diamond_full diamond diamond_half diamond_euro search-icon menu chat-icon close-icon envelope-icon smartphone-call-icon

Embedded Security Assessment

Was ist ein Embedded Security Assessment?

Unter eingebetteten Systemen (Embedded Systems) versteht man elektronische Rechensysteme, die in einen speziellen technischen Kontext integriert sind. Ein Embedded Security Assessment (manchma auch IoT Security Test genannt) prüft diese Systeme systematisch auf Sicherheitslücken. Oft sind die Systeme verantwortlich für Überwachungs-, Steuerungs- oder Regelfunktionen sowie die Daten- oder Signalverarbeitung.

Während in industriellen Bereichen schon lange eingebettete Systeme eingesetzt werden, erhalten sie zunehmend auch Einzug in Heimanwender-Produkte (z.B. im Bereich Smart Home, Unterhaltung oder Fitness) und verfügen häufig über eine direkte Verbindung zu internen Netzwerken oder auch zum Internet. In diesem Zusammenhang wird auch von dem Internet of Things (IoT) oder Cyber-physischen Systemen (CPS) gesprochen. Typische Anwendungsbereiche sind:

  • Industrie 4.0, Prozess-IT (Systeme zur Steuerung und Überwachung von Maschinen und Anlagen im Bereich Produktion und Logistik)
  • Automotive (Fahrzeuge, Steuergeräte, Head-Units oder Kombi-Instrumente, Sensorik, Fahrerassistenzsysteme, etc.)
  • Heimanwender-Produkte (Smart Home Produkte, Büro- und Netzwerktechnik, Multimediasysteme, Haushaltsgeräte, Heimautomatisierung und Überwachung, elektronische Sport- und Fitnessgeräte, etc.)
  • Gesundheits- und Medizintechnik (Klinische Geräte, Bildgebesysteme, Systeme zur Patienten- und Vitaldatenüberwachung, etc.)
  • Gebäudeautomatisierung und Leittechnik

Mit der stark voranschreitenden Vernetzung von eingebetteten Systemen ergibt sich auch eine Vielzahl an neuen Bedrohungen und Sicherheitsrisiken für die Betreiber und Anwender dieser Systeme. Durch den physischen Kontext stellen Sicherheitsrisiken insbesondere für die Anwender oftmals auch eine direkte Bedrohung der Gesundheit und der physischen Sicherheit dar.

placeholder for background/embedded.jpg

Ziel

Identifikation von Schwachstellen in IoT-Geräten oder anderen eingebetteten Systemen und Bewertung des Risikos hinsichtlich spezifischer Bedrohungsszenarien

Fragestellung

Wie sicher ist das eingebettete System und was können externe Angreifer bzw. böswillige Benutzer und Mitarbeiter im schlimmsten Falle erreichen?

Scope

IoT-Geräte oder andere eingebettete Systeme inkl. der Hardware und Schnittstellen

Ablauf eines Embedded Security Assessments: Methodik & Vorgehen

Bei einem Embedded Security Assessment wird sowohl die Hardware als auch die Software des eingebetteten Systems betrachtet und hinsichtlich vorhandener Schwachstellen analysiert. Dabei nimmt der Prüfer die Perspektive externer Angreifer und auch privilegierter Benutzer ein. Beispiele für Angriffsversuche reichen vom Auslesen von Speicherchips, über Man-in-the-Middle-Angriffe, bis hin zum Eindringen in die Systeme durch das Ausnutzen von Schwachstellen in exponierten Schnittstellen.

Grundsätzlich erfolgt das Assessment mit dem Ansatz einer möglichst umfassenden Prüfung. Abhängig von der Art der Anwendung bzw. des Systems und der relevanten Bedrohungen ist jedoch auch ein risikobasierter Ansatz möglich (vergleichbar mit einem Penetrationstest ). Dabei wird der Fokus auf besonders sicherheitskritische bzw. gefährdete Bereiche gerichtet, wobei sich der Prüfungsumfang aus dem im Vorfeld vereinbarten Zeitbudget ergibt.

Kernbestandteile eines SCHUTZWERK Embedded Security Assessments

Das Embedded Security Assessment umfasst üblicherweise folgende Punkte:

  • Prüfung der Hardware (z. B. Auslesen von Speicherchips, Zugriff über Debug- und Diagnose-Schnittstellen)
  • Prüfung der Firmware und Betriebssysteme sowie vorhandener Update-Prozesse
  • Prüfung spezieller Sicherheitsmaßnahmen (z. B. Secure Boot oder HSM-Integration)
  • Prüfung kryptographischer Verfahren (z. B., für Verschlüsselung, Signaturprüfung, Challenge-Response-Verfahren, oder Entropie von Zufallszahlengeneratoren)
  • Prüfung SoC-spezifischer Features (z. B. Boot Chain Security, Speicherisolation, TEE Isolation)
  • Prüfung der Kommunikation innerhalb eines eingebetteten Systems (z. B. Datenübertagung zwischen verschiedenen Chips oder Prozessoren)
  • Prüfung der Kommunikation mit externen Komponenten und Backend-Diensten (z. B. über Feldbusse, Bluetooth, NFC, WLAN oder Mobilfunk)
  • Prüfung von passiven und aktiven Seitenkanalangriffen (z. B. Poweranalyse oder Fault Injection per Power-Glitching)
  • Prüfung der Anwendungsebene (z. B. Benutzereingaben oder Backup-Funktionen)
  • Dokumentation inklusive Risikobewertung und Maßnahmenbeschreibung

Embedded Security Assessments und relevante Regulierungen & Standards

Die Sicherheit von Embedded Systemen ist Gegenstand einer Vielzahl von Regulierungen und Standards, die je nach Branche und Anwendungsbereich relevant sein können. Ein umfassendes Embedded Security Assessment berücksichtigt diese Anforderungen und hilft Ihnen, regulatorische Konformität zu erreichen:

  • Cyber Resilience Act (CRA) - Die neue EU-Verordnung stellt konkrete Anforderungen an die Cybersicherheit von vernetzten Produkten. Ein Embedded Security Assessment unterstützt Sie bei der Erfüllung dieser Anforderungen und bereitet Ihr Produkt für die Markteinführung vor.

  • IEC 62443 - Diese Normenreihe definiert Sicherheitsstandards für industrielle Automatisierungssysteme und deckt sowohl technische als auch organisatorische Aspekte ab. Unsere Assessments werden unter Berücksichtigung dieser Anforderungen durchgeführt.

  • EU Radio Equipment Directive (RED) - Für Produkte mit Funkschnittstellen gelten spezifische Sicherheitsanforderungen gemäß EU RED. Wir prüfen die Einhaltung der relevanten Sicherheitsbestimmungen.

  • ISO/SAE 21434 - Dieser Standard für die Cybersicherheit in der Automobilindustrie definiert Anforderungen an das Cybersecurity-Management im gesamten Fahrzeug-Lebenszyklus, beispielsweise hinsichtlich einer Bedrohungs- und Risikoanalysen (TARA) oder der Verifikation von Sicherheitsmaßnahmen. Unsere Embedded Security Assessments für Automotive-Komponenten sind darauf abgestimmt und erfüllen insbesondere die Vorgaben der technischen Verifikation.

  • UNECE R 155 - Diese Regulierung enthält verbindliche Anforderungen für die Cybersicherheit in der Fahrzeugzulassung. Wir unterstützen Sie mit unserem Automotive Security Assessment bei der Einhaltung der Vorgaben während des Homologationsprozesses.

Durch die Zusammenarbeit mit unseren Experten stellen Sie sicher, dass Ihre Embedded Systeme nicht nur technisch sicher sind, sondern auch den relevanten regulatorischen Anforderungen entsprechen.

Embedded Security Assessment Ergebnisse: Risikobewertung & Maßnahmen

Als Ergebnis des Assessments erhalten Sie einen ausführlichen Abschlussbericht. Abhängig von Art und Umfang des Projekts umfasst der Abschlussbericht folgende Bestandteile:

  • Management Summary mit Zusammenfassung der Ergebnisse und des Sicherheitsniveaus
  • Beschreibung Projektablauf, Zielsetzung, Umfang und Methodik
  • Detaillierte Beschreibung der identifizierten Schwachstellen, um diese nachvollziehen und mögliche Angriffe rekonstruieren zu können (ggf. mit Proof-of-Concept-Implementierungen)
  • Detaillierte Beschreibung des iterativen Vorgehens bei der Ausnutzung verketteter Schwachstellen
  • Risikobewertung der identifizierten Schwachstellen unter Berücksichtigung des IT-Umfelds bzw. des Anwendungskontextes (Risikoeinstufung: niedrig, mittel, hoch, kritisch)
  • Beschreibung von Maßnahmen zur Behebung der Schwachstellen
  • Falls erforderlich auch eine Beschreibung von übergeordneten strategie-, konzept- und prozessbezogenen Maßnahmen oder Optimierungsvorschlägen.

Blog & News Archiv

Blogposts zu den Themen: embedded security

Blog & News Archiv

Aktuell 2024 2023 2022

Wie dürfen wir Ihnen helfen?

Rufen Sie uns an oder vereinbaren Sie direkt einen Termin

+49 731 977 191 - 0 Termin vereinbaren
Kostenfreies Erstgespräch