Embedded Security – die digitale Sicherheit steckt im Detail

Computersysteme, die in IoT Geräten, Fahrzeugen oder Maschinen verbaut sind, und dort oft essenzielle Aufgaben hinsichtlich Funktionalität und Sicherheit übernehmen, sollten ganz besonders sicher sein – aber sind sie es auch? Die sogenannten eingebetteten Systeme („Embedded Systems“) und die damit verbundenen Herausforderungen für die Sicherheit sind nicht neu. Im Zuge neuer (EU-) Regularien rückt Embedded Security jedoch wieder stärker in den Fokus der Sicherheitsexpertinnen und -experten. Prof. Dr. Dominik Merli von der Technischen Hochschule Augsburg (THA) hat mit der Themenplattform Cybersecurity über die aktuellen Herausforderungen im Bereich Embedded Security gesprochen.

Was versteht man unter Embedded Systems und warum ist gerade deren Absicherung so wichtig?

Embedded Systems sind spezielle Computersysteme. Sie sind unter anderem in Maschinen, Fahrzeugen und IT-Systemen integriert und führen spezifische Funktionen aus. Sie sind oft sehr spezialisiert und für eine bestimmte Aufgabe ausgelegt. Dazu gehören zum Beispiel Steuerungssysteme in der Automobil- oder Fertigungsindustrie, medizinische Geräte oder auch klassische Netzwerkkomponenten.

Das zeigt auch, warum die Sicherheit eines eingebetteten Systems so wichtig ist. Denn sie werden oft in kritischen Umgebungen eingesetzt. Ist ein Embedded System fehlerhaft oder angreifbar, kann das schwerwiegende Auswirkungen haben. Das entsprechende Produkt funktioniert nicht mehr korrekt und kann im schlimmsten Fall Menschenleben gefährden.

Embedded Security wird oft im Zusammenhang mit Security-by-Design diskutiert. Im Idealfall werden Sicherheitsanforderungen also schon während der Entwicklung des Produktes berücksichtigt. Aber kann man Sicherheit auch „nachrüsten“?

Ja und nein. Hersteller die Sicherheitsupdates verteilen rüsten quasi regelmäßig nach. Wenn bei der Entwicklung jedoch keine Möglichkeit für sichere Updates vorgesehen wurde, ist auch die Nachrüstung dementsprechend schwierig. Im Fall von eingebetteten Systemen spielt auch eine Rolle, dass diese Produkte meist einem gewissen Kostendruck unterliegen und so ausgelegt werden, dass sie nur ihren speziellen Zweck erfüllen. Wurde zum Beispiel die Möglichkeit eines sicheren Boot-Vorgangs beim ursprünglichen Design nicht berücksichtigt und ein entsprechend günstigerer Microcontroller eingesetzt, kann dieses Sicherheits-Feature später auch nicht nachgereicht werden.

Bei der Entwicklung werden grundlegende Weichen für die IT-Sicherheit eines Produkts gestellt. Daher ist Security-by-Design ein äußerst wichtiges Prinzip. Jedoch muss auch klar sein, dass ein Produkt jederzeit von neuen Sicherheitslücken betroffen sein kann, die dann zeitnah ausgebessert werden müssen.

Was sind aktuell die größten Herausforderungen beim Thema Embedded Security?

Viele Komponenten-Hersteller sehen sich aktuell mit neuen Sicherheitsstandards und -regulierungen konfrontiert, wie zum Beispiel der IEC 62443 in der Automatisierungstechnik, den Cyber Security und Cyber Resilience Acts auf EU-Ebene, oder der UN R155 im Bereich der Fahrzeugindustrie. Immer mehr Unternehmen verstehen, dass dies große Aufwände erfordert und nicht mit einem kurzen Penetration Test zu lösen ist.

Die Herausforderung ist zweigeteilt. Zum einen müssen Entwicklungsprozesse sicher gestaltet werden, beispielsweise anhand Teil 4-1 der IEC 62443. Dies reicht von Bedrohungs- und Risikoanalysen über sichere Entwicklungsumgebungen bis hin zu kontinuierlichem Schwachstellenmanagement. Zum anderen müssen Produkte technisch auf ein höheres Sicherheitsniveau gebracht werden, zum Beispiel bezüglich einer sicheren Identität, sicherer Kommunikation, und eingebauter Monitoring-Maßnahmen.

Bei der Entwicklung werden grundlegende Weichen für die IT-Sicherheit eines Produkts gestellt. Daher ist Security-by-Design ein äußerst wichtiges Prinzip.

Prof. Dr. Dominik Merli Professor für IT-Sicherheit an der Technischen Hochschule Augsburg (THA)

Wen sehen Sie in der Verantwortung für sicherere Systeme und letztendlich sicherere Produkte? In erster Linie die Hersteller in Eigenverantwortung oder doch eher gesetzgebende Organe, die Regularien vorschreiben?

Das ist eine schwierige Frage. Ich denke, dass Gesetzgeber ein Grundmaß an Sicherheitseigenschaften vorschreiben ist absolut sinnvoll. Wird Cyber Security durch Gesetzgebung getrieben, vergessen Hersteller jedoch teilweise, dass Sicherheit nicht nur zur Erfüllung von Gesetzen notwendig ist, sondern auch die eigenen Risiken und die der Kunden mindert. Gerade bei den Kunden stelle ich vermehrt fest, dass sie mehr Compliance fordern, zum Beispiel zur IEC 62443. Damit spielen sie im Moment eine wichtige Rolle als Treiber in Sachen Sicherheit. Allerdings ist die Abstimmung zwischen Kunde und Hersteller in Bezug auf nötige Sicherheitsmaßnahmen und deren Preis oftmals langwierig und sehr individuell.

Pro-aktive Investitionen in einen sicheren Entwicklungsprozess und starke Security Features für Produkte sind leider immer noch zu selten. Oft höre ich, dass die Konkurrenz ja auch noch nichts in dieser Richtung unternimmt, dass Kunden nichts für sichere Produkte zahlen würden oder dass einfach niemand im Unternehmen Zeit für diese Themen hat. Dabei sollte es meiner Meinung nach viel mehr um strategische Entscheidungen gehen, wie sich die Sicherheit von Komponenten entwickeln soll und muss. Zudem können Schutzmaßnahmen auch durchaus positiv zur Differenzierung am Markt beitragen.

Beispiel Automotive: Hier wurden vor Kurzem mit der UNECE R 155 neue Regulierungen erlassen, um Fahrzeuge über den kompletten Produktlebenszyklus sicher zu machen. Haben OEMs und Zulieferer aus Ihrer Sicht im Bereich Embedded Security noch Nachholbedarf?

Die R155 zielt bei Weitem nicht nur auf die Embedded Security, also die Sicherheit einzelner Komponenten im Fahrzeug, sondern auch auf einen sicheren Entwicklungsprozess dieser Komponenten, deren sichere Produktion und die Überwachung des sicheren Betriebs.

Das sind sehr umfassende Anforderungen. Wer da behauptet, dass er keinen Nachholbedarf hat, ist sich dessen vermutlich einfach noch nicht bewusst. Speziell mittelständische Unternehmen und Zulieferer stehen dabei vor großen Herausforderungen. Der gravierende Fachkräftemangel im Bereich der Cyber Security verschärft die Lage zusätzlich.

***

Prof. Dr. Dominik Merli ist Professor für IT-Sicherheit an der Technischen Hochschule Augsburg (THA). Zudem leitet er das Institut für innovative Sicherheit (HSA_innos) an der THA. Das Institut unterstützt Organisationen aller Größen dabei, ihre Systeme, Produkte und Personal widerstandsfähig gegenüber digitalen Bedrohungen zu machen, damit sie sicher und nachhaltig erfolgreich in einer vernetzten Welt agieren können.

Weitere Informationen

Ihr Kontakt

Bianca Sum

Bayern Innovativ Newsservice

Sie möchten regelmäßige Updates zu den Branchen, Technologie- und Themenfeldern von Bayern Innovativ erhalten? Bei unserem Newsservice sind Sie genau richtig!

Jetzt kostenlos anmelden