Im Gegensatz zu klassischen Safety-Vorkehrungen sind Sicherheitsprobleme schwer in den Griff zu bekommen, denn sie sind in der Regel unerwartet und nur schwer vorhersehbar. Sicherheitsschwächen werden von unberechenbaren, intelligent agierenden Angreifern ausgespäht und genutzt.
Um dennoch innerhalb eines bestimmbaren Testzeitraums eine aussagekräftige und umfassende Einschätzung der technologischen Sicherheit zu erlangen, ist eine sehr systematische Vorgehensweise nötig. Besonders bei der Durchführung von Sicherheitsanalysen bei elektronischen Systemen, stellt z.B. die internationale Normenreihe IEC 62443 die Entwickler und Tester immer wieder vor völlig neue Herausforderungen.
Aber auch erfahrene Technologie-Sicherheitsexperten müssen sich immer wieder neue Methoden und Herangehensweisen aneignen, um praktische Tests von Elektronik effizient durchführen zu können. Hierbei reicht das Spektrum von der Analyse einer Leiterplatte über Angriffe auf Halbleiter- und Busebene, Sicherheit von Krypto-Chips, CAN-Firewalls, UDS-Fuzzing, Binäranalyse bis hin zur Analyse von Protokollen für drahtlose Schnittstellen.
Hardware-Entwickler müssen Steuergeräte dauerhaft und verlässlich gegen unbefugte Eingriffe abschirmen, dazu sind u.a. Hardware Security Module (HSM) eine unverzichtbare Basis. Durch die zunehmende Anbindung von Geräten und Fahrzeugen an das Internet (Internet der Dinge – IoT) wird die Geräte-IT angreifbarer. Sie muss sich gegen unbefugte Eingriffe mit dem Ziel der Manipulation der eingebetteten Software (z.B. Tuning) oder der Manipulation des Zugriffschutzes (z.B. Wegfahrsperre bei Fahrzeugen) schützen. Es besteht die Gefahr, dass Kriminelle über die Internetschnittstelle in die Steuerungselektronik eindringen und durch gezielte Manipulationen das Geräteverhalten ändern. Ein zu dünner Auftrag einer Lackschicht wird erst viel später bei der Qualitätsprüfung oder durch steigende Zahlen an Reklamationen offenbar. Auch Schwächen traditioneller Public-Key Infrastructure (PKI)-Lösungen sollten vermieden werden – durch die Ausrichtung auf Geräte (nicht auf Benutzer) und unter Berücksichtigung langer Lebenszyklen.
Worum geht es bei Cyber Security?
Maßnahmen zur Cyber Security sollen vor Angriffen, nicht legitimierten Eingriffen, Manipulation oder gar Zerstörung von rechnergesteuerten Systemen schützen. Das Ausspionieren von Daten, Geräten oder Prozessen und deren Sabotage soll unterbunden werden.
Cyber Security verlangt nach robusten Systemen und Komponenten.
Dass von Beginn bis Ende einer Entwicklung von Systemen und Komponenten die Anforderungen nach dem Cyber Resiliance Act – CRA – berücksichtigt und umgesetzt werden, das hat sich NTC Systems auf die Fahne geschrieben. Damit lässt sich mit überschaubarem Aufwand die Konformität sicherstellen, die erforderliche Dokumentation erstellen und am Ende ein gegen Cyber-Angriffe gewappnetes Produkt freigeben.
Absicherung programmierbarer E/E-Systeme gegen Angriffe
Es gehört viel Expertise und Erfahrung dazu, um mit geeigneten Maßnahmen und Verfahrensweisen elektrische und elektronische Systeme vor unerlaubten Angriffen zu schützen. Diesen Beitrag leistet dazu NTC Systems in sicherheitskritischen Kundenprojekten:
- Cyber Security Assessment: Identifikation der Risiken für einen Angriff und potenziellen Angriffspunkten
- Spezifikation von technischen und organisatorischen Maßnahmen zur Reduktion der Risiken
- Implementierung von Maßnahmen zur Entdeckung und Kommunikation von Angriffen
- Sicherstellung der konsequenten Umsetzung und der Dokumentation
- Definition von Maßnahmen und Prozessen zur Beobachtung der Produkte im Betrieb beim Kunden
- Spezifikation von Reaktionen und Maßnahmen bei Angriffsversuchen
Maßnahmen zu Cyber Security – Option oder Notwendigkeit?
Der Cyber Resiliance Act ist eine EU-Richtlinie, die keine unmittelbare Gesetzeswirkung entfaltet, aber sie verpflichtet die EU-Länder zur Umsetzung der Vorgaben in nationales Recht. Deshalb wird eine Verletzung entsprechender Vorgaben als Gesetzesverstoß geahndet – bei Cyber Security genauso wie bei Funktionaler Sicherheit. Neben der Abwendung drohender Strafen ermöglicht Cyber Security vor allem, ein Produkt mit zusätzlichen relevanten Qualitätsmerkmalen und einer besseren Zuverlässigkeit zu entwickeln und anzubieten. Die Integration von Kommunikationsschnittstellen für das Monitoring generiert dem Kunden einen weiteren Mehrwert.
Natürlich nutzen wir bei NTC Systems die Cyber Security-Vorgaben, um schon unsere eigenen Entwicklungsprozesse und -ergebnisse zu verbessern. Die Vorgaben sind ganz schlank in unsere bestehenden Entwicklungsprozesse integriert. Die erforderliche Analyse der eigenen Prozesse schärft den Blick. Wir erkennen die Schwächen und Lücken, die sich ggfs. bei uns eingeschlichen haben, und achten darauf, diese zu beheben und laufend dem aktuellen Stand anzupassen.
Wir sind überzeugt, dass Cyber Security heutzutage in der vernetzten Welt keine Option mehr ist, sondern bei allen und nicht nur bei kritischen Systemen Anwendung finden muss.
Lassen Sie uns über Cyber Security in Ihrem Anwendungsumfeld sprechen. Wir erläutern Ihnen gern, wie wir eine Systementwicklung angehen und mit welchen Leistungen wir Sie unterstützen können.
Fragen und Antworten rund im Cyber Security
Was bringt der Cyber Resiliance Act – CRA?
- Ziel
Erhöhung der Cybersicherheit bei Produkten mit digitalen Elementen innerhalb der EU - Fokus
Produkte wie auch digitale Dienste - Inhalt
- Sicherstellung der Resilienz gegenüber Cyberangriffen
- Essentielle Sicherheitsanforderungen, Sicherheit-by-Design, Umgang mit Schwachstellen
- Meldepflicht
Entdeckte Sicherheitsvorfälle aber auch schon Sicherheitslücken sind meldepflichtig. - Strafen
Bis zu 15 Millionen Euro oder 2,5 % des Jahresumsatzes
Mehr Details ▶ Cyber Resilience Act | Bundesamt für Sicherheit
Information Technology (IT) versus Operational Technology (OT)
- Information Technology (IT)
- Bei IT liegt der Ansatz bei Systemen zur Information und Kommunikation und das vor allem im Geschäftsbetrieb. Es geht um Server und Arbeitsplatzsysteme mit Büro-, Finanz- und Management-Anwendungen.
- IT stützt sich eher auf Informatik und Computerwissenschaft.
- Der Lebenszyklus von IT-Hardware beträgt 3-5 Jahre
- Bei IT geht es vor allem um den vertraulichen Umgang mit Daten.
- Operational Technology (OT)
- Die OT setzt bei physikalischen Prozessen in industriellen Kontrollsystemen, Steuerungen, Sensoren und Embedded Systems an.
- OT stützt sich eher auf Ingenieurswissenschaften.
- Der Lebenszyklus bei Industrieanlagen, auch nur einer Pumpe, erreicht 20-30 Jahre und oft sogar noch mehr.
- Bei OT geht es vor allem um Verfügbarkeit und Integrität der Anlagen.
Cyber Security versus Funktionale Sicherheit
Beide sind entscheidend für die Gewährleistung sicherer und zuverlässiger Systeme, aber mit unterschiedlichem Zielen:
- Cyber Security schützt Systeme vor externen Bedrohungen wie Hacking, Datenverlust, böswilliger Manipulation oder Zerstörung. Der Fokus konzentriert sich auf den Schutz vor und die Abwehr von gezielten Angriffen.
- Funktionale Sicherheit soll gewährleisten, dass technische Systeme auch bei internen Fehlern sicher funktionieren und keine Gefahr für Menschen oder Umwelt darstellen. Die Reduktion von Risiken durch Fehlfunktionen von Hardware oder Software steht im Fokus.