Checklisten

Security-Assessment-, CRA-Compliance- und Hersteller-Checklisten

Lernziel

Nach dieser Seite hast du drei interaktive Checklisten, mit denen du Sicherheitsanalysen systematisch durchführst, CRA-Compliance prüfst und Herstellern klare Handlungsempfehlungen gibst.

Warum Checklisten?

Eine Sicherheitsanalyse ohne Checkliste ist wie Kochen ohne Rezept — du kannst es, aber du vergisst leicht etwas Wichtiges. Checklisten sorgen dafür, dass du keine Schwachstellenkategorie übersiehst und deine Ergebnisse reproduzierbar dokumentierst.

Fortschritt wird gespeichert

Dein Fortschritt in den Checklisten wird automatisch im Browser gespeichert (LocalStorage). Du kannst die Seite schließen und später weitermachen, ohne Häkchen zu verlieren.

1. Security Assessment Checkliste

Diese Checkliste deckt die wichtigsten Sicherheitskategorien einer BLE-Analyse ab, basierend auf den Erkenntnissen der Untersuchung von drei Consumer-IoT-Geräten.

Authentifizierung

0/5

Verschlüsselung

0/6

Autorisierung und Datenschutz

0/6

Häufiger Fehler: Nur Link-Layer prüfen

Viele Analysten prüfen nur, ob die BLE-Verbindung verschlüsselt ist. Das reicht nicht. Wenn die App-Schicht zusätzliche Verschlüsselung verwendet, kann eine unverschlüsselte BLE-Verbindung trotzdem sicher sein. Umgekehrt hilft Link-Layer-Verschlüsselung nichts, wenn die App einen hardkodierten Schlüssel verwendet, den jeder kennt.

2. CRA-Compliance-Checkliste

Der Cyber Resilience Act (CRA) der EU ist seit 2024 in Kraft und betrifft alle Hersteller, die IoT-Produkte in der EU verkaufen. Verstöße können mit bis zu 15 Mio. € oder 2,5 % des globalen Jahresumsatzes bestraft werden.

CRA-Compliance

0/8

CRA-Zeitplan

Der CRA gilt schrittweise: Vulnerability-Disclosure-Pflichten ab Dezember 2026, vollständige Konformität bis Dezember 2027. Hersteller sollten jetzt mit der Planung beginnen.

3. Hersteller-Sicherheits-Checkliste

Diese Checkliste richtet sich an Hersteller, die ihre BLE-Geräte absichern möchten. Sie basiert auf den in der Analyse identifizierten Schwachstellen und ist nach Aufwand priorisiert.

Quick Wins (sofort umsetzbar)

Quick Wins für Hersteller

0/6

Mittelfristige Maßnahmen (1–6 Monate)

Mittelfristige Maßnahmen

0/6

Strategische Maßnahmen (6–18 Monate)

Strategische Maßnahmen

0/6

Zusammenfassung

Die Assessment-Checkliste deckt Authentifizierung, Verschlüsselung und Autorisierung ab
Der CRA verlangt VDP, SBOM, 24h-Meldungen und 5-Jahre-Updates
Hersteller sollten zuerst Quick Wins umsetzen (LESC, GATT-Permissions, AES-CCM)
Strategische Maßnahmen wie PSA Certified und Matter-Zertifizierung erhöhen Marktvertrauen

Was ist der Temporary Key (TK) beim BLE 'Just Works'-Pairing?