EN 18031: Der Grundstein für die Product-Security-Standardisierung [German version]

Die Normenreihe EN 18031 wurde als harmonisierte Standards für die Cybersecurity-Erweiterung der Funkanlagenrichtlinie RED im Amtsblatt der Europäischen Union veröffentlicht. Das ist der erste Fingerzeig zu den ungeduldig erwarteten harmonisierten Standards für den Cyber Resilience Act.

Aber der Reihe nach.

Kleine Auffrischung: Harmonisierte Standards (hEN) sind Europäische Normen (EN), die im Amtsblatt der EU als harmonisierte Standards für ein bestimmtes EU-Gesetz veröffentlicht werden. Diese Standards erfüllen dann die Vermutungswirkung — das bedeutet, bei Erfüllung der harmonisierten Standards darf der Anwender annehmen, dass die im Gesetz beschriebenen Anforderungen erfüllt sind. Harmonisierte Standards bringen also Klarheit und eine gewisse Rechtssicherheit.

Harmonisierte Standards sind oft sehr spezifisch. Für die Maschinenrichtlinie der EU beispielsweise gibt es über 800 harmonisierte Standards für verschiedene Arten von Maschinen. Im Bereich der Cybersecurity gab es bislang noch gar keine harmonisierten Standards — weil alle EU-Harmonisierungsvorschriften, die die Cybersecurity von Produkten betreffen, noch recht frisch sind: Die Delegierte Verordnung zur Funkanlagenrichtlinie (RED-DA) wurde 2022 beschlossen, die neue Maschinenverordnung inklusive Cybersecurity-Anforderungen 2023 und der Cyber Resilience Act 2024.

Deswegen ist die Veröffentlichung der EN 18031-Reihe als harmonisierte Standards ein Meilenstein. Denn man muss wissen: Standardisierung ist konsensorientiert. Das ist ähnlich wie in der Demokratie: Ergebnisse brauchen Zeit, vor allem, wenn Neuland beackert werden muss, zu denen alle beteiligten Interessensgruppen ihre Positionen erst finden und ausbalancieren müssen.
Die EN 18031-Reihe ist der Grundstein des großen Gebäudes “harmonisierte Standards für Produkt-Security”, das die EU gerade baut. Dieser mühsam errungene Konsens wird wegweisend für die Vielzahl an weiteren harmonisierten Standards sein, die in dem Bereich noch kommen müssen.

Und deswegen gilt: Auch wenn die EN 18031er-Standards nur für den RED-DA die Vermutungswirkung erfüllen und nicht für den Cyber Resilience Act (CRA), und auch wenn der RED-DA vor Inkrafttreten des CRA wohl zurückgezogen wird — die Inhalte des EN 18031 werden sicher wegweisend für die harmonisierten Standards des CRA sein — und auch für die Standardisierung zur Produkt-Security in der EU im Allgemeinen, denn nationale Standards in EU-Mitgliedsstaaten dürfen nicht in Konflitk mit harmonisierten Standards stehen.

Deswegen lohnt es sich, einen genaueren Blick auf die Standardreihe EN 18031 zu werfen.
Sie trägt den Namen “Common security requirements for radio equipment” und hat drei Teile:

• EN 18031–1:2024: Part 1: Internet connected radio equipment
• EN 18031–2:2024: Part 2: radio equipment processing data, namely Internet connected radio equipment, childcare radio equipment, toys radio equipment and wearable radio equipment
• EN 18031–3:2024: Part 3: Internet connected radio equipment processing virtual money or monetary value

Teil 1 enthält die allgemeinen Security-Anforderungen für “Funkanlagen mit Internetanschluss”, die beiden weiteren Teile spezifischere Anforderungen für bestimmte Produktgruppen. Die 33 Anforderungen sind in elf Gruppen (Zugangssteuerung, Authentisierung, Sicherer Speicher, Sichere Kommunikation, Resilienz, Netzwerküberwachung, Verkehrssteuerung, Vertraulichkeit kryptographischer Schlüssel, Allgemeine Gerätefähigkeiten, und Kryptographie) sortiert. Die “Allgemeinen Gerätefähigkeiten” sind dabei die größte Gruppe; sie beinhaltet Härtung, Input Validation und Schwachstellenmanagement. Schön: Für einige Anforderungen gibt es Entscheidungsbäume, die helfen die Details der Anwendbarkeit zu klären.

Ohne in die Details abzutauchen, möchte ich nicht unterschlagen, dass die EN 18031 nicht vollumfänglich die Vermutungswirklung für den RED-DA erfüllt — die Details stehen im EU-Amtsblatt: Wenn Hersteller RED-DA-konform sein wollen, dürfen sie entgegen der EN 18031 dem Nutzer nicht erlaubten, KEIN Passwort festzulegen. Für Kinderspielzeug und Finanzprodukte müssen bei der Zugangssteuerung und den Softwareupdates strengere Anforderungen umgesetzt sein als in der EN 18031.

Das Inhaltsverzeichnis der EN 18031–1 finden Sie hier. Die vollständige Norm muss man kaufen. Es gehört zu den zweifelhaften Freuden europäischer Strukturen, dass man eine EN-Norm nicht einfach so bei den Normungsorganisationen CEN/CENELEC kaufen kann, die sie erarbeitet haben.
Stattdessen gibt es — EU halt — den Verweis auf 27 nationale Normungsorganisationen (die die EN in der Landessprache veröffentlichen).
Dort finden Sie den Standard aber nicht unbedingt, wenn Sie heute suchen, denn die nationalen Normungsorganisationen haben nach Veröffentlichung im Amtsblatt noch sechs Monate Zeit für die Veröffentlichung in ihren Webshops. Für Deutschland, also bei DINmedia, finden Sie momentan Entwurfsversionen für alle Teile sowie eine vorab bereitgestellte finale Version des Teils 2; zusätzliche österreichische, schweizerische, britische und französische Versionen (teilweise schon final).
Und Achtung: Die EN 18031-x:2024 nicht mit der ISO/IEC 18031:2025 (Random bit generation) verwechseln!

Lassen Sie sich von all dieser Komplexität nicht entmutigen!

Wenn die Funkanlagenrichtlinie für Sie ein Thema ist, ist das Erscheinen der EN 18031-Reihe eine gute Nachricht, denn Sie haben nun überschaubare 33 Anforderungen zum Abarbeiten.

Und wenn Sie sich mit dem Cyber Resilience Act befassen, ist es ebenfalls eine gute Nachricht, denn Sie haben schon einmal etwas, woran Sie sich orientieren können. Je nachdem, was Sie für Produkte herstellen, wird’s viel konkreter wirds bis 2027 möglicherweise nicht (für die RED-DA hat’s ja auch drei Jahre gedauert) — aber das Schöne ist ja: Kein Standard erfindet die Security neu; in die falsche Richtung laufen Sie mit der EN 18031 sicher nicht. Es ist noch viel Standardisierungsarbeit zu tun — aber der Grundstein ist gelegt.

Cyber Resilience was? Eine 5-Minuten-Einführung in den Cyber Resilience Act der EU finden Sie hier.

Dieser Beitrag ist als Teil des monatlichen “Security-Briefing für Hard Hats” erschienen. Hier können Sie es abonnieren.