Prof. Dr.-Ing. Guido Stollt
Geschäftsführer
Die digitale Transformation schreitet rasant voran und überall ebnen » Embedded Systems maßgeblich den Weg. Dabei nimmt deren Vernetzung stetig zu. Sobald ein System über eine Anbindung an öffentliche Netze verfügt, wird dieses von außen sichtbar und dadurch nicht nur für die gewünschten Anwendungen, sondern auch für Schadsoftware zugänglich. Dabei spielt es keine Rolle, ob ein System für den gewerblichen oder den privaten Gebrauch entwickelt wird. Durch das Ausnutzen von Sicherheitslücken ist es Hackern möglich, die Kontrolle über nicht gesicherte Systeme zu erlangen und so Daten abzufangen, Anlagen/Geräte zu manipulieren oder abzuschalten.
Im Automotive- und Industriebereich gibt es Richtlinien und Sicherheitsstandards für die Entwicklung eingebetteter Systeme, um ein einheitliches Sicherheitsniveau zu erreichen und eine ganzheitliche Sicherheit bestmöglich zu gewährleiten.
Im Smart Home bzw. Smart Building Bereich werden Komponenten von verschiedenen Herstellern eingesetzt und kombiniert. Dadurch kommen unterschiedliche Sicherheitskonzepte zusammen, wobei die Sicherheitsniveaus abhängig vom jeweiligen Hersteller sind. Das BSI und Homeland Security stellen Richtlinien und Empfehlungen zur Verfügung, diese sind jedoch nicht bindend und werden unterschiedlich umgesetzt.
Cybersecurity wird in diesem Bereich immer wichtiger, weil mit zunehmender » Konnektivität und Komplexität der Komponenten auch die Angriffsfläche zunimmt. Der Schutz sensibler Daten und der Privatsphäre gilt als hohes Gut und sollte gewährleistet werden. Neben den wirtschaftlichen Schäden durch Datenverluste führen Hackerangriffe auch immer mehr dazu, dass die Hersteller und Betreiber bei Sicherheitsfragen in den Fokus gelangen.
Somit wird ein ganzheitlicher Security-Ansatz für jedes Gerät benötigt. Die Durchführung einer Threat- und Risikoanalyse unterstützt während der Produktplanung ein Security-Konzept zu erstellen. Das Konzept wird idealerweise in der Produktentwicklung umgesetzt, um Security by Design zu implementieren. Dazu verwenden wir die Methode » CONCRY.
Der EU Cyber Resilience Act (CRA) wird Security-Anforderungen für Hersteller, Importeure und Distributoren von jeglichen Embedded Produkten inklusive Smart Home, Smart Building, Industrial IoT, etc. stellen. Ziel ist es, Produkte sicherer zu machen und sicherzustellen, dass Hersteller während des gesamten Produktlebenszyklus für die Cybersecurity verantwortlich bleiben. Security by Design wird damit Gesetz!
Das Gesetz soll nach aktuellem Stand 2024 in Kraft treten und betrifft damit alle Produkte, die sich heute in einer frühen Konzeptphase befinden oder bereits entwickelt werden. In 2026 wird die Verordnung voraussichtlich dann für alle Produkte auf dem Markt gelten und betrifft damit auch Produkte, deren Entwicklung bereits abgeschlossen ist.
Fragen Sie sich, ob Sie auf den Cyber Resilience Act vorbereitet sind?
Unsere Experten beraten Sie gerne bei der Umsetzung von Security by Design für Ihr Produkt!
In der Praxis werden die Security-Anforderungen oft erst mit Fertigstellung des Produktes oder nach einem Sicherheitsvorfall betrachtet. Gerade bei der Transformation von mechanischen Produkten zu mechatronischen Systemen sind die Sicherheitsrisiken nicht bekannt. Die Herausforderung, Security nachträglich in einer fertigen Entwicklung umzusetzen, kann sehr aufwendig und teuer sein. Hier stellt sich oft die Fragen:
Um Informationssicherheit auch bei komplexen Neuentwicklungen erfolgreich zu gewährleisten, sollten darüber hinaus auch noch die folgenden Aspekte berücksichtigt und beantwortet werden.
Diese Fragestellungen, für die marktreife Entwicklung und Neuentwicklung, können mit einem produktspezifischen Sicherheitskonzept beantwortet werden. Der Vorteil einer frühen Einbindung eines Sicherheitskonzeptes in das Produktdesign ist die Planbarkeit von Aufwand und Kosten. Darüber hinaus besteht bei einer frühzeitigen Einbindung eine hohe Flexibilität in der Wahl von Maßnahmen und diese können dann kosteneffizient umgesetzt werden.
Auf Ihrem Weg zum abgesicherten Produkt unterstützen wir Sie sowohl bei Ihren Fragestellungen zu Security-Themen, als auch bei der Erstellung Ihrer Security-Konzepts. Darüber hinaus unterstützen und begleiten wir Sie bei der Integration Ihrer individuellen Sicherheitsmaßnahmen im gesamten Entwicklungs- und Produktlebenszyklus.
Dabei betrachten wir folgende Punkte:
Wir bieten Ihnen einen CONCRY Workshop an und unterstützen Sie in jeder Phase Ihrer Entwicklung, damit Sie in kurzer Zeit sichere Produkte entwickeln können.
Um den Anforderungen des Marktes gerecht zu werden, muss die Bedrohungslage ständig neu bewertet werden. Es ist nicht mehr ausreichend, sich einmalig mit Sicherheitsfragen zu beschäftigen. Gerade im Smart Home bzw. Smart Building Bereich müssen Sicherheitskonzepte zur Schließung von Sicherheitslücken entwickelt und gepflegt werden, um konkurrenzfähig zu bleiben. Mit Hilfe von geeigneten Sicherheitskonzepten können Ihre Geräte auch nach Auslieferung mit Updates versorgt werden.
Durch eine breite Spanne an innovativen Kunden und unserer Vielzahl an erfolgreichen Projekten kennen wir die aktuellen Security-Anforderungen. Wir unterstützen Sie bei der Betrachtung Ihrer Security-Themen bereits ab der ersten Phase der Produktentwicklung z.B. im Rahmen eines CONCRY Workshops. Dabei legen wir bereits ein besonderes Augenmerk auf die sicherheitsrelevanten Aspekte des Devices, um ein erfolgreiches Security by Design zu integrieren.
Consens Optimization for Necessity of Security and Cryptography
Ist ein Embedded System mit einem Netzwerk verbunden, gilt es das System vor unautorisierten Zugriffen zu schützen und dafür eine kosteneffiziente Strategie für die Entwicklung und Wartung zu finden. Durch die Anbindung an ein Netzwerk, erreichen auch kleine Systeme hohe Komplexität.
In der Entwicklung und Wartung ist daher ein methodisches Vorgehen erforderlich, um relevante Aspekte der Security in das Produktdesign zu integrieren. Wir nutzen CONSENS für systematische Herangehensweise in der Entwicklung. CONCRY erweitert diese Methodik und ermöglicht es, Security by Design für den Entwicklungs- und Produktlebenszyklus anzuwenden.
Asset | Threat | Risk |
---|---|---|
DOORPLATE | Mit aktiviertem Secure-Boot und Verschlüsselung des Flashspeichers führt eine Änderung der Firmware zum defekt des Gerätes. | Medium |
EPAPER DISPLAY | Manipulation der Schnittstelle zum Bildschirm. | Low |
ESP, SERIAL INTERFACE | Aktivieren eines Bootloader Log gibt Aufschluss über den Bootvorgang und über Speicheradressen. | Low |
FLASH, DATA | Die Datenpartition ist nicht vor unautorisierter Änderung geschützt. | High |
FIRMWARE | Die Firmware wird vor der Ausführung nicht durch eine Root of Trust verifiziert. | High |
KEY, FLASH ENCRYPTION | Der Schlüssel für die Verschlüsselung des Flash-Speichers kann nicht geupdatet werden. | High |
KEY, SIGNATURE | Der Schlüssel zur Verifikation der Soft- und Firmware kann nicht geupdatet werden. | Medium |
- | Ausnutzen einer Schwachstelle durch die Verwendung eines Zero-Day-Exploit. | Medium |
Mit CONCRY analysieren wir Ihr Produkt auf Assets, untersuchen das Produktumfeld auf mögliche Bedrohungen, bewerten die daraus resultierenden Risiken und entwerfen Maßnahmen zur Absicherung. Die Tabelle zeigt ein vereinfachtes Modell zur Umfeldanalyse. In diesem Beispiel geht es darum, Entitäten im Umfeld zu identifizieren und Trust-Boundaries zu setzen. CONCRY kann begleitend zum Produktlebenszyklus eingesetzt werden, um neue Funktionen zu analysieren oder Gegenmaßnahmen im Angriffsfall zu identifizieren.
Bei CONCRY liegt der Fokus unter anderem auf der Agilität der Methodik: So kann das Vorgehen innerhalb einer grob festgelegten Rahmenstruktur an Ihre Sicherheitsziele und -anforderungen angepasst werden.
Vertrauen Sie auf unsere Expertise für die Entwicklung Ihres nächsten IoT- oder Smart-Produktes.