diamond_full diamond diamond_half diamond_euro search-icon menu chat-icon close-icon envelope-icon smartphone-call-icon

Embedded Security Assessment

Was ist ein Embedded Security Assessment?

Unter eingebetteten Systemen (Embedded Systems) versteht man elektronische Rechensysteme, die in einen speziellen technischen Kontext integriert sind. Ein Embedded Security Assessment (manchma auch IoT Security Test genannt) prüft diese Systeme systematisch auf Sicherheitslücken. Oft sind die Systeme verantwortlich für Überwachungs-, Steuerungs- oder Regelfunktionen sowie die Daten- oder Signalverarbeitung.

Während in der Branche der industriellen Anwendungen bereits seit geraumer Zeit eingebettete Systeme (embedded systems) zum Einsatz kommen, finden sie zunehmend auch Anwendung in Produkten für Heimanwender, wie beispielsweise im Bereich Smart Home, Unterhaltung oder Fitness. Diese eingebetteten Geräte sind oft direkt mit internen Netzwerken verbunden oder stehen in Verbindung mit dem Internet, was sie anfällig für Sicherheitslücken (Schwachstellen) macht. In diesem Kontext spricht man auch vom Internet of Things (IoT) sowie von cyber-physischen Systemen (CPS). Zu den typischen Anwendungsbereichen gehören:

  • Industrie 4.0, Prozess-IT (Systeme zur Steuerung und Überwachung von Maschinen und Anlagen im Bereich Produktion und Logistik)
  • Automotive (Fahrzeuge, Steuergeräte, Head-Units oder Kombi-Instrumente, Sensorik, Fahrerassistenzsysteme, etc.)
  • Heimanwender-Produkte (Smart Home Produkte, Büro- und Netzwerktechnik, Multimediasysteme, Haushaltsgeräte, Heimautomatisierung und Überwachung, elektronische Sport- und Fitnessgeräte, etc.)
  • Gesundheits- und Medizintechnik (Klinische Geräte, Bildgebesysteme, Systeme zur Patienten- und Vitaldatenüberwachung, etc.)
  • Gebäudeautomatisierung und Leittechnik

Mit der stark voranschreitenden Vernetzung von eingebetteten Systemen ergibt sich auch eine Vielzahl an neuen Bedrohungen und Sicherheitsrisiken für die Betreiber und Anwender dieser Systeme. Durch den physischen Kontext stellen Sicherheitsrisiken insbesondere für die Anwender oftmals auch eine direkte Bedrohung der Gesundheit und der physischen Sicherheit dar.

placeholder for background/embedded.jpg

Ziel

Identifikation von Schwachstellen in IoT-Geräten oder anderen eingebetteten Systemen und Bewertung des Risikos hinsichtlich spezifischer Bedrohungsszenarien

Fragestellung

Wie sicher ist das eingebettete System und was können externe Angreifer bzw. böswillige Benutzer und Mitarbeiter im schlimmsten Fall erreichen?

Scope

IoT-Geräte oder andere eingebettete Systeme inkl. der Hardware und Schnittstellen

Ablauf eines Embedded Security Assessments: Methodik & Vorgehen

Bei einem Embedded Security Assessment wird sowohl die Hardware als auch die Software des eingebetteten Systems betrachtet und hinsichtlich vorhandener Schwachstellen analysiert. Dabei nimmt der Prüfer die Perspektive externer Angreifer und auch privilegierter Benutzer ein. Beispiele für Angriffsversuche reichen vom Auslesen von Speicherchips, über Man-in-the-Middle-Angriffe, bis hin zum Eindringen in die Systeme durch das Ausnutzen von Schwachstellen in exponierten Schnittstellen.

Die Implementierung von Sicherheitsmaßnahmen in den gesamten Lebenszyklus der Embedded Systems ist notwendig, um die Cybersicherheit zu gewährleisten. Testing sollte in den Softwareentwicklungsprozess integriert werden, um sowohl die Hardware als auch die Kommunikation mit externen Komponenten und Backend-Diensten zu prüfen und auf potentielle Schwachstellen zu testen.

Grundsätzlich erfolgt das Assessment mit dem Ansatz einer möglichst umfassenden Prüfung. Abhängig von der Art der Anwendung bzw. des Systems und der relevanten Bedrohungen ist jedoch auch ein risikobasierter Ansatz möglich (vergleichbar mit einem Penetrationstest ). Dabei wird der Fokus auf besonders sicherheitskritische bzw. gefährdete Bereiche gerichtet, wobei sich der Prüfungsumfang aus dem im Vorfeld vereinbarten Zeitbudget ergibt.

Kernbestandteile eines SCHUTZWERK Embedded Security Assessments

Das Embedded Security Assessment umfasst üblicherweise folgende Punkte:

  • Prüfung der Hardware
  • Prüfung der Firmware und Betriebssysteme sowie vorhandener Update-Prozesse
  • Prüfung spezieller Sicherheitsmaßnahmen
  • Prüfung kryptographischer Verfahren
  • Prüfung SoC-spezifischer Features
  • Prüfung der Kommunikation innerhalb eines eingebetteten Systems
  • Prüfung der Kommunikation mit externen Komponenten und Backend-Diensten
  • Prüfung von passiven und aktiven Seitenkanalangriffen
  • Prüfung der Anwendungsebene
  • Dokumentation inklusive Risikobewertung und Maßnahmenbeschreibung

Prüfbereiche & Methoden eines Embedded Security Assessments

Klicken Sie auf ein Thema, um mehr über den jeweiligen Prüfansatz zu erfahren.

Bei der Hardwareanalyse werden die Leiterplatte (PCB) und ihre Komponenten physisch untersucht. Dies umfasst die visuelle Inspektion und Identifikation von Chips, das Nachverfolgen von Signalpfaden sowie das Probing von Kommunikationsbussen wie UART, SPI, I2C oder JTAG. Zugängliche Debug- und Diagnoseschnittstellen wie JTAG oder SWD sind besonders kritisch — wenn sie aktiviert oder unzureichend geschützt bleiben, ermöglichen sie die vollständige Kontrolle über den Prozessor, einschließlich Speicherauslesen, Firmware-Extraktion oder Laufzeitmanipulation. Unsere Experten setzen spezialisierte Werkzeuge ein, um diese Schnittstellen zu identifizieren, darauf zuzugreifen und zu bewerten, ob angemessene Debug-Schutzmechanismen implementiert sind.

Eingebettete Geräte speichern sensible Daten wie kryptographische Schlüssel, Zugangsdaten, Konfigurationsparameter und proprietäre Firmware auf nichtflüchtigem Speicher (z. B. Flash, eMMC oder EEPROM). Unsere Prüfung bewertet, ob diese Daten im Ruhezustand angemessen geschützt sind. Hierbei wird untersucht, ob Verschlüsselung auf sensible Partitionen angewendet wird, ob Schlüsselmaterial in dedizierten Secure Elements oder Hardware-Sicherheitsmodulen (HSMs) statt in zugänglichem Flash-Speicher abgelegt ist und ob Ausleseschutzmechanismen (z. B. Chip-Level Read Protection oder Secure Fuses) korrekt konfiguriert sind.

Darüber hinaus bewerten wir, ob Datenreste aus vorherigen Operationen oder Firmware-Versionen wiederhergestellt werden können und ob physischer Zugriff auf Speicherchips (z. B. über Chip-Off oder direktes Bus-Probing) die implementierten Schutzmaßnahmen umgehen kann. Die sichere Datenspeicherung ist auch eine zentrale Anforderung des CyberResilienceAct(CRA) , der den Schutz gespeicherter Daten in Produkten mit digitalen Elementen vorschreibt.

Die Firmware-Analyse umfasst die Extraktion der auf dem eingebetteten Gerät laufenden Software und deren Untersuchung auf Schwachstellen. Die Extraktionsmethoden reichen vom direkten Auslesen von Flash-Speicherchips (z. B. über SPI oder Chip-Off-Techniken) bis hin zum Abfangen von Update-Mechanismen. Nach der Extraktion wird die Firmware mittels statischer und dynamischer Analyse reverse-engineered, um hartcodierte Zugangsdaten, unsichere Konfigurationen, bekannte verwundbare Bibliotheken oder ausnutzbare Schwachstellen zu identifizieren. Sofern vorhanden, bewerten wir auch die Integrität und Sicherheit von Over-the-Air-Update-Prozessen (OTA) sowie ob Firmware-Images ordnungsgemäß signiert und verschlüsselt sind.

Ergänzend führen wir auf Wunsch eine SBOM-Analyse (Software Bill of Materials) durch. Sofern eine SBOM bereitgestellt wird, nutzen wir diese als Basis für die Analyse. Dabei führen wir für identifizierte CVEs eine tiefgehende Erreichbarkeitsanalyse durch: Wir prüfen nicht nur das Vorhandensein einer Schwachstelle, sondern verifizieren, ob die betroffenen Funktionen im spezifischen Kontext Ihrer Firmware tatsächlich aufgerufen werden können und somit ein reales Risiko darstellen.

Viele eingebettete Systeme verwenden Linux-basierte oder Echtzeit-Betriebssysteme, die eine angemessene Härtung erfordern, um die Angriffsfläche zu reduzieren. Unsere Prüfung untersucht die Betriebssystemkonfiguration auf unnötige Dienste, zu permissive Dateisystemberechtigungen, Standard- oder schwache Zugangsdaten sowie fehlende Sicherheitsmechanismen wie ASLR, Stack Canaries oder SELinux/AppArmor-Policies. Darüber hinaus bewerten wir die Privilegientrennung, d. h. ob Prozesse mit minimal erforderlichen Rechten ausgeführt werden und ob Pfade zur Rechteausweitung existieren.

Bei Geräten mit Netzwerkanbindung prüfen wir exponierte Dienste und deren Konfigurationen. Ein gehärtetes Betriebssystem bildet eine kritische Verteidigungsschicht: Selbst wenn ein Angreifer initialen Zugriff erlangt, begrenzt eine ordnungsgemäße Härtung laterale Bewegungen und Rechteausweitung. Diese Aspekte sind auch zunehmend relevant unter dem CyberResilienceAct(CRA) , der von Herstellern verlangt, Angriffsflächen zu minimieren und Produkte in einer sicheren Standardkonfiguration auszuliefern.

Die Boot Chain ist die Abfolge von Softwarekomponenten, die beim Einschalten eines Geräts ausgeführt werden — vom initialen Bootloader bis zum Betriebssystem. Secure Boot stellt sicher, dass jede Stufe die Integrität und Authentizität der nächsten Stufe kryptographisch verifiziert, bevor die Ausführung übergeben wird. Unsere Prüfung untersucht, ob der Root-of-Trust korrekt in der Hardware verankert ist, ob die Signaturprüfung in jeder Stufe korrekt implementiert ist und ob bekannte Bypass-Techniken (wie SPI-Code-Injection bei In-Place-Execution oder das Ausnutzen von Bootloader-Schwachstellen) die Vertrauenskette umgehen können.

Seitenkanalangriffe nutzen unbeabsichtigte Informationsleckagen aus der physischen Implementierung eines Systems aus, anstatt dessen logisches Design anzugreifen. Bei der Poweranalyse messen wir den Stromverbrauch des Geräts während kryptographischer Operationen — die Variationen im Stromverbrauch können geheimes Schlüsselmaterial offenlegen. Die elektromagnetische (EM) Analyse folgt einem ähnlichen Prinzip, erfasst jedoch EM-Emissionen mittels spezialisierter Nahfeldsonden, die noch lokalisiertere und präzisere Messungen ermöglichen.

Techniken wie Simple Power Analysis (SPA), Differential Power Analysis (DPA) und Correlation Power Analysis (CPA) werden eingesetzt, um kryptographische Schlüssel aus den Messungen zu extrahieren. Unsere Blogbeiträge zu Power-Analysis-basiertemReverseEngineering , EM-SondenundCPA und statistischerModellierungvonTiming-Seitenkanälen geben einen tieferen Einblick in diese Techniken. EM-Sonden Seitenkanal-Messaufbau

Fault-Injection-Angriffe führen gezielt transiente Fehler in ein Gerät ein, um dessen Verhalten zu verändern — beispielsweise um eine Signaturprüfung zu überspringen, Zugriffskontrollen zu umgehen oder kryptographische Berechnungen zu verfälschen. Gängige Techniken umfassen Power-Glitching (kurzzeitige Unterbrechung der Versorgungsspannung), Clock-Glitching (Einspeisung fehlerhafter Taktflanken) und elektromagnetische Fault Injection (EMFI). Diese Angriffe können dazu führen, dass ein Prozessor Instruktionen überspringt, Speicher falsch liest oder fehlerhafte Berechnungsergebnisse liefert. Unsere Experten setzen Präzisions-Glitching-Equipment ein, um zu bewerten, ob das Gerät für solche Angriffe anfällig ist und ob angemessene Gegenmaßnahmen (z. B. redundante Prüfungen, Spannungsüberwachung oder Glitch-Detektoren) vorhanden sind. ChipWhisperer Glitching- und Poweranalyse-Aufbau
Moderne Systems-on-Chip (SoCs) beinhalten häufig Sicherheitsfunktionen wie Trusted Execution Environments (TEEs, z. B. ARM TrustZone oder RISC-V-Enklaven) und hardwaregestützte Speicherisolation. Unsere Prüfung bewertet, ob diese Funktionen korrekt konfiguriert sind und sensible Operationen effektiv vom Rest des Systems isolieren. Dies umfasst das Testen SoC-interner Kommunikationskanäle zwischen Sicherheitsdomänen, die Überprüfung von Speicherisolationsmechanismen gegen unautorisierten domänenübergreifenden Zugriff sowie die Schwachstellenanalyse vertrauenswürdiger Anwendungen (TAs) innerhalb der TEE. Wir bewerten auch, ob die Angriffsfläche der TEE minimiert ist und ob bekannte Schwachstellenklassen (wie CacheWarpbeiAMDSEV ) auf die spezifische Implementierung anwendbar sind.
Wir bewerten die im eingebetteten System eingesetzten kryptographischen Verfahren, einschließlich Verschlüsselungsalgorithmen, Signaturprüfverfahren, Challenge-Response-Authentifizierung und Schlüsselmanagement. Ein besonderer Fokus liegt auf der Qualität von Zufallszahlengeneratoren (RNGs), da schwache Entropiequellen das gesamte kryptographische System unterminieren können. Wir bewerten, ob Hardware-RNGs verfügbar und korrekt initialisiert sind, testen auf Verzerrungen und Vorhersagbarkeit der generierten Werte und untersuchen, ob kryptographische Schlüssel sicher gespeichert und gegen Extraktion geschützt sind. Unser Blogbeitrag zum AngriffaufeinenZufallszahlengenerator veranschaulicht diesen Prüfungsansatz in der Praxis.
Fuzzing ist eine automatisierte Testtechnik, bei der ein Zielsystem mit großen Mengen fehlerhafter oder unerwarteter Eingabedaten konfrontiert wird, um Abstürze, Instabilitäten oder andere Anomalien auszulösen, die auf Schwachstellen hindeuten. Im Kontext eingebetteter Systeme stellt Fuzzing besondere Herausforderungen dar: Quellcode und Debug-Symbole sind häufig nicht verfügbar, und die Interaktion mit dem Gerät erfolgt über eingeschränkte Kommunikationsbusse statt über standardisierte Software-Schnittstellen. Um dies zu adressieren, setzen wir Debugger-gestütztes Greybox-Fuzzing ein, das Hardware-Debug-Schnittstellen und Tracing-Funktionen nutzt, um die Code-Abdeckung zu überwachen und die Eingabegenerierung zu steuern — auch ohne Zugriff auf Quellcode. Dieser Feedback-gesteuerte Ansatz exploriert systematisch Firmware-Codepfade, die durch Blind-Fuzzing oder manuelle Tests nicht erreicht werden. Unsere Blogserie zum EmbeddedFuzzingmitLauterbachTRACE32 bietet weitere technische Details zu diesem Ansatz.
Eingebettete Geräte stellen zunehmend Schnittstellen auf Anwendungsebene bereit, darunter webbasierte Administrationsoberflächen, REST-APIs, mobile Companion-Apps oder Kommandozeilenschnittstellen über serielle Konsolen. Unsere Prüfung bewertet diese Schnittstellen auf gängige Schwachstellenklassen wie Injection-Schwachstellen, Schwächen in Authentifizierung und Sitzungsmanagement, unsichere direkte Objektreferenzen und unzureichende Eingabevalidierung. Darüber hinaus untersuchen wir Backup- und Wiederherstellungsfunktionen, Datei-Upload-Mechanismen sowie über die Anwendungsebene zugängliche Firmware-Update-Schnittstellen. Wenn eingebettete Geräte Web- oder Mobilschnittstellen bereitstellen, ergänzen unsere spezialisierten Methoden für WebApplicationSecurityAssessments(WASA) und MobileApplicationSecurityAssessments(MASA) die Embedded-Prüfung. Für umfassendere netzwerkexponierte Dienste kommt unsere Penetrationstest -Methodik zum Einsatz.
Eingebettete Systeme kommunizieren sowohl intern (zwischen Chips, Prozessoren oder Sicherheitsdomänen auf der Leiterplatte) als auch extern (mit Backend-Diensten, anderen Geräten oder Benutzerschnittstellen über Feldbusse, Bluetooth, NFC, WLAN oder Mobilfunk). Unsere Prüfung analysiert diese Kommunikationskanäle hinsichtlich Vertraulichkeit, Integrität und Authentifizierung. Dies umfasst Man-in-the-Middle-Tests auf internen Bussen, Protokoll-Fuzzing sowie die Bewertung, ob Transportverschlüsselung (z. B. TLS) für externe Verbindungen korrekt implementiert ist. Wir prüfen auch, ob Kommunikationsprotokolle gegen Replay-Angriffe resilient sind und ob eine ordnungsgemäße gegenseitige Authentifizierung erzwungen wird.

Embedded Security Assessments und relevante Regulierungen & Standards

Die Sicherheit von Embedded Systemen ist Gegenstand einer Vielzahl von Regulierungen und Standards, die je nach Branche und Anwendungsbereich relevant sein können. Ein umfassendes Embedded Security Assessment berücksichtigt diese Anforderungen und hilft Ihnen, regulatorische Konformität zu erreichen:

  • Cyber Resilience Act (CRA) - Die neue EU-Verordnung stellt konkrete Anforderungen an die Cybersicherheit von vernetzten Produkten. Ein Embedded Security Assessment unterstützt Sie bei der Erfüllung dieser Anforderungen und bereitet Ihr Produkt für die Markteinführung vor. Erfahren Sie mehr zu unserer CRA-Compliance-Unterstützung und zu EU-FördermöglichkeitenfürKMU .

  • IEC 62443 - Diese Normenreihe definiert Sicherheitsstandards für industrielle Automatisierungssysteme und deckt sowohl technische als auch organisatorische Aspekte ab. Unsere Assessments werden unter Berücksichtigung dieser Anforderungen durchgeführt.

  • EU Radio Equipment Directive (RED) - Für Produkte mit Funkschnittstellen gelten spezifische Sicherheitsanforderungen gemäß EU RED. Wir prüfen die Einhaltung der relevanten Sicherheitsbestimmungen.

  • ISO/SAE 21434 - Dieser Standard für die Cybersicherheit in der Automobilindustrie definiert Anforderungen an das Cybersecurity-Management im gesamten Fahrzeug-Lebenszyklus, beispielsweise hinsichtlich einer Bedrohungs- und Risikoanalysen (TARA) oder der Verifikation von Sicherheitsmaßnahmen. Unsere EmbeddedSecurityAssessmentsfürAutomotive-Komponenten sind darauf abgestimmt und erfüllen insbesondere die Vorgaben der technischen Verifikation.

  • UNECE R 155 - Diese Regulierung enthält verbindliche Anforderungen für die Cybersicherheit in der Fahrzeugzulassung. Wir unterstützen Sie mit unserem AutomotiveSecurityAssessment bei der Einhaltung der Vorgaben während des Homologationsprozesses.

Durch die Zusammenarbeit mit unseren Experten stellen Sie sicher, dass Ihre Embedded Systeme nicht nur technisch sicher sind, sondern auch den relevanten regulatorischen Anforderungen entsprechen.

Embedded Security Assessment Ergebnisse: Risikobewertung & Maßnahmen

Als Ergebnis des Assessments erhalten Sie einen ausführlichen Abschlussbericht. Abhängig von Art und Umfang des Projekts umfasst der Abschlussbericht folgende Bestandteile:

  • Management Summary mit Zusammenfassung der Ergebnisse und des Sicherheitsniveaus
  • Beschreibung Projektablauf, Zielsetzung, Umfang und Methodik
  • Detaillierte Beschreibung der identifizierten Schwachstellen, um diese nachvollziehen und mögliche Angriffe rekonstruieren zu können (ggf. mit Proof-of-Concept-Implementierungen)
  • Detaillierte Beschreibung des iterativen Vorgehens bei der Ausnutzung verketteter Schwachstellen
  • Risikobewertung der identifizierten Schwachstellen unter Berücksichtigung des IT-Umfelds bzw. des Anwendungskontextes (Risikoeinstufung: niedrig, mittel, hoch, kritisch)
  • Beschreibung von Maßnahmen zur Behebung der Schwachstellen
  • Falls erforderlich auch eine Beschreibung von übergeordneten strategie-, konzept- und prozessbezogenen Maßnahmen oder Optimierungsvorschlägen.

Blog & News

Blogposts zu den Themen: embedded security

Blog & News Archiv

Aktuell 2025 2024 2023

Wie dürfen wir Ihnen helfen?

Rufen Sie uns an oder vereinbaren Sie direkt einen Termin

+49 731 977 191 - 0 Termin vereinbaren
Kostenfreies Erstgespräch