Küchenmaschinen mit Cloud-Verbindung, Fernwartung der Waschmaschine, Heizungssteuerung per App – smarte, vernetzte Produkte und Services erobern die Haushalte. Fragen der Cybersicherheit und des Datenschutzes sind angesichts der zunehmenden Verbreitung des IoT (Internet of Things) und der wachsenden Zahl intelligenter Geräte aktueller denn je.
Um wirklich sichere Produkte zu schaffen, müssen Hersteller alle Gerätefunktionen schon beim Design darauf abklopfen, welche Aspekte für Cyberrisiken verantwortlich sein können.
Welche Prinzipien der Cybersecurity Hersteller von IoT-Geräten beachten müssen, beschreibt die Autorin Patrizia Campi von UL.
(Bild: UL)
Weltweit wird an Vorschriften gearbeitet, die Sicherheit bei „smarten“ und vernetzten Geräten garantieren sollen. Für Hersteller von Haushaltsgeräten und ihrer Komponenten bedeuten die Priorität von Datenschutz und Cybersicherheit eine Veränderung der Herstellungsprozesse. Security und Privacy müssen bereits in der Produktentwicklung mitgedacht werden, um Komplikationen und Folgekosten zu vermeiden.
Datenschutz erfordert Privacy by Design
In der EU gibt es zwei wichtige Verordnungen für Datensicherheit und -schutz, an erster Stelle die Datenschutz-Grundverordnung DSGVO. Sie stärkt den Datenschutz und veranlasst die Hersteller, neue Produkte nach dem Prinzip „Privacy by Design“ zu gestalten. Geschäftspraktiken müssen der DSGVO entsprechen: Die personenbezogenen Daten müssen rechtmäßig (mit klarem Ziel) und transparent (mit Information und Zustimmung der Nutzer) behandelt werden.
Personenbezogene Daten sind dabei alle Arten von Informationen, mit denen eine natürliche Person identifiziert werden kann, etwa E-Mail-Adressen, Namen, Telefonnummern, IP-Adressen und weitere identifizierende Daten. Geräte im Consumer-IoT verarbeiten üblicherweise eine große Menge solcher Daten, um ihre Aufgaben zu erfüllen. Sofern die Daten nicht automatisch anonym sind, etwa durch Fehlen von identifizierenden Angaben, sind die Hersteller dafür verantwortlich, dass die Information geschützt werden.
Das Unternehmen muss auf Verlangen der Datenschutzbehörden nachweisen, dass alle erforderlichen Maßnahmen getroffen wurden. Dazu gehören unter anderem eine vollständige Aufstellung aller vom Hersteller oder seinen Geräten gesammelten und gespeicherten Daten, eine Risikobewertung und ein Nachweis der Umsetzung von Cybersecurity-Maßnahmen. Bei Produkten muss dabei „Privacy by Design“ nachgewiesen werden, beispielsweise durch den Einsatz eines Authentifizierungsverfahrens und einer Verschlüsselung. Auch die Organisation selbst muss Cybersecurity nachweisen, etwa durch eine Zertifizierung nach anerkannten Normen wie ISO/IEC 27.00x oder den Einsatz von IT-Grundschutz nach den Standards des Bundesamtes für Sicherheit in der Informationstechnik BSI.
Sicherheitszertifizierung nur mit Security by Design
Aus der DSGVO lassen sich nur wenige konkrete Maßnahmen für Cybersecurity und Informationssicherheit ableiten. Der seit Juni 2019 geltende EU Cybersecurity Act etabliert ein EU-weit geltendes Rahmenwerk für die IT-Sicherheitszertifizierung von Produkten, Dienstleistungen und Prozessen. Wichtigstes Ziel der Verordnung ist es, die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen und eine Zersplitterung des europäischen Binnenmarktes zu vermeiden. Deshalb fordert das Gesetz ein europaweit einheitliches Zertifizierungssystem, das im Moment noch freiwillig ist. Doch die EU kann jederzeit eine gesetzliche Verpflichtung erlassen.
Die Verordnung kennt drei unterschiedliche Zertifizierungsstufen, die sich an Risikoprofilen orientieren – Vertrauenswürdigkeitsstufen genannt. Beim niedrigen Risikoprofil sieht die Verordnung eine Selbstdeklaration durch den Hersteller oder Dienstleister vor. Das mittlere Risikoprofil erfordert stattdessen eine Zertifizierung durch eine unabhängige, bei der europäischen Behörde für Cybersicherheit ENISA akkreditierte Bewertungsstellen. Das hohe Risikoprofil gilt in erster Linie für Unternehmen der kritischen Infrastrukturen, beispielsweise Versorger, IKT-Unternehmen oder Unternehmen der Versicherungs- und Finanzwirtschaft. Hier ist zudem ein Wirksamkeitstest gefordert.
Obwohl die Verordnung bereits mehr als ein halbes Jahr gilt, gibt es noch keine akkreditierten Zertifizierungssysteme für diese Cybersicherheit. Der EU-Gesetzgeber hat sich selbst bis 2023 Zeit gelassen, eine offizielle Liste mit solchen Systemen zu veröffentlichen. Es ist also im Moment noch nicht klar, ob es auch spezifische Zertifizierungen für Geräte im Consumer IoT geben wird, die auch Haushaltsgeräte umfasst.
Freiwillige Zertifizierung stärkt Kundenvertrauen
Doch bereits jetzt ist absehbar, dass die meisten Gerätehersteller mit hoher Wahrscheinlichkeit nicht zu einer Zertifizierung verpflichtet sind, da viele Produkte zum niedrigen Risikoprofil gehören. Dies bedeutet eine Selbstdeklaration nach dem Prinzip des CE-Kennzeichens. Trotzdem wird eine freiwillige Zertifizierung möglich sein. Diese Option können Unternehmen als Element der Marktdifferenzierung nutzen. Sie bestätigen ihren Geräten damit ein hohes Sicherheitsniveau und stärken damit das Vertrauen der Verbraucher.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Neben dem Zertifizierungsrahmen schreibt der Rechtsakt „Security by Design“ und „Security by Default“ als Prinzipien für sicherheitsrelevante Produkte vor. Einige wichtige Grundregeln für „Security by Design“ haben sich aus der langjährigen Erfahrung von UL beim Testen von vernetzten Produkten aller Art herausgebildet. So ist es unter anderem sinnvoll, pro Gerät eindeutige Passwörter für die Inbetriebnahme zu vergeben, die individuell in der Firmware gespeichert werden und auf einem Aufkleber am Gerät oder im Handbuch dem Nutzer mitgeteilt werden.
Da Nutzer von Konsumentengeräten häufig nur wenig Erfahrung mit Vernetzungstechnologie besitzen, sollte das Gerät die Anwender zur Eingabe eines neuen Passwortes auffordern und auch eine Passwortwiederherstellung integrieren – damit werden die häufigsten Probleme bereits im Ansatz ausgeschlossen. Zudem muss jedes Gerät eine Möglichkeit zu einer Systemaktualisierung besitzen, um neu aufgetauchte Sicherheitslücken sofort zu schließen. Auf Seiten des Herstellers ist ein Schwachstellenmanagement notwendig, damit die Sicherheitsaktualisierungen die Anwender auch tatsächlich erreichen.
Sichere Produkte durch Security-Normen
Das UL-Testlabor in Frankfurt testet nach internationalen Vorschriften und Normen. Stimmen die Testergebnisse, werden anerkannte Zertifizierungen erteilt.
Datenverbindungen sollten eine Transportverschlüsselung einsetzen und die Daten selbst sollten zusätzlich verschlüsselt auf den Geräten gespeichert werden. Dies betrifft insbesondere personenbezogene Daten, aber auch Passwörter. Mit diesen Maßnahmen hört Cybersecurity aber noch nicht auf, der Hersteller muss auch die Unternehmen seiner Lieferkette auf Sicherheitsstandards verpflichten. Andernfalls werden eigene Sicherheitsvorkehrungen zu leicht durch Nachlässigkeiten bei einem Hersteller von Komponenten ausgehebelt.
Um tatsächlich sichere Produkte zu schaffen, müssen alle Gerätefunktionen im Vorfeld darauf abgeklopft werden, welche Aspekte von Cybersecurity infrage kommen. Dabei sollte aber kein Hersteller das Rad neu erfinden, das Know-How liegt bereits in den entsprechenden IoT-Sicherheitsnormen vor. Bei UL können die Hersteller oder Dienstleister zwischen verschiedenen Standards wählen – UL 2900 ist einer davon. Sie bieten die optimale Lösung bezüglich Effizienz und Anforderungen, die sich nach Verkaufsgebiet, gesetzlichen Anforderungen oder denen von anderen Gliedern der Lieferkette unterscheiden.
Über die Autorin: Patrizia Campi ist Business Development Manager mit Schwerpunkt Cybersicherheit für das Internet der Dinge bei UL.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/9b/c6/9bc642036d0a3d9f9c0b308157b7de1c/0126746732v2.jpeg "Es wird Zeit für den Endspurt in Richtung CRA. Sind Sie bereit? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")