Unabhängige Prüfung der Sicherheit von Geräten, Software und vernetzten Systemen
Was ist eine Produkt-Cybersecurity-Zertifizierung?
Die Produkt-Cybersecurity-Zertifizierung ist ein formales, unabhängiges Bewertungsverfahren, das bestätigt, dass ein Produkt — Hardware, Software, Firmware oder vernetztes Gerät — die Sicherheitsanforderungen international anerkannter Standards und Vorschriften erfüllt. Sie belegt, dass das Produkt in Übereinstimmung mit spezifischen technischen Kontrollen konzipiert, entwickelt und getestet wurde, um Endnutzer, übertragene Daten und die angebundenen Infrastrukturen zu schützen.
Die Zertifizierung zeigt, dass die Produktsicherheit nicht allein vom Hersteller behauptet, sondern von akkreditierten Laboren und unabhängigen Stellen geprüft und bestätigt wird. Die Bewertung umfasst Aspekte wie die Widerstandsfähigkeit gegenüber bekannten Schwachstellen, Kommunikationssicherheit, Authentifizierungs- und Zugangskontrollmechanismen, Datenschutz, sichere Firmware-Aktualisierungen sowie den Umgang mit aufkommenden Bedrohungen über den gesamten Produktlebenszyklus.
Hersteller zertifizieren ihre Produkte nach anerkannten Standards wie Common Criteria (ISO/IEC 15408), FIPS 140, IEC 62443, ETSI EN 303 645 sowie den Cybersecurity-Anforderungen der EU-Funkanlagenrichtlinie (RED). Die Zertifizierung ermöglicht den Zugang zu regulierten Märkten, erfüllt Anforderungen öffentlicher und privater Beschaffung, reduziert das Risiko von Schwachstellen in vermarkteten Produkten und stärkt das Vertrauen von Käufern, Betreibern und Endnutzern.
Wichtige Produkt-Cybersecurity-Zertifizierungen: Nutzen und Zielgruppen
Die folgende Übersicht zeigt die wichtigsten Zertifizierungen und Programme, ihre geschäftlichen Vorteile sowie die jeweiligen Zielgruppen.
| Zertifizierung / Programm | Beschreibung | Geschäftlicher Nutzen | Zielgruppen |
| Common Criteria (CC) | Internationaler Standard ISO/IEC 15408 für die formale Sicherheitsbewertung von IT-Produkten und -Systemen | Globale Anerkennung, Eignung für öffentliche Beschaffung, hohe Sicherheitsgarantie, strukturierte Risikovalidierung | Lieferanten der öffentlichen Hand, Rüstungsauftragnehmer, Anbieter sicherer IT, Infrastrukturanbieter |
| FIPS 140 | NIST-verwaltete Validierungsstandards für kryptografische Module | Bundeskonformität, kryptografische Absicherung, regulatorische Ausrichtung, Beschaffungszugang | Regierungsauftragnehmer, Cloud-Anbieter, Fintech, Anbieter sicherer Software/Hardware |
| IoT Security-Zertifizierung | Sicherheitsvalidierungsprogramme für vernetzte Geräte und IoT-Ökosysteme | Gerätevertrauen, Marktdifferenzierung, reduziertes Angriffsrisiko, Verbrauchervertrauen | IoT-Hersteller, Smart-Device-Unternehmen, industrielle IoT-Anbieter |
| PCI DSS | Zahlungssicherheitsstandard des PCI Security Standards Council | Betrugsprävention, regulatorische Konformität, Zahlungsvertrauen, Markenschutz | Einzelhandel, E-Commerce, Fintech, SaaS-Zahlungsanbieter |
| (RED) – Cybersecurity-Anforderungen | EU-regulatorische Cybersecurity-Anforderungen für vernetzte Funk-/Drahtlosgeräte | EU-Marktzugang, rechtliche Konformität, sichere Konnektivität, Reduzierung regulatorischer Risiken | Hersteller von Drahtlosgeräten, IoT-Unternehmen, Telekommunikationsausrüster |
| UL 2900 | Cybersecurity-Testrahmen für Software und vernetzte Produkte | Produktsicherheitsvalidierung, Schwachstellenreduzierung, Vertrauensnachweis, Lebenszyklusorientierte Sicherheit | Medizinprodukte, Industriesysteme, Gebäudeautomation, vernetzte Produkte |
| IEC 62443 | OT/ICS-Cybersecurity-Standard | Schutz kritischer Infrastrukturen, OT-Sicherheitsgarantie, regulatorische Ausrichtung | Energie, Versorgung, Fertigung, Öl & Gas, Transport |
| ETSI EN 303 645 | Cybersecurity-Standard für Consumer-IoT | Secure-by-Design-IoT, regulatorische Bereitschaft, Verbrauchervertrauen | Smart Home, Unterhaltungselektronik, IoT-Gerätehersteller |
Häufige Fragen zur Produkt-Cybersecurity-Zertifizierung
In einem zunehmend vernetzten und regulierten Markt muss die Sicherheit eines Produkts nachweisbar sein — nicht nur behauptet. Die Cybersecurity-Zertifizierung bietet eine unabhängige Drittprüfung, dass das Produkt international anerkannte Sicherheitsstandards erfüllt, bevor es in Verkehr gebracht wird.
Die Zertifizierung ermöglicht es:
- Regulierte Märkte zu erschließen, da Behörden, Betreiber kritischer Infrastrukturen und Großunternehmen zertifizierte Produkte für ihre Beschaffung voraussetzen
- Regulatorische Konformität sicherzustellen, z. B. gegenüber der EU-RED, dem Cyber Resilience Act und branchenspezifischen Standards
- Schwachstellenrisiken zu reduzieren durch systematische technische Bewertung vor dem Markteintritt
- Vertrauen aufzubauen bei Kunden, Partnern und Aufsichtsbehörden durch ein glaubwürdiges Bekenntnis zu Security by Design
- Sich vom Wettbewerb abzuheben, indem zertifizierte Sicherheit als Differenzierungsmerkmal und Wettbewerbsvorteil positioniert wird
Mit der Produkt-Cybersecurity-Zertifizierung von Intertek werden Herstellerangaben in geprüfte Garantien umgewandelt — für sichere, konforme und international wettbewerbsfähige Produkte.
Die technische Bewertung umfasst die wesentlichen Sicherheitsbereiche des Produkts: Widerstandsfähigkeit gegenüber bekannten Schwachstellen und Angriffsvektoren, Kommunikations- und Netzwerkprotokollsicherheit, Authentifizierungs- und Zugangsverwaltungsmechanismen, Datenschutz und Verschlüsselung, Firmware-Sicherheit und Update-Prozesse sowie Protokollierung sicherheitsrelevanter Ereignisse. Die Bewertungskriterien variieren je nach Referenzstandard und Produkttyp.
Die Zertifizierung ist für alle relevant, die Produkte mit digitalen Komponenten oder Netzwerkkonnektivität entwickeln, herstellen oder vertreiben: Hersteller von Consumer- und Industrial-IoT-Geräten, Anbieter von Hardware und Software für kritische Infrastrukturen, Hersteller von Funk- und Telekommunikationsgeräten, Lieferanten von Systemen für Medizin, Energie, Fertigung und Transport sowie Entwickler kryptografischer Module und Sicherheitskomponenten. Wer ein Produkt auf den Markt bringt, das Daten verarbeitet, sich mit Netzwerken verbindet oder mit kritischen Systemen interagiert, hat ein begründetes Interesse — und häufig eine regulatorische Verpflichtung — dessen Sicherheit zertifizieren zu lassen.
Änderungen am Produkt — an Hardware, Software oder Firmware — können die Gültigkeit der erteilten Zertifizierung beeinflussen. Wesentliche Änderungen können die bestehende Zertifizierung ungültig machen, da die aktualisierte Version das geprüfte Sicherheitsprofil verändern kann.
- Geringfügige Updates/Patches: erfordern in der Regel keine vollständige Neuzertifizierung, können jedoch zusätzliche Dokumentation oder eine eingeschränkte Überprüfung durch die Zertifizierungsstelle erfordern
- Wesentliche Änderungen: neue Funktionen, architektonische Anpassungen oder Änderungen an Sicherheitsmechanismen erfordern üblicherweise eine erneute Bewertung oder vollständige Neuzertifizierung
- Regulatorische Auswirkungen: in Sektoren wie Medizin, Industrie und Consumer-IoT kann die fehlende Anpassung der Zertifizierung nach einem Update zu Sanktionen oder dem Rückzug vom Markt führen
Es wird empfohlen, die zuständige Zertifizierungsstelle vor der Veröffentlichung wesentlicher Aktualisierungen einzubeziehen, um die Kontinuität der Konformität und die Gültigkeit der Zertifizierung zu gewährleisten.