Sicherheit

TÜViT bietet neuen Evaluierungsservice für Mikrochips von eingebetteten Systemen

Der neue Evaluierungs- und Zertifizierungsansatz von TÜViT ermöglicht eine unabhängige Betrachtung des Mechanismus für Firmware-Updates und erlaubt die Zertifizierung seiner Sicherheit, ohne dabei andere Funktionalität zu berücksichtigen. Das Ergebnis ist ein Trusted Product-Zertifikat, mit dem Chiphersteller objektiv nachweisen können, dass ihr Firmware-Updater die höchsten Sicherheitsanforderungen erfüllt.

Die Firmware ist ein wichtiger Bestandteil der heutigen eingebetteten Elektronik. Ihre Authentizität und Integrität stellt einen Schlüsselfaktor dar, der die Betriebs- und Angriffssicherheit eingebetteter Systeme gewährleistet, z. B. bei intelligenten x-IoT-Produkten, die mit dem Internet verbunden werden. Obwohl Firmware-Updates die Funktionalität von Produkten auf einem Gebiet verbessern sollen, stellen sie auch den idealen Mechanismus für Angreifer dar, um ein Produkt zu hacken. Dies haben Sicherheitsforscher im Jahr 2015 demonstriert: Sie waren in der Lage, Lenkrad und Bremsen eines SUV fernzusteuern. Obwohl die originale Firmware des Fahrzeugs einen solchen Zugriff nicht erlaubt hatte, konnten die Angreifer problemlos ihre eigene, bösartige Firmware laden und erhielten so vollständigen Zugriff auf das Fahrzeug.

Aus diesem Grund hat TÜViT einen neuen Ansatz entwickelt, der es ermöglicht, den isolierten Firmware-Updater unabhängig von der eigentlichen lösungsspezifischen Firmware zu prüfen und zu zertifizieren. Das liegt daran, dass dieser Update-Mechanismus zur Hauptangriffsfläche für jedes eingebettete Produkt werden kann, wenn er nicht sorgfältig entworfen und implementiert wird.

Bestehende Zertifizierungsprogramme berücksichtigen stets die gesamte Sicherheit der produkt- oder branchenspezifischen Funktionalitäten der Komponente oder des Systems und fügen als Voraussetzung schließlich einen (sicheren) Firmware-Uploader als Teil der Zertifizierung hinzu. Dadurch wird es für Hersteller von Universalchips schwierig, ihr Produkt zertifizieren zu lassen: Während der Chipentwicklung und sogar während der Produktion ist der tatsächliche Anwendungsfall (und die entsprechende Firmware) oftmals noch nicht vollständig bekannt, doch die Chips werden für den zukünftigen Verkauf auf Vorrat hergestellt. Um die Initialisierung solcher Chips zu einem späteren Zeitpunkt zu ermöglicht, muss jedoch zumindest ein grundlegender Firmware-Updater ab Werk enthalten sein. Dieser Firmware-Updater kann nun von TÜViT geprüft und zertifiziert werden.

Um die Aspekte im Hinblick auf Markteinführungszeit und Kosten zu erfüllen, setzt der neue Evaluierungsservice von TÜViT auf ein zeitgesteuertes Evaluierungskonzept. Drei verschiedene Sicherheitsstufen (niedrig, erheblich, hoch) spiegeln das unterschiedliche Angriffspotenzial durch verschiedene Zeitspannen wider. Zusätzlich zu einigen Pflichtanforderungen kann die Evaluierung durch die Auswahl optionaler Anforderungen, z. B. Verschlüsselung von Updates oder Verwendung von sicheren Post-Quantum-Algorithmen, erweitert werden. Einzigartig am Konzept von TÜViT ist das (optionale) Hinzufügen einer Fehlerbehandlungsroutine für fehlgeschlagene Updates: Während das Abschalten bei Standard-Sicherheitshardware (z. B. Kreditkartenchips) eine sinnvolle Option darstellt, müssen eingebettete Systeme, die sicherheitskritische Funktionen steuern, möglicherweise mit eingeschränkter Funktionalität weiterarbeiten. Beispielsweise sollte weder ein Automobilsteuergerät noch ein (intelligenter) Rauchmelder aufgrund eines fehlgeschlagenen Updates aufhören zu funktionieren. Stattdessen sollte das Gerät in einen Notfunktionsmodus wechseln oder auf die zuvor verwendete Firmware zurückgreifen.

TÜViT bietet ab sofort die Prüfung und Zertifizierung von Firmware-Update-Loadern nach diesem neuen Ansatz an.

Über die TÜV Informationstechnik GmbH

Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.

Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert. TÜViT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP. Der Geschäftsbereich IT wird vertreten durch die TÜV Informationstechnik GmbH und die im Januar 2018 neu gegründete Beratungsgesellschaft TÜV NORD IT Secure Communications GmbH & Co. KG mit Sitz in Berlin.

Firmenkontakt und Herausgeber der Meldung:

TÜV Informationstechnik GmbH
Am TÜV 1
45307 Essen
Telefon: +49 (201) 8999-9
Telefax: +49 (201) 8999-888
http://www.tuvit.de

Ansprechpartner:
Verena Lingemann
Redakteurin
Telefon: +49 (201) 8999-658
E-Mail: v.lingemann@tuvit.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel