Die EN 18031 Normenfamilie

Ein assetbasierter Ansatz

Die EN 18031-1 hebt sich aufgrund ihres assetbasierten Ansatzes von den „klassischen“ Cybersecurity-Normen ETSI EN 303 645 oder EN IEC 62443-4-2 ab. In der EN 18031-1 werden Netzwerk- und Sicherheits-Assets identifiziert und analysiert, um die passenden Anforderungen auf die Assets anzuwenden.
Ein Asset ist ein schützenswertes Gut, also eine Information, die für einen potenziellen Angreifer von Wert ist – wie ein Passwort, ein symmetrischer Schlüssel, eine Netzwerkkonfigurationsdatei und mehr. Solche Assets bedürfen dementsprechend einer Zugriffskontrolle, müssen sicher kommuniziert und sicher gespeichert werden.
Welche Assets das genau betrifft,kann mithilfe der Entscheidungsbäume der Norm festgelegt werden. Ist eine Anforderung auf ein Asset anwendbar, muss sie auch angemessen umgesetzt werden. Um die angemessene Umsetzung zu erleichtern, stellt die EN 18031-1 Implementationskategorien zur Verfügung. Ist eine Zugriffskontrolle nicht anwendbar, dann muss sie auch nicht umgesetzt werden.

Jedoch zeigt die EN 18031-1 klar, dass ein assetbasierter Ansatz auch seine Grenzen hat. 
In welche Implementationskategorie der Zugriffskontrollen fällt z.B. eine einfache Passwort-Authentifikation, um auf eine bestimmte Oberfläche zuzugreifen?

Zur Verfügung stehen

  • rollenbasierte Zugriffskontrolle
  • benutzerbestimmte Zugriffskontrolle
  • verpflichtende Zugriffskontrolle

Aus technischer Perspektive sind keine der oben genannten Zugriffskontrollen korrekt. In der Realität wird in der Regel nicht der Zugriff auf ein einzelnes Asset beschränkt, sondern meist auf eine Oberfläche oder Konfigurationsdatei mit vielen verschiedenen Assets, davon müssen auch nicht alle Netzwerk- oder Sicherheits-Assets sein.

Aber ohne eine Zugriffskontrolle gibt es keine Authentifikation, so fordert es die Norm:
Die erforderlichen Zugriffskontrollmechanismen sollen Authentifizierungsmechanismen verwenden, um den Zugriff von Entitäten zu verwalten.
Die Norm sieht keine Authentifizierungsmechanismen vor, wenn keine Zugriffskontrolle zugrunde liegt. Diese sind in der EN 18031-1 sehr eng ausgelegt, weswegen es in Teilen umständlich ist, manche Funkanlagen und deren Software korrekt über die Strukturvorgabe der Norm abzubilden.

Der assetbasierte Ansatz wird auch nicht in allen Anforderungen streng umgesetzt.
Sichere Aktualisierungsmechanismen, Resilienzmechanismen, kryptographische Schlüssel und Algorithmen werden bedingt losgelöst von Assets betrachtet. Ähnlich wie die Anforderungen an allgemeine Gerätefunktionen:

  1. Stets aktuelle Software ohne bekannte, ausnutzbare Sicherheitslücken bereitstellen
  2. Die im Werkszustand zugänglichen Services und Schnittstellen auf ein Minimum beschränken
  3. Optionale Services und deren Schnittstellen konfigurierbar machen
  4. Offene Schnittstellen und Services in der Bedienungsanleitung dokumentieren
  5. Keine unnötigen physischen Schnittstellen am Gerät
  6. Eingabevalidierung

Generell sind die oben genannten Anforderungen aber nur dann verpflichtend umzusetzen, wenn Netzwerk- oder Sicherheit-Assets davon betroffen sind. Ob das der Fall ist, lässt sich nicht immer einfach eindeutig bestimmen.

Ein Problem des assetbasierten Ansatzes ist u.a. auch, dass ein Anwender der Norm sich im Detailgrad der Assets verlieren kann. Je detaillierter die einzelnen Assets und deren Verwendung in Konfiguration oder Funktionen aufgedröselt wird, desto komplexer wird die Dokumentation der Norm und diese ist auch schon mit grober Granularität schwer übersichtlich. Eine Vorgabe zur Granularität gibt es absichtlich nicht.
Die Anwendung von Normen ist zu einem gewissen Teil reine Fleißarbeit, schriftlich den Status Quo zu dokumentieren. Das scheint ungefähr genauso beliebt zu sein, wie die Dokumentation in der Softwareentwicklung. Ihre Unbeliebtheit macht sie jedoch nicht weniger wichtig, im Gegenteil erleichtern uns solche Fleißarbeiten viel Arbeit in der Zukunft und bilden eine solide Basis für neue Mitarbeiter, Auditoren und andere.

Die EN 18031-1 gibt diesem ohnehin schon frustrierenden Prozess eine zusätzliche Hürde durch die Auflistung der Assets, die nicht immer leicht zu bestimmen sind.

Ein Beispiel:
Ein Passwort, welches nur als Hash auf dem Gerät selbst gespeichert wird, kann aber im Klartext kommuniziert werden.
Das Passwort selbst benötigt keine Zugriffskontrolle, denn es wird gar nicht gespeichert, nur sein Hash wird gespeichert.
Es sollte jedoch auf jeden Fall verschlüsselt kommuniziert werden, wenn es im Klartext übertragen wird. Der Durchführungsbeschluss (EU) 2025/138 nimmt jedoch die Abschnitte „Begründung“ und „Leitlinie“ aus der Konformitätsvermutung aus, damit bleiben dem Hersteller zur Dokumentation die „Erforderlichen Informationen“.
Dort muss der Hersteller folgendes Feld ausfüllen E.Info.SCM-1.SecurityAsset. Die Beschreibung, womit dieses Feld ausgefüllt werden muss, liest sich sinngemäß wie folgt:
Beschreibung jedes gespeicherten Sicherheits-Assets, das über Netzwerkschnittstellen kommuniziert wird…
Aber das oben beschriebene Passwort wird nie gespeichert, trotzdem steht außer Frage, dass es sicher kommuniziert werden muss.
Hier scheint sich die Norm selbst in ihrem assetbasierten Ansatz verloren zu haben.
Generell verliert die Norm durch den Fokus auf Assets das Ziel der Cybersicherheit manchmal aus den Augen.
Ein bekannter Leitsatz in der Sicherheit ist, dass ein Gerät selbst das sicherste der Welt sein kann, wenn es falsch integriert oder benutzt wird, wird es angreifbar.
Im OWASP (Open Web Application Security Project) steht an Nr. 5 der 10 größten Sicherheitsrisiken “Falsche Konfiguration in der Sicherheit“. [1]
Den Hersteller in die Pflicht zu nehmen, Geräte und Software sicher zu machen, ist ohne Frage die richtige Entscheidung, denn nicht jeder Nutzer wird sich Cybersicherheit zum Hobby gemacht haben.
Aber Cybersicherheit ist nicht immer einfach, sondern oft verworren und vielfältig. Ein unsicheres IoT-Gerät in einem WPA2-verschlüsselten WLAN ist schwerer angreifbar als ein sichereres IoT-Gerät in einem offenen WLAN.
Je leichter eine Norm für die Hersteller verständlich ist, desto mehr wird diese Norm auch zu einer sichereren Umgebung beitragen können. Die EN 18031-1 ist eine solide Grundlage, doch hat sie auch Lücken, in denen es Verbesserungspotential gibt.

Es ist zu hoffen, dass das Joint Technical Committee (JTC) 13 des Normungsmandats M/606 [2] dieses Verbesserungspotential ausschöpfen wird. Die EN 18031 Normenfamilie wird unter ihrer jetzigen Kennung so nicht weitergeführt werden. Sie wird jedoch als Basis für die horizontale Norm mit dem Übergangstitel „Cybersecurity requirements for products with digital elements – Generic Security Requirements“ dienen, welche die Anforderungen aus Anhang I Part I des CRA umsetzen soll. [3]

Andere vertikale Normen des CRA werden unter anderem auf der EN IEC 62443 Familie basieren. [4]

Dementsprechend werden einige Hersteller von bestimmten Gerätegruppen, welche zuvor durch die Funkanlagenrichtlinie zur Nutzung der EN 18031-1 verpflichtet wurden, mit Geltungsbeginn des CRA auf andere Normen umsteigen müssen, die in ihrer Struktur von der EN 18031-1 abweichen. Auch wenn die EN 18031-1 damit für einige Gerätegruppen obsolet wird, sollte jeder Hersteller dies auch als Chance verstehen, eine Grundlage für eine nachhaltige Cybersecuritydokumentation zu schaffen. Die Cybersecurityanforderungen werden sich stark ähneln, sodass der Umbau einer vorhandenen Dokumentation mit weniger Aufwand verbunden sein wird als der komplett neue Aufbau einer solchen.

Das Thema Cybersecurity wird in der Zukunft immer präsenter werden und auch nicht mehr verschwinden.

Wenn Sie Fragen zur praktischen Umsetzung der EN 18031-1 haben oder wissen möchten, welche Auswirkungen die kommenden Regelungen – wie der Cyber Resilience Act – konkret für Ihr Unternehmen haben, schreiben Sie uns gerne eine E-Mail oder nutzen Sie unser Kontaktformular. Gemeinsam finden wir den passenden Weg durch die komplexen Anforderungen der Cybersicherheitsnormen.

 

Autorin

Anne Barsuhn
Junior Consultant Cybersecurity
 



BEGRIFFE UND ABKÜRZUNGEN

OWASP steht für Open Worldwide Application Security Project und ist eine gemeinnützige Organisation, die sich der Verbesserung der Softwaresicherheit verschrieben hat. Sie stellt kostenlos eine globale Community, kostenfreie Tools, Schulungen, Dokumentationen und Forschung zur Verfügung, um Organisationen bei der Entwicklung und Pflege sicherer Anwendungen zu unterstützen.

CENELEC ist das Europäische Komitee für elektrotechnische Normung. Als gemeinnützige Organisation erarbeitet es europäische Normen im Bereich der Elektrotechnik.

Weitere Informationen zu dieser News

Veröffentlicht am 09.09.2025
Kategorie: Fokus Consumer Goods & Retail, Fokus Electrical and Wireless, Insider-Compliance, Compliance

zurück zur Übersicht

Compliance News

Die wichtigsten Neuigkeiten rund um Marktzulassungen und Product Compliance.

Expertise rund um Product, Material & Environmental Compliance
Weitere News
Unsere Weihnachtsaktion "Spenden statt Versenden" 2025

Nächstenliebe statt Weihnachtskarten

mehr

EU: Harmonisierte Normen

Was macht die harmonisierte Norm zur harmonisierten Norm?

mehr

EU: Konsolidierte Listen der im OJEU gelisteten Standards: frisch von der EU veröffentlicht

Licht und Schatten

mehr

Expertengeprüfte Informationspakete für konforme Produkte weltweit

Ressourcen schonen, Haftungsrisiko senken, Sicherheit gewinnen!

jetzt informieren und bestellen

En
Login
x

Gemäß der Cookie-Richtlinie der EU (RL 2009/136/EG) möchten wir Sie darüber informieren, dass unsere Website Cookies verwendet. Wenn Sie unsere Webseite benutzen, akzeptieren Sie das und stimmen unseren Datenschutzbestimmungen zu. Welche Cookies konkret gesetzt werden und wie Sie von Ihrem Widerspruchsrecht Gebrauch machen können, erfahren Sie auf unserer Seite zum. Datenschutz.

OK