Einst die Hüter der digitalen Sicherheit, sind Passwörter heute zur größten Schwachstelle moderner, tief integrierter Ökosysteme vernetzter Geräte geworden. Laut dem „Data Breach Investigations Report 2023“ von Verizon waren nahezu 75 % der Sicherheitsverletzungen auf gestohlene Zugangsdaten zurückzuführen¹ – häufig das Ergebnis von Phishing oder Social-Engineering-Taktiken. Da diese Angriffsmethoden immer ausgefeilter werden, reicht die Absicherung durch Passwörter allein nicht mehr aus.
Diese Entwicklung spiegelt sich auch in der Regulierung wider: Ab dem 1. August 2025 gelten drei neue Anforderungen der RED-Richtlinie für internetfähige Funkanlagen, Geräte zur Verarbeitung personenbezogener Daten und Funkanlagen zur Abwicklung finanzieller Transaktionen. Anstelle der Konformitätsbewertung durch eine benannte Stelle gemäß Artikel 3.3 (d), (e) und (f) wird auf die harmonisierten Normen EN 18031-1, -2 und -3 verwiesen, wie im Amtsblatt der Europäischen Kommission veröffentlicht.
Warum herkömmliche Passwörter unter RED unzureichend sein können
Traditionelle, passwortbasierte Systeme – insbesondere solche mit voreingestellten oder fest codierten Zugangsdaten – gelten als unzureichend für die Anforderungen aus Artikel 3.3 der RED zur Netzwerksicherheit, zum Schutz personenbezogener Daten und zur Verhinderung unbefugten Zugriffs.
Geräte, die Benutzern erlauben, den Passwortschutz zu umgehen oder zu deaktivieren oder die keine starke alternative Authentifizierung bieten, erfüllen möglicherweise nicht die Anforderungen der EN 18031-1, -2 oder -3. Solche Szenarien werden explizit als Einschränkungen des harmonisierten Status dieser Normen aufgeführt. Fällt ein Produkt unter eine eingeschränkte Klausel – beispielsweise wenn es das Überspringen der Passworteinrichtung erlaubt oder keine ausreichende Kindersicherung bietet – ist eine Konformitätserklärung im Rahmen der internen Fertigungskontrolle nicht mehr möglich und eine benannte Stelle muss eingebunden werden.
Um den RED-Anforderungen besser zu entsprechen, setzen viele Hersteller auf passwortlose Authentifizierung mittels Public-Key-Kryptografie, biometrischer Verfahren oder sicherer, tokenbasierter Kopplung. Diese Technologien vermeiden gemeinsam genutzte Geheimnisse und sind von Natur aus widerstandsfähiger gegen unbefugten Zugriff, was den Anforderungen aus Artikel 3.3(d), (e) und (f) besser entspricht. Rückfallmechanismen – wie Wiederherstellungscodes oder sekundäre Geräteverknüpfung – müssen jedoch denselben hohen Standards genügen. Bei mangelhafter Umsetzung können sie ein ansonsten sicheres Design untergraben und die RED-Konformität gefährden.
Was sind harmonisierte Normen und warum sind sie so wichtig?
Harmonisierte Normen werden von der Europäischen Kommission offiziell als gültige Nachweismöglichkeit zur Einhaltung von Richtlinien und Verordnungen anerkannt. Obwohl die Anwendung harmonisierter Normen freiwillig ist, können Hersteller, die die relevanten Normen vollständig anwenden, die Konformität im Rahmen der internen Fertigungskontrolle (Modul A) gemäß Artikel 17 der RED selbst erklären.
Im Gegensatz dazu müssen Hersteller, die eigene Konformitätsstrategien verfolgen – etwa mit proprietären Sicherheitsmaßnahmen oder nicht harmonisierten internationalen Normen –, eine benannte Stelle zur Bewertung ihrer technischen Unterlagen hinzuziehen. Für Artikel 3.3(d), (e) und (f) der RED können Hersteller nun die neu veröffentlichten EN 18031-1, -2 und -3 als harmonisierte Normen anwenden, um die Anforderungen zur Cybersicherheit in Bezug auf Netzwerkschutz, Datenschutz und Betrugsprävention zu erfüllen.
Zusammenfassung der Konformitätsbewertungsoptionen
Gemäß Artikel 17 der Richtlinie über Funkanlagen (RED) haben Hersteller drei Möglichkeiten zur Konformitätsbewertung:
- Interne Fertigungskontrolle (Modul A) - Der einfachste Weg, der eine Selbsterklärung der Konformität ohne Beteiligung einer benannten Stelle ermöglicht.
- EU-Baumusterprüfung + Konformität mit dem Baumuster -Erfordert die Bewertung der Unterlagen durch eine benannte Stelle und Ausstellung eines Baumusterprüfbescheids.
- Umfassende Qualitätssicherung - Ein aufwändigerer Prozess, der in der Praxis selten genutzt wird.
Während Hersteller für Artikel 3.1 (Sicherheit und EMV) sowie Artikel 3.4 (einheitliches Ladegerät) frei wählen können, gelten für Artikel 3.2 (Frequenzspektrum) und 3.3 (Cybersicherheit) strengere Vorgaben. Für vernetzte Geräte, die sich auf Passwortschutz verlassen – oder dessen Deaktivierung erlauben –, wird die Einhaltung von Artikel 3.3(d), (e) und (f) besonders kritisch.
Gemäß Artikel 17 darf die interne Fertigungskontrolle (Modul A) für diese Anforderungen nur verwendet werden, wenn eine harmonisierte Norm vollständig angewendet wird. Ist dies nicht der Fall – sei es durch individuelle Sicherheitsmaßnahmen, Rückfallmechanismen oder fehlenden Passwortschutz –, muss eine benannte Stelle die technischen Unterlagen prüfen. Die harmonisierten Normen EN 18031-1, -2 und -3 bieten jedoch einen klaren, anerkannten Weg zur Cybersicherheitskonformität, wenn es um Benutzerdaten und personenbezogene Daten geht.
Einschränkungen der harmonisierten Normen EN 18031-1, -2 und -3
Wichtig ist, dass diese Normen nur bedingt harmonisiert sind – sie verleihen die Konformitätsvermutung nur, wenn bestimmte Einschränkungen nicht auf das Produkt zutreffen. Wenn Ihr Gerät unter eine eingeschränkte Klausel fällt, gilt die Norm nicht als harmonisiert für Ihre Anwendung, und eine benannte Stelle muss vor Markteinführung hinzugezogen werden.
EN 18031-1 (Netzwerkschutz)
Diese Norm kann nicht als harmonisierte Norm verwendet werden, wenn Ihr Produkt dem Benutzer erlaubt, kein Passwort zu setzen oder zu verwenden (Klauseln 6.2.5.1 und 6.2.5.2). „Passwort-optionale“ Designs – wie smarte Displays oder verbundene Monitore, bei denen Benutzer die Authentifizierung überspringen können - qualifizieren sich nicht für die interne Fertigungskontrolle. Um den harmonisierten Status zu beanspruchen, muss Ihr Gerät entweder nicht unter diese Klauseln fallen oder standardmäßig eine Passwortverwendung erzwingen.
EN 18031-2 (Schutz personenbezogener Daten)
Zusätzlich zu den oben genannten Passwortbeschränkungen enthält diese Norm eine weitere Einschränkung: Wenn die Klauseln 6.1.3 bis 6.1.6 zutreffen, muss das Produkt eine elterliche Zugangskontrolle sicherstellen. Dies ist besonders relevant für smarte Spielzeuge und Kinderbetreuungsgeräte. Wenn Ihr Produkt keine ausreichenden Vorkehrungen für die elterliche Aufsicht enthält, kann diese Norm nicht als harmonisiert gelten, und eine benannte Stelle muss die Konformitätsstrategie prüfen.
EN 18031-3 (Betrugsprävention bei Finanztransaktionen)
Auch hier gelten Einschränkungen in Bezug auf Passwörter. Zusätzlich führt Klausel 6.3.2.4 zu Update-Mechanismen weitere Einschränkungen ein. Wenn Ihr Produkt finanzielle Transaktionen abwickelt und sich ausschließlich auf die dort beschriebenen Update-Kategorien stützt, erfüllt es nicht die Voraussetzungen für die Konformitätsvermutung. Es müssen robustere Update-Mechanismen nachgewiesen werden - in der Regel mit Unterstützung einer benannten Stelle.
Zudem ist zu beachten, dass die Leitlinien- und Begründungsklauseln dieser Normen lediglich nur als Information dienen und nicht als Grundlage für die Konformitätsvermutung verwendet werden können. Hersteller sollten daher sorgfältig die Anwendbarkeit von Sperrklauseln prüfen, um festzustellen, ob ein Eingriff von einem Notified Body nötig ist.
Der Weg zur passwortlosen RED-Konformität
Mit dem Inkrafttreten der RED-Anforderungen im August 2025 müssen Hersteller jetzt handeln, um ihre vernetzten Geräte zukunftssicher zu machen. Vermeiden Sie teure Verzögerungen, indem Sie Ihre Risikobewertungen, technischen Unterlagen und Konformitätsverfahren frühzeitig vorbereiten – und ziehen Sie eine benannte Stelle hinzu, wenn erforderlich. Denken Sie daran: Jedes Gerät, das im EU-Markt in Verkehr gebracht wird, muss die CE-Kennzeichnung tragen – unabhängig davon, ob es sich um eine neue oder bestehende Marke handelt.
Wenn Ihnen die Umsetzung dieser Anforderungen überwältigend erscheint, kann GRL Sie unterstützen. Verschaffen Sie sich einen Wettbewerbsvorteil durch die Zusammenarbeit mit unseren Experten für optimierte RED-Konformität und robuste Cybersicherheitsprüfungen - speziell entwickelt für heutige vernetzte Ökosysteme.
Quellen
1. https://www.beyondtrust.com/blog/entry/how-compromised-passwords-lead-to-data-breaches
