Sicherheitsdesign für Embedded-Systeme Embedded-Software vor Malware und Angriffen schützen
Autor / Redakteur: Gregory Rudy* / Franz Graser
Ein durchgängiges Sicherheitsdesign für Embedded-Software schützt nicht nur vor Cyber-Attacken, sondern bietet auch wirtschaftliche Vorteile – denn die Folgen eines Systemangriffs sind sehr teuer.
Ein durchgängiges Sicherheitsdesign für Embedded Systeme kann nicht nur vor Cyberattacken schützen, sondern nach der Implementierung auch wirtschaftliche Vorteile bieten.
(Bild: Green Hills Software)
Da Cyberattacken auf Netzwerke drastisch zunehmen, war der Schutz von Embedded-Systemen noch nie so wichtig. Mit steigender Vernetzung steigt auch die Gefahr von Datenschutzverletzungen, was zum Verlust von geistigem Eigentum (IP; Intellectual Property) und der Zuverlässigkeit führt. Gerade die Zuverlässigkeit ist bei Embedded-Systemen besonders wichtig wenn Endanwender sich darauf verlassen, dass Hardware und Software wie vorgesehen arbeiten soll.
Jüngste Schlagzeilen haben gezeigt, dass sich niemand auf IT-Netzwerke verlassen kann: Einrichtungen sind selbst hinter Firewalls von Unternehmen nicht mehr sicher. Daher ist ein Sicherheitsdesign erforderlich, das die reale Bedrohung durch Angreifer adressiert, nämlich deren unbeschränkten Zugriff auf Schnittstellen.
Sicherheitsdesign betrifft mehrere Abteilungen in einem Unternehmen und muss von der Führungsebene vorgegeben werden. Damit Manager die Qualität ihres Sicherheitsdesigns bewerten können, sollten sie sich die folgenden fünf Fragen stellen:
Frage 1: Verweigert das System nicht authentische Befehle?
Hacker versuchen auf zwei Arten, Zugang zu lokalen Netzwerken zu erlangen: über den Zugriff auf ein Informationssystem, das sich bereits im Netzwerk befindet oder durch Anzapfen der physikalischen Netzwerkverbindung. In jedem Fall können die Angreifer Datenpakete einsehen, die über die Netzwerkverbindung gesendet werden und dann ein Reverse Engineering der Protokolle durchführen, um schädliche Prozesse einzubringen.
Gefährdungen lassen sich vermeiden, wenn zuerst alle Endpunkte identifiziert werden, inklusive der Einrichtung, Kontrollsysteme, Nutzer und jedes anderen IT-Systems, das Daten empfängt. Steuerungssoftware sollte nur dann Befehle senden, wenn eine Authentifizierungskommunikation mit der richtigen Einrichtung stattfindet, und Einrichtungen sollten nur dann Befehle akzeptieren, nachdem der Nutzer authentifiziert wurde.
Bild 2: Endpunkte getrennt authentifizieren. Im Fall des in der Presse veröffentlichten Hacker-Angriffs auf netzwerkfähige Infusionspumpen ging die Pumpen-Software davon aus, dass jeder Befehl von einer gültigen Quelle kam. Sicherheitsdesigns sollten nie gültige Nutzer vermuten, nur weil die empfangenen Befehle als richtig erscheinen.
(Bild: Green Hills Software)
Sicherheitslücken treten auf, wenn eine Einrichtung Zugriff auf Ressourcen gewährt, ohne den Endpunkt korrekt zu authentifizieren. Sicherheitsdesigns sollten niemals gültige Nutzer vermuten oder Software steuern, nur weil die empfangenen Befehle als richtig erscheinen.
Ein gutes Beispiel ist der in der Presse veröffentlichte Hacker-Angriff auf netzwerkfähige Infusionspumpen in Krankenhäusern. Die Pumpen-Software ging davon aus, dass jeder empfangene Befehl von einer gültigen Quelle kam. Angreifer erlangten auf diese Weise Zugriff auf die Netzwerkverbindung und rekonstruierten das Protokoll durch Reverse Engineering. Damit wurde die Steuerung ausgetrickst, die dann Befehle aussendete, die möglicherweise tödliche Dosen an den Patienten verabreichen konnte.
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/b2/8bb22d038966d6d99eee1deeca6b1f7f/0108670251.jpeg "Eines Studie von BSI und Polizei zeigt: Kenntnisse zum Schutz vor Cyber-Angriffen sind bei den Bürgern vorhanden, werden jedoch noch unzureichend umgesetzt. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/a1/6ea13f4f40098a55e237f83c0c4dfd0c/0108615885.jpeg "Die Sicherheit aller Netzwerk-Ports basiert auf einem umfassenden und durchdachten Verteidigungskonzept. (Bild: xiaoliangge - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/99/3999645d1d463fe6d8d0c352ffca0cfe/0108603389.jpeg "Hacker können DLL-Mechanismen nutzen um Malware in Systeme einzuschleusen. Hier müssen auch die Entwickler der Anwendungen auf Sicherheit achten! Microsoft bietet zahlreiche Best Practices für ein sicheres Laden von Binaries. (Bild: Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/01/870133d5433d830329616b3d8e626069/0108591791.jpeg "Infolge einer DDoS-Attacke war die Website des EU-Parlaments nur noch eingeschränkt nutzbar (23. November 2022) (© Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/e9/c2e96cf9b7666b3b7398b4e7e70ca00a/0108005737.jpeg "Das Active Directory gehört zu den beliebtesten Angriffsflächen moderner Netzwerke. Zeit, den Verzeichnisdienst optimal zu schützen! (Bild: © Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/c9/f1c978290b1739309f0dd5bc42466835/0108298264.jpeg "Mit einer Incident Response-Lösung können Unternehmen ein Frühwarnsystem erhalten, das nicht nur hilft, die Folgerisiken einer Attacke zu minimieren, sondern im Idealfall Angriffe im Keim erstickt. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ed/dd/eddd8459f4f3154872ced65aa75716a2/0108423476.jpeg "Die Zukunft ist digital – und doch scheitert es bei der Digitalisierung oft noch an den scheinbar offensichtlichsten Ecken und Enden. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/ad/54/ad542075237c58bf30e9a7c483e4a849/0108012711.jpeg "Confidential Computing schützt die Daten in einer Public Cloud auch während der Verarbeitung – für die Umsetzung gibt es verschiedene Lösungsansätze. (Bild: Ivan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/f1/3ef1fa15f89906e2ac1c30ff3cfbd482/0107706203.jpeg "Storage-Administratoren und -Manager müssen im Kampf gegen Cyberkriminelle eine entscheidende Rolle spielen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/43/1b/431b74ec8365b197bfddf58dacc8624a/0108284799.jpeg "Vor dieser Frage steht jedes Unternehmen: Wie sicher ist es, sensible Daten in die Cloud zu verlagern, angesichts der damit verbundenen Sicherheits- und Datenschutzrisiken? (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/86/2f865b6ca19375e02aa8b94a94c41174/0108605583.jpeg "Eine DevSecOps-Strategie erfordert einen kompletten Kulturwandel und eine neue Priorisierung von Security innerhalb eines Unternehmens. Es gilt, sich auch auf die Prävention zu konzentrieren, nicht nur auf die Fehlerbehebung. (Bild: svetazi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/80/9a80196ff0154157a8c7f25c3c1d2c6e/0108012087.jpeg "Die über Mutual TLS realisierten Maschinenidentitäten sind zwar praktisch für Unternehmen, doch es gibt auch einige Bedenken hinsichtlich der Sicherheit. (Bild: Gerd Altmann (geralt))")
:quality(80)/p7i.vogel.de/wcms/a5/05/a50575b3fb0c1869d02f689e71dc10bb/0107577884.jpeg "Der Dependabot warnt vor neuen Schwachstellen in Dart-Paketen, die bereits verwendet werden. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/4f/a7/4fa79255c05b0c2b8c2cae4330e35350/0108213299.jpeg "Auch wenn Developer knapp sind und ihre Arbeitszeit teuer ist, sprechen viele Gründe dafür, dass man Training für Penetrationstests in ihr Curriculum aufnimmt. (Bild: ONYXprj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/a5/fca50c0650d5a3690bf2d5980ea12a0a/0108615631.jpeg "Biometrische Daten werden oft als sicherere und einfache Alternative zu Passwörtern genannt. Das Problem ist aber: Im Gegensatz zu Passwörtern können physische Merkmale nicht einfach geändert werden, wenn die Daten bei Cyberkriminellen landen. (Bild: LuckyStep - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/38/663833379728caf2c98043bbd3fc05e3/0108283892.jpeg "Immer mehr Unternehmen setzen auf „Zero Trust“. Das ist allerdings kein technisches Verfahren oder eine Software, sondern eine Sicherheitsphilosophie. (Bild: Olivier Le Moal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/ee/29ee34dee842476d0646d176f9736cc7/0108282527.jpeg "Sichereren Alternativen zu Username und Passwort blieb der große Durchbruch lange verwehrt. Jetzt scheint der Anfang vom Ende der Passwortverfahren aber unmittelbar bevorzustehen. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/cf/81cf31bbbb3274ee99ac68774a4a3d85/0108671882.jpeg "Das NIST Cybersecurity Framework dient der Identifizierung und Minderung von Risiken sowie zur Erkennung, Reaktion und Wiederherstellung nach Hacker-Angriffen. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/53/0b53bd31fdc99baaed5991056b00b44f/0104312884.jpeg "Der CIO (Chief Information Officer) ist der Leiter der Informationstechnik (IT-Leiter) eines Unternehmens. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/e7/b1e72a6b562af4677033eade53eeb197/0104312887.jpeg "Heartbleed ist eine schwerwiegende Sicherheitslücke in der Open-Source-Bibliothek OpenSSL. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ed/84/ed8425d0c54ac840520b083729887156/0106316484.jpeg "Sunburst und Supernova sind zwei Schadsoftware-Varianten, die mittels manipuliertem Source Code der SolarWinds Orion-Software beim SolarWinds-Supply-Chain-Angriff an deren Nutzer verbreitet wurden.
(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
:quality(80)/images.vogel.de/vogelonline/bdb/1962600/1962619/original.jpg "Der Azure AD-Anwendungsproxy kann Anfragen aus dem Internet annehmen und an interne Server weiterleiten. Dadurch werden Zugriffe sicherer und unkomplizierter, ohne dass Firewalls im Unternehmen angepasst werden müssen. (ra2 studio - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1908500/1908509/original.jpg "Besserer Schutz durch Zero Trust Network Access (Fortinet)")