(Quelle: buffaloboy/Shutterstock.com)

Entwicklungsingenieure für Embedded-Systeme, die wirksame Sicherheitsmaßnahmen implementieren sollen, stehen vor zahlreichen Herausforderungen. Man muss genau wissen, was zu schützen ist, wie die Bedrohungslage aussieht und gegen welche Angriffsvektoren man sich schützen muss. Ganz zu schweigen vom zusätzlichen Druck, der sich aus der übermäßigen Berichterstattung über öffentlichkeitswirksame Sicherheitsverletzungen ergibt.

Die Sicherung von Embedded-Bauteilen ist nicht mehr optional. Mit der zunehmenden Vernetzung von Produkten gingen die primären Angriffsvektoren vom Internetverkehr aus, doch mittlerweile sind ganze eingebettete Systeme ständigen und vielfältigen Bedrohungen ausgesetzt.

Die Entwickler können verschiedene Techniken anwenden, die die Aufgabe der Systemsicherung wesentlich erleichtern. Silicon Labs ist ein Gründungsmitglied der ioXt Alliance, einer von der Industrie gegründeten Initiative, die in Zusammenarbeit mit Partnern zur Festlegung von acht Schlüsselprinzipien geführt hat. In diesem Beitrag werden wir diese Grundsätze erörtern:

• Keine Universal-Kennwörter
• Gesicherte Schnittstellen
• Bewährte Kryptographie
• Sicherheit ab Werk
• Signierte Software-Updates
• Automatisch durchgeführte Software-Updates
• Meldesystem für Schwachstellen
• Sicherheit mit Ablaufdatum

Oftmals werden Bauteile, die in großen Stückzahlen hergestellt werden, mit demselben Universal-Kennwort ausgeliefert. In der Regel wollen die Benutzer ihr neues Gerät schnell in Betrieb nehmen, weshalb viele es vernachlässigen, das Universal-Kennwort in ein neues zu ändern. Die Auslieferung jedes neuen Bauteils mit einem eindeutigen, werkseitig programmierten Kennwort ist ein einfacher erster Schritt, um es Angreifern zu erschweren, sich Zugang zu Hunderten von Bauteilen zu verschaffen oder deren Kontrolle zu übernehmen.

Jedes Mikrocontroller-basierte Gerät verfügt über eine Vielzahl von Schnittstellen und Ports, auf die entweder lokal oder aus der Ferne zugegriffen werden kann. Die primäre Applikation wird einige dieser Ports während des Betriebs und für die Kommunikation nutzen. Dennoch sind die übrigen Elemente, insbesondere diejenigen, die als externe Kommunikationsschnittstellen fungieren, zu sichern. Ebenso müssen alle IC-zu-IC-Schnittstellen, z. B. zwischen dem Mikrocontroller und einem Display-Controller, gesichert werden. Es wird empfohlen, alle Schnittstellen während der Nutzung zu verschlüsseln und zu authentifizieren.

In einer Welt offener und interoperabler Technologien ist die Verwendung branchenweit anerkannter, offener und bewährter kryptografischer Standards unerlässlich. Die Verwendung geschlossener, proprietärer kryptographischer Algorithmen wird nicht empfohlen. Die Verwendung offener kryptografischer Standards fördert die Beteiligung aller Entwickler, Ingenieure und Interessengruppen und ermöglicht eine kontinuierliche Bewertung potenzieller Schwachstellen im Hinblick auf neue Sicherheitsbedrohungen.

Wenn ein Verbraucher ein neues Gerät kauft, muss es bereits das höchstmögliche Maß an Sicherheit bieten. Die Auslieferung eines Produkts ohne oder mit nur minimalen Sicherheitsoptionen kann Angreifern den Weg ebnen, um daraus einen Vorteil zu ziehen. Der Verbraucher sollte die Erfahrung machen, dass bereits beim Auspacken alle möglichen Sicherheitsmaßnahmen aktiviert sind. Die Entwickler sollten den Verbrauchern standardmäßig Schutz bieten.

Da immer mehr Smart-Home-Geräte ausgeliefert werden, die sich automatisch „Over-the-Air“ aktualisieren können, sollte jede Aktualisierung vorrangig kryptografisch signiert werden. Auf diese Weise kann verhindert werden, dass Hacker ein Gerät mit bösartigem Code aktualisieren.

Die Verbraucher sollten nicht zu Administratoren ihrer eigenen Geräte werden und entscheiden müssen, ob sie das Software-Image eines Produkts aktualisieren wollen. Wenn eine Aktualisierung erforderlich ist, sollte sie automatisch bereitgestellt und umgesetzt werden. Außerdem sollten Aktualisierungen zu einem Zeitpunkt durchgeführt werden, zu dem sie den Betrieb des Geräts nicht beeinträchtigen. So sollte zum Beispiel eine intelligent vernetzte Waschmaschine nicht aktualisiert werden, während sie in Betrieb ist.

Oft wissen Verbraucher, die ein Problem mit ihrem Embedded-Smart-Home-Gerät haben, nicht, an wen sie sich wenden sollen. Wurde es kompromittiert? Gibt es eine neue Sicherheitslücke, die gemeldet werden sollte? Mit diesem Grundsatz verpflichten sich die Produkthersteller, den Kunden die Möglichkeit zu geben, Probleme zu melden und ihre Bedenken hinsichtlich der Produktsicherheit mitzuteilen.

Ebenso wie bei Produktgarantien, die nach dem Kauf ein Ablaufdatum haben, sollte auch der Zeitraum, in dem Sicherheitsupdates verfügbar sind, festgelegt und dem Verbraucher mitgeteilt werden. Die fortgesetzte Unterstützung eines Produkts mit Sicherheitsupdates ist mit fortlaufenden Entwicklungskosten verbunden, so dass die Verbraucher zum Zeitpunkt des Kaufs eine fundierte Entscheidung treffen können müssen. Die Hersteller haben auch die Möglichkeit, verlängerte Garantien anzubieten, um weitere Sicherheitsaktualisierungen zu ermöglichen.

Eine detaillierte Erklärung, wie wir diese Prinzipien umsetzen, finden Sie im Dokument Silicon Labs – IoT Endpoint Security Fundamentals.

Dank des IoT haben wir schon jetzt viel mehr Kontrolle über unser Zuhause, als wir uns noch vor wenigen Jahren vorstellen konnten, und dieser Trend wird sich fortsetzen. Das bedeutet, dass wir uns als Branche auf die nächste Generation von Cyber-Kriminellen vorbereiten müssen. Der hochmoderne Secure Vault von Silicon Labs wurde entwickelt, um Herstellern von vernetzten Geräten dabei zu helfen, diesen sich entwickelnden Bedrohungen zu begegnen, indem er sie vor unbefugtem Zugriff schützt und die Authentizität der Chips garantiert. Secure Vault stärkt die Produktsicherheit, ist zukunftssicher und erfüllt Sicherheitsvorschriften ohne zusätzliche Kosten oder Komplexität durch Over-the-Air-Updates.

Hier einige der herausragenden Eigenschaften von Secure Vault:
 

• Ein sicheres Geräte-Identitätszertifikat, ähnlich einer Geburtsurkunde für jeden Siliziumchip, gewährleistet Sicherheit, Authentizität und auf Bescheinigung basierende Integritätsprüfungen nach der Bereitstellung und garantiert die Authentizität des Chips während seiner gesamten Lebensdauer.  
• Die erweiterte Manipulationserkennung ermöglicht Entwicklern, geeignete Gegenmaßnahmen einzurichten, wenn beim Gerät ein unerwartetes Verhalten, wie z. B. Spannungs-, Frequenz- und Temperaturabweichungen, die auf eine Schwachstelle hinweisen, auftreten sollte.
• Eine sichere Verwaltung und Speicherung von Schlüsseln steht im Mittelpunkt des Schutzes gegen den direkten Zugriff auf ein IoT-Gerät und seine Daten. Die Schlüssel werden verschlüsselt und vom Anwendungscode isoliert und mit einem per PUF-Hardware (physikalisch nicht klonbare Funktion, PUF) erzeugten Master-Schlüssel verschlüsselt.

Die Sicherung von IoT-Systemen kann eine Herausforderung sein. Silicon Labs hat gemeinsam mit weiteren Industriepartnern die ioXt Alliance gegründet. Diese Allianz hat acht Grundsätze festgelegt, die in jeden IoT-Sicherheitsplan aufgenommen werden sollten. Diese Grundsätze sind:

• Keine Universal-Kennwörter
• Gesicherte Schnittstellen
• Bewährte Kryptographie
• Sicherheit ab Werk
• Signierte Software-Updates
• Automatisch durchgeführte Software-Updates
• Meldesystem für Schwachstellen
• Sicherheit mit Ablaufdatum