Las Vegas. Damals konnten sich Hacker Zugang zu einem Casino-Netzwerk verschaffen über einen Aquarium-Sensor, der nicht genügend gesichert war.

“Wie wir oft sagen: Ein System ist nur so sicher wie sein schwächstes Glied”, sagte Norder.

Neue EU-Verordnungen: RED und der Cyber Resilience Act

Im Mittelpunkt der Präsentation standen zwei zentrale EU-Verordnungen: die Funkanlagen-Richtlinie (RED) und der Cyber Resilience Act. Beide werden die Messlatte für Cybersecurity bei Geräten mit Internetverbindung anheben.

Ab dem 1. August 2025 müssen gemäss der RED-Richtlinie alle Funkgeräte, die in der EU verkauft werden, drei neue Cyber-Security-Anforderungen erfüllen (Artikel 3.3 D-F)

• 3.3 D: Netzwerkschutz
• 3.3 E: Schutz von persönlichen Daten
• 3.3 F: Schutz vor Betrug

“Ab diesem Datum muss jedes Gerät mit Funkverbindung, das in der EU auf den Markt kommt, diese Anforderungen erfüllen. Das ist kein Vorschlag – es ist eine gesetzliche Pflicht”, betonte Baranger.

Der Cyber Resilience Act, der im Dezember 2027 in Kraft treten soll, geht sogar noch weiter, indem er Cybersecurity-Vorschriften auf eine größere Bandbreite von Produkten und Dienstleistungen ausweitet. Er fordert Risikobewertung in jeder Phase des Lebenszyklus eines Produktes, sofortige Behebung von Schwachstellen sowie regelmäßige Sicherheits-Updates.

Die Redner erwähnten auch, dass die EU weltweit ein Vorreiter in Sachen Cyber-Security-Vorschriften ist. “In den USA haben nur zwei Staaten ähnliche Gesetze, Kalifornien und Oregon, in Afrika überhaupt keiner”, erklärte Norder.

Diese Regulierungslücke könnte eine ernsthafte Gefahr werden, weil sie möglicherweise Experten aus bestimmten Ländern aus dem EU-Markt ausschließt, sollten ihren Produkten die erforderlichen Cyber-Security-Vorkehrungen fehlen.

Von der Theorie zur Praxis

Wie kann man beurteilen, ob diese neuen Regeln auf ein Gerät zutreffen? Die Repräsentanten von Würth Elektronik präsentierten einen Entscheidungsbaum, der in den EU-Normen EN 18031-2 und EN 18031-3 enthalten ist. Diese Normen, veröffentlicht im Januar 2025 (und erhältlich für je rund 420 Euro), können immer wieder als Leitfaden für die Umsetzung angewandt werden.

“Es ist wie eine Checkliste”, erklärte Baranger. “Wenn Ihr Gerät sich mit dem Internet verbindet und persönliche oder finanzielle Daten verarbeitet oder speichert, müssen Sie ein entsprechendes Level von Schutz implementieren und dies nachweisen und dokumentieren.”

Um das zu veranschaulichen, machten die Referenten ein Beispiel: Für ein Walkie-Talkie, das sich nicht mit dem Internet verbindet und keine persönlichen Daten verarbeitet, gelten die Regeln nicht. Aber für ein Raspberry Pi in einem Smart Home? Auf jeden Fall. “Auch wenn es nur eine Lichtschalter-App ist, wenn es die E-Mail-Adresse des Users enthält, trifft Artikel 3.3 E darauf zu”, erklärte Baranger.

Was, wenn für Sie die Zeit knapp wird?

Die Normen wurden im Januar 2025 veröffentlicht, wodurch Unternehmen nur ein paar Monate bleiben, um sich anzupassen. “In vielen Ländern, sogar in Deutschland, sind Hersteller überrascht. In Bulgarien hatten viele noch nie von diesen Veränderungen gehört”, sagte Norder.

Die Prüfung der Konformität in Labors ist herausfordernd wegen der überwältigenden Nachfrage und begrenzten Verfügbarkeit. “Man kann ein Produkt immer noch vor dem 1. August herausbringen, solange die neuen Regeln noch nicht gelten. Aber was dann?” fragten die Referenten in den Raum.

Als Hilfestellung stellte Würth Elektronik seine auf Cybersecurity ausgerichteten Lösungen vor. Ihre Wi-Fi und Bluetooth-Low-Energy-Module ermöglichen folgende Dinge:

• Sicheres Booten
• Sichere Datenspeicherung
• Sichere Verbindungen
• Over-the-air- (OTA-) Updates mit geprüfter Sicherheit

Die Firma präsentierte auch ihre Flaggschiff-Lösung, das Cordelia 1 Modul, das mit Crypto Quantique entwickelt wurde. Sein QuarkLink-System ermöglicht eine Zero-Touch-Bereitstellung – eine vollautomatisierte Methode, um Passwörtern und Konfigurationsdaten sicher einzugeben – ohne menschliche Beteiligung. “Keine Mittelsmänner, kein Risiko, dass Passwörter offengelegt werden”, betonte Baranger.

Für IoT-Hersteller in Europa steht die finale Deadline vor der Tür. Der Preis, den man zahlt, wenn man nicht hinterherkommt? Potenzieller Ausschluss vom EU-Markt.

“Cybersecurity ist kein Luxus mehr – sie ist wie die Sicherheitsgurte in einem Auto. Ab 1. August ist sie Pflicht”, sagten die Redner abschließend.

Jan Norder und Pascal Baranger von Würth Elektronik sprachen an der Konferenz, die während der Evertiq Expo Kraków 2025 stattfand. Die nächste Ausgabe dieses führenden Elektronikbranche-Events in Polen wird am 7. Mai 2026 stattfinden im CKF13, Fabryczna Straße, Kraków. Buchen Sie jetzt Ihren Platz.