Der Cyber Resilience Act (CRA), der vor kurzem (Oktober 2024) vom EU-Rat verabschiedet wurde, setzt neue Sicherheitsanforderungen für digitale Produkte. Es wird mit der aktuellen Gesetzgebung ein direkter Bezug zur CE-Kennzeichnung gemacht, da die Einhaltung der im CRA festgelegten Cybersicherheitsanforderungen künftig Voraussetzung für die CE-Zertifizierung digitaler Produkte sein wird. Die CE-Kennzeichnung signalisiert, dass ein Produkt den geltenden EU-Richtlinien entspricht und sicher auf den Markt gebracht werden darf. Mit dem CRA werden nun auch Cybersicherheitsaspekte zu einem integralen Bestandteil dieser Zertifizierung.
Erstaunlich ist dabei der enge Zeitrahmen. Laut der offiziellen Pressemitteilung des EU-Rats wird es für Hersteller und Unternehmen ab sofort eine Übergangsfrist von zwei Jahren geben, um die notwendigen Maßnahmen zur Einhaltung der neuen Anforderungen umzusetzen. Das bedeutet, dass die Regelungen des CRA ab 2026 verbindlich gelten. Ab Oktober 2026 müssen somit alle betroffenen Produkte, die auf den EU-Markt gebracht werden, die im CRA festgelegten Cybersicherheitsanforderungen erfüllen, um weiterhin die CE-Kennzeichnung tragen zu dürfen. Die Pressemitteilung des EU-Rats zum Cyber Resilience Act ist unter folgendem Link zu finden.
Für Hersteller von Elektronik und Embedded Systems bedeutet dies, dass sie in den kommenden zwei Jahren ihre Entwicklungs- und Produktionsprozesse anpassen müssen, um die neuen Sicherheitsstandards zu integrieren. Bisher bezog sich die CE-Kennzeichnung in erster Linie auf physische Sicherheitsaspekte, wie elektrische Sicherheit oder gesundheitliche Unbedenklichkeit. Mit dem CRA kommen neue Anforderungen hinzu, die sicherstellen, dass digitale Produkte, die Software- und Hardware-Komponenten enthalten, auch gegen Cyberangriffe geschützt sind. Hersteller müssen zudem künftig nachweisen, dass sie Maßnahmen zur Gewährleistung der IT-Sicherheit getroffen haben, bevor sie das CE-Zeichen anbringen dürfen. Dieser letzte Punkte betrifft oft vor allem die IT und OT von Unternehmen, zu denen in den vergangenen Jahren viele Unternehmen bereits aktiv wurden.
Bedeutung des CRA für Elektronik in Produkten und Geräten
First Things first: Hersteller von Geräten, die auf Mikrocontrollern und Mikroprozessoren basieren müssen etwas tun! Ein zentraler erster Handlungsrahmen ist die Durchführung eines Threat and Risk Assessment (TARA), um potenzielle Sicherheitslücken zu identifizieren und zu bewerten. Hersteller müssen bewerten, welche Angriffe und Exploits unabhängig der Motive eines Angreifers auf das Gerät zukommen können. Im Fokus sind dabei die programmierbare Hardware sowie Kommunikationsschnittstellen auf der Platine.
Herstellern fehlt dazu häufig eine Maßnahme, zur strukturierten Analyse von Angriffsszenarien. Viele Methoden aus der IT-Sicherheit sind jedoch auch zum Teil mit Abstrichen für Elektronik gut anwendbar. Zum Beispiel kann die Klassifizierung von Angriffsszenarien, beispielsweise durch die STRIDE-Methode vorgenommen werden. Diese deckt typische Bedrohungen wie Spoofing, Manipulation (Tampering), Leugnen von Handlungen (Repudiation), unautorisierte Informationsweitergabe (Information Disclosure), Denial-of-Service-Angriffe und unrechtmäßige Privilegienerhöhung ab.
Die Schutzmaßnahmen sind pro Gerät individuell und sollten ausgleichend unter Berücksichtigung von Engineering Costs und den möglichen Auswirkungen (single device / many devices / all devices) getroffen werden. Nichtsdestotrotz gibt es Must-Haves für Hersteller von Geräten mit Elektronik und Embedded Systems, die sinnvollerweise jeder R&D-Bereich in den kommenden Jahren auf der Agenda haben sollte.
Die vier Säulen von Cyber Resilience in Embedded Systems
Embedded Systems sind praktisch in allen kommerziell verfügbaren Produkten wie Industriesensoren, Steuerungstechnik oder Kamerasystemen vorhanden. Selbst Haushaltsgeräte wie Waschmaschinen und Kaffeevollautomaten beinhalten Steuerungen auf Basis von Mikrocontrollern. Damit geraten praktisch alle Inverkehrbringer und Hersteller "smarter" Systeme in die Pflicht Maßnahmen zu erwirken.
Die vier Säulen von sicheren Embedded Systems sind die folgenden:
- Zero-Trust-Kommunikation
- Anti-Denial-of-Service-Maßnahmen
- sichere Updates
- Schlüssel-Management
Bausteine sicherer Embedded Systems
Die Umsetzung von Zero-Trust-Kommunikation ist ein Ansatz um Spoofing-Angriffe zu vermeiden. Spoofing beschreibt den Versuch, falsche Identitäten oder gefälschte Daten in Form von Messages in das System einzuspeisen. Um dies zu verhindern, wird auf das Zero-Trust-Prinzip gesetzt, bei dem grundsätzlich jeder Kommunikationsversuch als potenziell unsicher gilt. Es gibt zwei wesentliche Ansätze, um dies umzusetzen. Der erste ist die vollständige Verschlüsselung der Nachrichten, sodass nur autorisierte Teilnehmer die Kommunikation lesen können. Der zweite Ansatz ist das Secure Hashing, bei dem nicht manipulierbare kryptografische Hashes erstellt werden, um die Integrität der Nachrichten zu gewährleisten.
Der Schutz vor Denial-of-Service-Angriffen ist insbesondere bei schwachem Threading-Verhalten ein Problem. DoS-Angriffe zielen darauf ab, Systeme durch Überlastung funktionsunfähig zu machen, was besonders für eingebettete Systeme auf kritischen Kommunikationsbussen wie ModBus, CAN, Profibus oder RS485 gefährlich ist. Ein Angreifer könnte durch das Eindringen in den Bus diese Systeme mit einer Überlast an Daten „flooden“ und außer Gefecht setzen. Dies gilt für sichere, wie auch unsichere Versuche. Anti-DoS-Mechanismen müssen sicherstellen, dass solche Angriffe frühzeitig erkannt und abgewehrt werden.
Darüber hinaus müssen Systeme über sichere Mechanismen verfügen, um Software-Updates zu erhalten und sicherzustellen, dass nur autorisierte und intakte Software verwendet wird. In Embedded Systems werden Updates oft unverschlüsselt oder ohne ausreichende Schutzmaßnahmen übertragen, was ein erhebliches Risiko darstellt. Flash-Images sollten daher stets verschlüsselt übertragen werden, um Manipulationen zu verhindern. Kryptografisch relevante Funktionen sollten in gesicherten TrustZones oder verschlüsselt im Flash-Speicher abgelegt werden. Zusätzlich sorgt ein sicheres Bootverfahren dafür, dass das System nur von vertrauenswürdiger Software startet.
Final ist das Management kryptografischer Schlüssel auf Build- und Gerätseite enorm wichtig. Diese Schlüssel werden zur Verschlüsselung und Authentifizierung der Daten verwendet und müssen sicher sowohl auf dem Gerät als auch auf der Entwicklungsseite gespeichert werden. Auf Entwicklungsseite erfolgt die sichere Verwaltung, die den Zugang zu den Schlüsseln stark einschränken. Zur sicheren Übertragung der Schlüssel über Bus-Protokolle müssen verschlüsselte und authentifizierte Mechanismen verwendet werden, um sicherzustellen, dass selbst in unsicheren Umgebungen keine unbefugte Partei auf die Schlüssel zugreifen kann.
In dieser Artikelserie werden wir auf diese Maßnahmen gesondert eingehen und einzelne Punkte detailliert erklären.
Unsere Artikelserie zu Cyber Resilience von Mikrocontrollern
- Der Cyber Resilience Act und die Bedeutung für eingebettete Elektronik
- Spoofing- und Tampering-Attacken in Bussystemen
- Zero-Trust-Kommunikation auf Low-Level-Bussystemen
- Anti-Denial-of-Service-Maßnahmen für Peripherien
- Sichere Updates über Kommunikationsbusse (ab 08.11.2024)
- Lokales und gerätebezogenes Schlüssel-Management (ab 22.11.2024)
Kommentieren