Schlüsselstrategien für die Sicherheit eingebetteter Systeme

Hardware-Ingenieure sind oft Experten für die Entwicklung von vernetzten Produkten innerhalb der elektrischen und RF-Einschränkungen, um die Anforderungen der CE-Kennzeichnung, der FCC und anderer regionaler und internationaler Zertifizierungsstellen zu erfüllen. Die Sicherheit eingebetteter Systeme ist jedoch eine eigenständige Disziplin und eng mit neuen Gerätedesigns verbunden. Sie erfordert nicht nur fortgeschrittene Kenntnisse darüber, wie Sicherheitsschwachstellen im Systemdesign entschärft werden können, sondern auch die Fähigkeit, mit neuen und aufkommenden Bedrohungen umzugehen, sobald diese auftreten. 

Heutzutage ist die Bewältigung von Cybersicherheitsbedrohungen während des gesamten Lebenszyklus vernetzter Produkte von entscheidender Bedeutung - und Cybersicherheit ist daher als Best Practice genauso wichtig geworden wie elektrische oder RF-Sicherheit.

In diesem Artikel erläutern wir, was sich im Bereich der Cybersicherheit für eingebettete Produkte geändert hat, warum nur noch wenig Zeit bleibt, um auf die neuen Vorschriften zu reagieren, und warum Ingenieure eine umfassende Lösung zur Bewältigung dieser Herausforderung in Betracht ziehen sollten. Die Uhr tickt bereits!

Was ist die Sicherheit eingebetteter Systeme?

Konzept für Fehler in eingebetteten Systemen

Vernetzte Geräte sind mit eingebetteten Computersystemen ausgestattet, die es ihnen ermöglichen, unabhängig zu arbeiten. Sie werden oft außerhalb herkömmlicher Netzwerkinfrastrukturen eingesetzt, die durch Firewalls und andere Sicherheitstools geschützt sind, was bedeutet, dass integrierte Sicherheitsfunktionen von entscheidender Bedeutung sind. Die Sicherheit eingebetteter Systeme ist das ganzheitliche Ergebnis von physischen Sicherheitsmaßnahmen sowie von Software und Programmierung im integrierten System eines Geräts.

Diese Sicherheitsmaßnahmen können unter anderem Folgendes umfassen:

  • Physischer Schutz und Überwachung, um den Zugriff auf angeschlossene Geräte zu verhindern.
  • Verschlüsselung von Datenspeichern, um unbefugten Zugriff auf geschützte Informationen zu verhindern.
  • Robuste Kommunikationssicherheitsprotokolle und Authentifizierungsfunktionen, die den Zugang und die Geräteverbindungen kontrollieren.
  • Proaktive und automatische Firmware- und Betriebssystem-Updates, um die Sicherheit der Geräte zu gewährleisten.
  • Unablässige Überwachung und Analyse von immer neuen Schwachstellen und Gefährdungen.

Letztendlich sollten diese Maßnahmen bekannte Schwachstellen beseitigen und die Hardware, Software und Netzwerkverbindungen eines angeschlossenen Geräts vor unbefugtem Zugriff schützen. Eingebettete Systeme bestehen aus einer Kombination von Rechenressourcen und integrierter Software, die für die Ausführung einer bestimmten Funktion ausgelegt sind. Eine große Herausforderung für Entwickler und Endbenutzer besteht darin, dass es aufgrund der begrenzten Speicherkapazität schwierig ist, eingebettete Sicherheitsfunktionen zu entwerfen, die während der gesamten Lebensdauer des Produkts funktionieren, wenn man die überwältigende Anzahl neuer Bedrohungen berücksichtigt, die heutzutage ständig auftauchen.

Sicherheit eingebetteter Systeme: Ein sich schnell bewegendes Ziel

Auf das Zielbild treffen

Auf dem breiteren Markt für eingebettete Geräte herrscht wohl die Auffassung vor, dass die Entwicklung von Cybersicherheit eine gute Praxis ist - aber dass Cybersicherheit nicht so wichtig ist wie elektrische Sicherheit und elektromagnetische Kompatibilität, oder dass es sich um ein Problem handelt, das dem Endkunden überlassen wird. Es gibt Ausnahmen, wie z. B. medizinische Geräte, bei denen die Cybersicherheit in den letzten Jahren immer mehr in den Mittelpunkt gerückt ist. Transaktionssysteme wie Geldautomaten und Lotteriegeräte erfordern ebenfalls seit einiger Zeit eine robuste eingebettete Sicherheit, obwohl es für diese Systeme in der Praxis aufgrund der sich ständig ändernden Bedrohungen schwierig ist, eine belastbare Sicherheit über einen längeren Zeitraum aufrechtzuerhalten.

Um den zukünftigen Anforderungen gerecht zu werden und mehr marktfähige Produkte anbieten zu können, die nicht von vornherein gefährdet sind, müssen OEMs, die drahtlose Produkte in allen vertikalen Branchen herstellen, Cyber-Bedrohungen mit gehärteten Geräten, eingebetteter Cybersicherheitstechnologie und laufender Überwachung und Behebung begegnen.

Sicherheitsschwachstellen bei eingebetteten Systemen

Prüfung des Bildes von Bits und Bytes

Die Angriffsstrategien, die sich auf die Sicherheit von eingebetteten Geräten auswirken können, sind breit gefächert, unvorhersehbar und nehmen zu. Diese Bedrohungen reichen von der Erpressung von Geld und geistigem Eigentum über Phishing, die Verbreitung von Schadsoftware, die Manipulation der Funktion von vernetzten Systemen wie Fahrzeugen bis hin zur Herbeiführung eines Zusammenbruchs der Infrastruktur, z. B. durch die vorübergehende Unterbrechung der Strom- oder Trinkwasserversorgung.

Erfolgreiche Angriffe können sich auf nur einen einzigen unsicheren Systemknacks stützen, und dieser Einstiegspunkt könnte die harmloseste eingebettete Komponente sein. Wie nutzen Hacker also die Schwachstellen von Betriebssystemen aus?

Es gibt viele Formen, in denen diese Angriffe durchgeführt werden können: 

  • Denial-of-Service-Angriffe (DoS)
  • Denial-of-Sleep-Angriffe (DoSL)
  • Anwendungsbasierte Eindringlinge
  • Physische Manipulationen
  • Brute-force-Angriffe
  • Digitaler Lauschangriff
  • Angriffe zur Eskalation von Privilegien

Lassen Sie uns über Strategien für den Umgang mit Cyber-Bedrohungen in eingebetteten Designs sprechen.

Tipps zur Stärkung der Sicherheit eingebetteter Systeme

Bild des eingebetteten Sicherheitskonzepts

Der erste Schlüssel zur Vereitelung von Manipulationen im Bereich der Computersicherheit besteht darin, potenzielle Schwachstellen zu erkennen. Zum Beispiel:

  • Der Diebstahl von Geräten ist eine Möglichkeit für Cyberkriminelle, auf unzureichend gesicherte Daten zuzugreifen.
  • Veraltete Betriebssysteme können Geräteeinstellungen und -funktionen anfällig für Angriffe oder das Einschleusen von bösartigem Code machen.
  •  Veraltete Hardwarekomponenten können das Risiko eines unbefugten Zugriffs auf geschützte Netzwerke erhöhen, wodurch nicht nur die Daten lokaler Geräte, sondern auch Ihre gesamte Daten- und IT-Infrastruktur gefährdet sind.
  • Unzureichend gesicherte Anwendungen auf eingebetteten Geräten können den Zugriff auf verschlüsselte Daten ermöglichen, die normalerweise für unbefugte Benutzer nicht zugänglich wären. Ebenso kann Malware ihre Privilegien ausweiten und Computerressourcen für sich beanspruchen, bis die Geräte völlig unbrauchbar werden.

Der nächste Schritt besteht darin, die Fähigkeit einzubauen, mit neuen und aufkommenden Bedrohungen umzugehen. Einige bewährte Verfahren sind:

  • Beschränken Sie den Zugriff von Geräten auf kritische Systeme: Mit einem sicheren eingebetteten System-on-Module können Sie eine Verschlüsselung auf Unternehmensniveau einsetzen, um die gesamte Konnektivität Ihrer IoT Geräte zu sichern. Die Verwendung dieser integrierten Bausteine vereinfacht auch die Softwareentwicklung und unterstützt gleichzeitig benutzerdefinierte Anwendungen.
  • Befolgen Sie die Best Practices der Branche für die Entwicklung eingebetteter Systeme: Um Sicherheitsprobleme bei der Entwicklung von Hardware und Software auf IoT Geräten zu vermeiden, sollten Unternehmen die langfristige Ausfallsicherheit in den Vordergrund stellen und die Geräteverwaltung vereinfachen, indem sie die branchenüblichen Best Practices für die Entwicklung eingebetteter Systeme befolgen.
  • Implementieren Sie digital sichere Firmware-Updates: Unternehmen können Over-the-Air (OTA)-Firmware-Updates für Remote-Geräte, die bereits im Feld eingesetzt werden, über sichere Netzwerkverbindungen implementieren. Eingebettete Geräte müssen in der Lage sein, werkseitig signierte Update-Images zu empfangen, zu laden und zu authentifizieren, bevor die aktuelle Version ersetzt wird.
  • Verhinderung von Stack- oder Pufferüberläufen in eingebetteter Software: Cyberkriminelle können versuchen, den begrenzten Arbeitsspeicher und die begrenzte Speicherkapazität eingebetteter Systeme auszunutzen, indem sie Stack- oder Pufferüberläufe nutzen, um ausführbaren Code zwangsweise durch bösartige Viren oder Dateien zu ersetzen. Sie können eingebettete Systeme vor diesen Angriffen schützen, indem Sie Prozessoren integrieren, die jeden Code, der mit der Hardware interagiert, zur Laufzeit authentifizieren müssen.

Vorbereitung auf die neuen Sicherheitsvorschriften für eingebettete Systeme

Image der Einhaltung von Vorschriften und Bestimmungen

Industrie und Behörden sind dabei, das Gesamtrisiko zu erfassen. Dazu gehören auch Aufsichtsbehörden auf der ganzen Welt, die nach und nach Vorschriften zur Cybersicherheit für eingebettete und verbundene Geräte einführen IoT .

Neue Vorschriften wie die Allgemeine Datenschutzverordnung (GDPR), die Funkausrüstungsrichtlinie (RED) für Cybersicherheit, das National Institute of Standards and Technology (NIST) und andere stellen eine Abkehr von den typischen EMV- oder Sicherheitsstandards dar, an die Ingenieure gewöhnt sind. 

In der EU beispielsweise enthält Artikel 3.3 Buchstaben d, e und f der RGVO eine Reihe von nicht-elektrischen Sicherheitsmaßnahmen, die auf die Cybersicherheit von eingebetteter Hardware und Software abzielen. Alle drei Artikel treten im August 2024 in Kraft, und Produkte, die nach diesem Datum auf den Markt kommen, müssen den Vorschriften entsprechen.

Die Herausforderung bei der Einhaltung der neuen Verordnung ist eine doppelte. Erstens: Während die Vorschriften für Hochfrequenz- und Elektrosicherheit in der Regel klare Spezifikationen enthalten, die ein Hardware-Ingenieur mit Laborgeräten testen und messen kann, lassen sich Cybersicherheitspraktiken viel schwerer auf Konstruktionsspezifikationen festnageln. Das liegt zum einen daran, dass die Vorschriften nicht unbedingt genau vorschreiben, welche Schritte oder bewährten Sicherheitspraktiken anzuwenden sind, und zum anderen an der schieren Anzahl von Angriffsstrategien - und die werden immer wieder neu entstehen.

Die zweite Herausforderung bei der Einhaltung spezifischer Vorschriften für die Cybersicherheit von eingebetteten Systemen ist das beschleunigte Tempo der Veränderungen. Vorschriften werden so schnell erlassen und neue Bedrohungen tauchen so schnell auf, dass die Ingenieure Mühe haben, sich innerhalb der festgelegten Produktionszyklen anzupassen, die leicht fünf Jahre betragen können, wobei die fertigen und getesteten Produkte jahrzehntelang im Einsatz bleiben können. 

Verwaltung der sich ändernden Anforderungen an die Sicherheit eingebetteter Geräte

Bild des eingebetteten Entwicklerteams

Für Ingenieure, die es gewohnt sind, Komponenten auf der Grundlage einer Spezifikationsliste auszuwählen, kann Cybersicherheit eine neue Herausforderung darstellen, da es schwierig sein kann, genau zu bestimmen, was von den Hardwareanbietern verlangt wird. Dennoch haben sich Hardware- und Software-Sicherheitsfunktionen auf dem Chip als unverzichtbar erwiesen. Denken Sie zum Beispiel an sicheres Booten, digitale Signaturen, geschützte Ports, Manipulationserkennung und Verschlüsselung.

Wie können sich eingebettete Designs an eine sich verändernde Cybersicherheitslandschaft anpassen? Ein Schlüssel dazu ist die Fähigkeit, Geräte aktiv zu verwalten, sobald sie eingesetzt werden. Dazu gehört auch die kontrollierte und geplante Fernaktualisierung zentraler Firmware-Funktionen, wenn dies erforderlich ist.

Das bedeutet, dass die Geräte zur Überwachung mit einer flexiblen und dennoch robusten Cloud-Plattform verbunden werden müssen. Außerdem muss die Möglichkeit geschaffen werden, Geräte-Updates über die Luft zu verteilen, um neue Sicherheitsbedrohungen schnell zu beseitigen - ebenso wie Fehlerbehebungen, Funktions- oder Leistungsverbesserungen. 

Große Hersteller können Online-Portale entwickeln, um diese Ziele zu erreichen, und können es sich auch leisten, sie zu unterhalten - und einige haben dies bereits getan. Die Einrichtung und der Betrieb sind jedoch sehr aufwendig, und Produktentwickler haben oft Schwierigkeiten, einen Anfang zu machen.

Wie das Digi ConnectCore Ökosystem helfen kann

Digi ConnectCore Ausweis für SicherheitsdiensteWir bei Digi sind seit vielen Jahren führend im Bereich der Sicherheit eingebetteter Systeme. Und wir entwickeln ständig neue Methoden und Dienstleistungen, um OEMs bei der Bereitstellung einer umfassenden Cybersicherheit für eingebettete Geräte zu unterstützen.

Das Digi ConnectCore Ökosystem aus drahtlosen und drahtgebundenen Embedded-System-on-Modulen bietet eine integrierte Lösung für die Sicherheit von Embedded-Geräten. Entwickler können damit nicht nur während der Designphase bewährte Verfahren für die Sicherheit von Embedded-Systemen einbeziehen, sondern auch das Geräteverhalten und Sicherheitsbedrohungen in den eingesetzten Geräten überwachen und jederzeit Firmware-Updates einspielen, um auf neue Herausforderungen im Bereich der Cybersicherheit zu reagieren.

Digi ConnectCore® Security Services sind eine Sammlung von Dienstleistungen und Tools, die es Kunden ermöglichen, die Sicherheit von Geräten während ihres gesamten Produktlebenszyklus zu gewährleisten. Dies stellt sicher, dass die Kunden die kontinuierliche Herausforderung lösen können, die Sicherheit ihrer Produkte auch nach deren Freigabe zu gewährleisten.

Diese Dienste ermöglichen die Analyse und Überwachung einer benutzerdefinierten Software Bill of Material (SBOM) und eines Binärabbilds, das auf Digi ConnectCore SOMs läuft, auf Sicherheitsrisiken und Schwachstellen. Zur Behebung festgestellter Probleme umfassen die Dienste einen kuratierten Schwachstellenbericht, in dem kritische Probleme hervorgehoben werden, eine Sicherheitssoftwareschicht mit Patches für gängige Schwachstellen sowie Beratungsdienste.

Entwerfen, entwickeln, auf den Markt bringen ... und einen sicheren Produktlebenszyklus unterstützen

Der Lebenszyklus der eingebetteten Sicherheit

Neue Anforderungen an die eingebettete Sicherheit und aufkommende Cybersecurity-Risiken erfordern einen lösungsorientierten Ansatz, der die Fähigkeiten der OEMs beim Design mit einer Sicherheitslösung eines Drittanbieters ergänzt, die die Cybersecurity auf der Ebene des Produktdesigns und während der gesamten Lebensdauer des Produkts fördert.

Vertrauen Sie auf die robusten eingebetteten Systeme von Digi und die laufende Sicherheitsüberwachung und -verwaltung, um Ihre eingebetteten Systeme jetzt und in Zukunft zu schützen. 

Nächste Schritte

 

Unser aufgezeichnetes Interview ansehen
Erfahren Sie mehr über die schnelle Integration von Sprachsteuerung in Embedded Designs