Prüfung eingebetteter systeme

Unter ein­ge­bet­te­ten Sys­te­men versteht man elek­tro­ni­sche Re­chen­sys­te­me, die in einen spe­zi­el­len tech­ni­schen Kon­text in­te­griert sind. Häu­fi­ge Auf­ga­ben von ein­ge­bet­te­ten Sys­te­men sind bei­spiels­wei­se Über­wa­chungs-, Steue­rungs- oder Re­gel­funk­tio­nen sowie die Da­ten- oder Si­gnal­ver­ar­bei­tung.
Wäh­rend ein­ge­bet­te­te Sys­te­me schon lange in in­dus­tri­el­len Be­rei­chen ein­ge­setzt wer­den, er­hal­ten diese zu­neh­mend auch Ein­zug in Heim­an­wen­der-Pro­duk­te und ver­fü­gen häu­fig über eine di­rek­te Ver­bin­dung zu in­ter­nen Netz­wer­ken oder auch zum In­ter­net. In die­sem Zu­sam­men­hang wird auch von dem In­ter­net of Things (IoT) oder Cy­ber-phy­si­schen Sys­te­men (CPS) ge­spro­chen. Im in­dus­tri­el­len Um­feld wird unter dem Stich­wort In­dus­trie 4.0 die zunehmende Au­to­ma­ti­sie­rung und Ver­net­zung von Pro­duk­ti­ons­an­la­gen und Lo­gis­tik zu­sam­men­ge­fasst. 
Mit die­ser stark vor­an­schrei­ten­den Ver­net­zung von ein­ge­bet­te­ten Sys­te­men er­gibt sich auch eine Viel­zahl an neuen Be­dro­hun­gen und Si­cher­heits­ri­si­ken für die Be­trei­ber und Anwender ein­ge­bet­te­ter Sys­te­me. Bei einer Prüfung eingebetteter Systeme werden diese Bedrohungen aus Angreiferperspektive analysiert und bewertet.

Abhängig von den zu prüfenden Systemen werden hierbei folgende Analysetätigkeiten durchgeführt:

  • Analyse der Hardware (z. B. Auslesen von Speicherchips, Zugriff über Debug-Schnittstellen)
  • Analyse der Firmware sowie Firmware-Update-Prozesse und Betriebssysteme
  • Analyse der Kommunikation innerhalb eines eingebetteten Systems (z. B. Datenübertagung zwischen verschiedenen Chips oder Prozessoren) 
  • Analyse der Kommunikation mit externen Komponenten und Backend-Diensten (z. B. über Feldbusse, Bluetooth oder Mobilfunk)
  • Analyse der Anwendungsebene (z. B. Benutzereingaben oder Backup-Funktionen)

Als Ergebnis der Prüfung erhalten Sie eine fundierte Bewertung der identifizierten Sicherheitsrisiken. Die Mitigation dieser Risiken wird durch konkrete Maßnahmenbeschreibungen unterstützt.

Als typische Untersuchungsobjekte lassen sich folgende Beispiele nennen: 

  • Industrie 4.0, Prozess-IT (Systeme zur Steuerung und Überwachung von Maschinen und Anlagen)
  • Automotive (Steuergeräte, Fahrzeug-Sensorik, Feldbusse, Fahrerassistenzsysteme, etc.)
  • Heimanwender-Produkte (Büro- und Netzwerktechnik, Multimediasysteme, Haushaltsgeräte, etc.)
  • Gebäudeautomatisierung und Leittechnik