Was versteht man unter Embedded Systems und warum ist gerade deren Absicherung so wichtig?
Embedded Systems sind spezielle Computersysteme. Sie sind unter anderem in Maschinen, Fahrzeugen und IT-Systemen integriert und führen spezifische Funktionen aus. Sie sind oft sehr spezialisiert und für eine bestimmte Aufgabe ausgelegt. Dazu gehören zum Beispiel Steuerungssysteme in der Automobil- oder Fertigungsindustrie, medizinische Geräte oder auch klassische Netzwerkkomponenten.
Das zeigt auch, warum die Sicherheit eines eingebetteten Systems so wichtig ist. Denn sie werden oft in kritischen Umgebungen eingesetzt. Ist ein Embedded System fehlerhaft oder angreifbar, kann das schwerwiegende Auswirkungen haben. Das entsprechende Produkt funktioniert nicht mehr korrekt und kann im schlimmsten Fall Menschenleben gefährden.
Embedded Security wird oft im Zusammenhang mit Security-by-Design diskutiert. Im Idealfall werden Sicherheitsanforderungen also schon während der Entwicklung des Produktes berücksichtigt. Aber kann man Sicherheit auch „nachrüsten“?
Ja und nein. Hersteller die Sicherheitsupdates verteilen rüsten quasi regelmäßig nach. Wenn bei der Entwicklung jedoch keine Möglichkeit für sichere Updates vorgesehen wurde, ist auch die Nachrüstung dementsprechend schwierig. Im Fall von eingebetteten Systemen spielt auch eine Rolle, dass diese Produkte meist einem gewissen Kostendruck unterliegen und so ausgelegt werden, dass sie nur ihren speziellen Zweck erfüllen. Wurde zum Beispiel die Möglichkeit eines sicheren Boot-Vorgangs beim ursprünglichen Design nicht berücksichtigt und ein entsprechend günstigerer Microcontroller eingesetzt, kann dieses Sicherheits-Feature später auch nicht nachgereicht werden.
Bei der Entwicklung werden grundlegende Weichen für die IT-Sicherheit eines Produkts gestellt. Daher ist Security-by-Design ein äußerst wichtiges Prinzip. Jedoch muss auch klar sein, dass ein Produkt jederzeit von neuen Sicherheitslücken betroffen sein kann, die dann zeitnah ausgebessert werden müssen.
Was sind aktuell die größten Herausforderungen beim Thema Embedded Security?
Viele Komponenten-Hersteller sehen sich aktuell mit neuen Sicherheitsstandards und -regulierungen konfrontiert, wie zum Beispiel der IEC 62443 in der Automatisierungstechnik, den Cyber Security und Cyber Resilience Acts auf EU-Ebene, oder der UN R155 im Bereich der Fahrzeugindustrie. Immer mehr Unternehmen verstehen, dass dies große Aufwände erfordert und nicht mit einem kurzen Penetration Test zu lösen ist.
Die Herausforderung ist zweigeteilt. Zum einen müssen Entwicklungsprozesse sicher gestaltet werden, beispielsweise anhand Teil 4-1 der IEC 62443. Dies reicht von Bedrohungs- und Risikoanalysen über sichere Entwicklungsumgebungen bis hin zu kontinuierlichem Schwachstellenmanagement. Zum anderen müssen Produkte technisch auf ein höheres Sicherheitsniveau gebracht werden, zum Beispiel bezüglich einer sicheren Identität, sicherer Kommunikation, und eingebauter Monitoring-Maßnahmen.