Im April 2023 haben Netgear und Bitdefender den „2023 IoT Security Landscape Report“ vorgestellt. Hierfür haben sie weltweit 2,6 Millionen Haushalte analysiert, in denen Smart-Home-Geräte stehen, die durch die Security-Lösungen von Netgear Armor powerd by Bitdefender geschützt sind. Das Ergebnis: Bei den insgesamt rund 120 Millionen IoT-Geräten wurden im Jahr 2022 gut 3,6 Milliarden Sicherheitsereignisse verzeichnet. Jeden Tag sind im Schnitt acht Smart-Homes von Cyberattacken betroffen.
Das mit Abstand beliebteste Einfallstor ins Heimnetzwerk waren mit 52 % Smart TVs (Bild 1). Erst mit deutlichem Abstand folgen smarte Steckdosen (13 %), gefolgt von Routern (neun Prozent) und smarten Videorekordern (8 %).
Der Report führt das enorme Sicherheitsrisiko durch IoT-Geräte im Smart-Home-Bereich deutlich vor Augen. Bedenkt man außerdem, dass im Zuge des Home-Office-Schubs durch Corona neben dem Smart-TV inzwischen auch oft ein Laptop mit Unternehmensdaten im Netzwerk ist, wird klar, dass dies auch ein hohes Sicherheitsrisiko für Unternehmen darstellt. Das zeigt auch der CONCORDIA-Bericht[CS1] (Cyber security cOmpeteNCe fOr Research anD InnovAtion), für den ein europäisches Konsortium aus Universitäten und Unternehmen untersucht hat, wie sich COVID-19 auf die Cybersicherheit ausgewirkt hat. Demnach greifen Cyberkriminelle zu bewährten Modi Operandi und Malware-Familien, um die durch die Pandemie verursachten gesellschaftlichen Entwicklungen, Notfallleistungen und Versorgungsengpässe auszunutzen. Das betreffe auch die verstärkte Nutzung digitaler Dienste und schwach geschützter privater IT-Geräte wie WLAN-Router in Smart-Home-Umgebungen.
Zu einem ähnlichen Ergebnis kommt der Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) „Die Lage der IT-Sicherheit in Deutschland 2022[CS2] “: „Insgesamt spitzte sich im Berichtszeitraum [1.6.2021 - 31.5.2022] die bereits zuvor angespannte Lage weiter zu. Die Bedrohung im Cyber-Raum ist damit so hoch wie nie.“
Damit steigt die Verantwortung der Hersteller von Geräten, die mit dem Internet verbunden sind, ausreichende Sicherheitsmechanismen in ihre Produkte zu integrieren.
Anforderungen der Funkanlagen-Richtlinie
Für fast alle Geräte, die „funken“ gilt – egal ob Sender oder Empfänger – die 2014/53/EU: Funkanlagen-Richtlinie bzw. Radio Equipment Directive (RED). Sie bildet den Regelungsrahmen für die Bereitstellung auf dem Markt und die Inbetriebnahme von Funkanlagen mit dem Ziel, einen freien Warenverkehr innerhalb der Mitgliedstaaten zu ermöglichen. Zu den Vorgaben gehören zum Beispiel „ein angemessenes Niveau an elektromagnetischer Verträglichkeit“ oder „eine wirksame und effiziente Nutzung von Funkfrequenzen zur Vermeidung funktechnischer Störungen“. Außerdem dürfen die Gesundheit und Sicherheit der Nutzerinnen und Nutzer nicht gefährdet werden. Diese Grundanforderungen der RED bezogen sich bisher allerdings nur auf Geräte, die nicht selbst mit dem Internet verbunden sind.
Aus diesem Grund hat die EU-Kommission die RED im Januar 2022 um die Artikel 3.3 d), e) und f) erweitert. Diese behandeln den Schutz des Netzwerks, den Schutz der Nutzerinnen und Nutzer und den Schutz vor Betrug bei folgenden Produkten:
3.3 d) Alle Geräte, welche direkt oder indirekt selbst mit dem Internet kommunizieren können
3.3 e) Alle Geräte, welche persönliche Daten verarbeiten können:
- Geräte, die mit dem Internet verbunden sind
- Funkgeräte zur Kinderbetreuung oder Spielzeug (Directive 2009/48/EC9)
- Tragbare Funkgeräte (Wearables)
3.3 f) Alle mit dem Internet verbundenen Geräte, welche zum Geldtransfer, für Geldwerte oder virtuelle Währungen verwendet werden.
Für diese Produktgruppen sind eine Reihe an Sicherheitsanforderungen definiert. Hier einige Beispiele: Produkte, die unter Artikel 3.3 d) fallen, müssen z. B. standardmäßig und konstruktionsbedingt gesichert und zum Zeitpunkt des Inverkehrbringens mit der aktuellsten Soft- und Hardware ausgestattet sein. Bei allen Geräten, die im Artikel 3.3 e) definiert sind, müssen z. B. während des Systemstarts Soft- und Firmware-Integritätsprüfungen durchgeführt werden, um Benutzer und Benutzerinnen im Falle einer Beeinträchtigung rechtzeitig warnen zu können. Bei Geräten, die zu 3.3 f) zählen, muss u. a. sichergestellt sein, dass nur die entsprechenden Zugriffsrechte auf die Finanzdaten vergeben sind. Für alle Produkte, die zu einer dieser drei Kategorien gehören, gilt außerdem, dass sämtliche gespeicherten, übermittelten, empfangenen oder sonst verarbeiteten Zugangsdaten vor unbefugter Speicherung, Verarbeitung, Zugriff oder Offenlegung geschützt sein müssen. Es gibt jedoch auch internetfähige Geräte, auf die sich diese RED-Artikel nicht beziehen: Für Medizinprodukte und In-vitro-Diagnostika, Zivilluftfahrt, elektronische Straßenmautsysteme sowie Kraftfahrzeuge und Anhänger inklusive der Systeme, Bauteile und selbstständigen technischen Einheiten für die Sicherheit und den Schutz der Fahrzeuginsassen und Verkehrsteilnehmer gelten andere EU-Regulierungen.
Im April 2023 wurde zwar beschlossen, dass das Inkrafttreten der RED um ein Jahr verschoben wird, doch Hersteller der betroffenen Produkte sollten sich dennoch frühzeitig darauf einstellen. Denn Produkte, die ab dem 1. August 2025 neu zugelassen werden oder neu auf den EU-Markt kommen, müssen auf die neuen Cybersicherheitsanforderungen, wie sie in den RED-Artikeln formuliert sind, getestet werden. Alle zugelassenen Prüfstellen in der EU sind hier[CS3] öffentlich gelistet. Außerdem müssen die Hersteller die Einhaltung der delegierten Verordnung EU 2022/30 (eine Ergänzung zur Richtlinie 2014/53/EU des Europäischen Parlaments) erklären. Das gilt nach der oben genannten Klassifizierung insbesondere für Smartphones und Laptops, aber auch für verschiedene Smart-Home- und Smart-Building-Anlagen, etwa Alarmanlagen und Kameras, aber auch Geräte zur Überwachung von Babys oder Wearables mit sensiblen Daten zum Standort oder zur Gesundheit. Anhand der entsprechenden Prüfspezifikation „Cyber Security for Consumer Internet of Things: Conformance Assessment of Baseline Requirements“ (ETSI TS 103 701) können Hersteller mittels Selbsttest oder durch eine Prüfstelle testen lassen, ob ihre Produkte die Anforderungen und Empfehlungen der Norm erfüllen.
Security-ICs erhöhen die Sicherheit
Die meisten Geräte sind mit Schutzmechanismen und Verschlüsselungstechnologien ausgestattet, die durch Software realisiert werden. Zusätzlichen Schutz mit erhöhter Sicherheit gegen Cyberattacken bietet die Integration eines Hardware-Security-ICs (Bild 2). Diese ICs sind manipulationssicher und gehärtet gegen physische Attacken durch aktive Abschirmung, einem zufälligen Layout und Mechanismen, die bei ungewöhnlichen Vorgängen sofort den Betrieb unterbrechen. Sie ermöglichen außerdem sicheres Booten und Firmware-Updates und liefern damit einen Beitrag zur Endpoint-Security. Darüber hinaus sorgen die separaten Security-Chips für eine höhere Leistung des MCU, da dieser sich nicht mehr um die aufwändige Ent- und Verschlüsselung kümmern muss.
Rutronik bietet mit den OPTIGA-Serien solche Hardware-Security-Chips von Infineon an. Der Hersteller ist auch an der Arbeitsgruppe des Comité Européen de Normalisation Electrotechnique (CENELEC, Europäisches Komitee für elektrotechnische Normung) beteiligt, die für die Standardisierung der RED-Sicherheits- und Datenschutzfunktionen verantwortlich ist. Dadurch ist Infineon bereits gut gerüstet, um selbst die Vorschriften einzuhalten. Zudem wird das Unternehmen seine Kunden dabei unterstützen, einerseits durch die OPTIGA-Produktfamilien, andererseits werden auch die in der EU verkauften kommerziellen Produkte von Infineon, wie WLAN- und Bluetooth-Module, die RED-Anforderungen rechtzeitig zur Gesetzesänderung erfüllen.
Die OPTIGA Trust-Serie beinhaltet schlüsselfertige Produkte für kleinere Plattformen sowie programmierbare Lösungen, die individuelle Anforderungen im Bereich der embedded-Authentifizierung und Markenschutz erfüllen.
Die OPTIGA Trusted Platform Module- (TPM) Serie umfasst standardisierte Sicherheitscontroller, die die Integrität und Authentizität von Geräten und Systemen in embedded-Netzwerken schützt. Die Controller basieren auf bewährten Technologien und unterstützen den neuesten Trusted Computing Group (TCG) TPM 2.0 Standard sowie besondere eingebettete Zertifikate, Sicherheitszertifikate (CC und FIPS) und verschiedene Verschlüsselungsalgorithmen. Zudem sind sie manipulationssicher. Damit gewährleisten sie die sichere Speicherung von Sicherheitsschlüsseln, Zertifikaten und Passwörtern und bieten eine dedizierte Verwaltung der Sicherheitsschlüssel.
Die OPTIGA Connect-Serie besteht aus schlüsselfertigen embedded-SIM- (eSIM) Lösungen, einerseits für Geräte im Consumer-Bereich, andererseits für IoT-Geräte mit Mobilfunkverbindung. OPTIGA Connect Consumer ist eine eSIM-Lösung speziell für kleine Geräte, wie Smart-Watches oder Fitnesstracker. Diese authentifiziert sie sicher beim abonnierten Netzbetreiber. Durch Remote-SIM-Provisioning (RSP) können Nutzer und Nutzerinnen ihren Mobilfunkanbieter drahtlos ändern oder hinzufügen, sofern das Gerät mit einem lokalen Profilassistenten (LPA) ausgestattet ist. Die Consumer-Lösung entspricht vollständig den neuesten Spezifikationen der Global System for Mobile Communications Association (GSMA) (SGP.22 V2.2.2) und Trusted Connectivity Alliance (eUICC Profile Package V2.3.1).
Die OPTIGA Connect IoT Serie verfügt über ein vorinstalliertes GSMA-kompatibles Betriebssystem und vorintegrierte Konnektivitätsfunktionen. Durch die Zusammenarbeit von Infineon mit Tata Communications bietet sie eine globale Mobilfunknetzabdeckung (2G, 3G, 4G, CATM und andere LTE-Dienste) mit mehr als 640 Netzen in 200 Ländern. Zudem beinhaltet die OPTIGA Connect IoT-Serie eine nach der Common Criteria EAL5+ zertifizierte eSIM-Hardware.
Für das spätestens seit Corona boomende kontaktlose Bezahlen mittels Kreditkarte, Smartphone oder sogar schon per Armband oder Ring, hat Infineon mit der SECORA-Produktfamilie sichere Near Field Communication- (NFC) Lösungen im Portfolio (Bild 3). Zur Familie gehören vier Lösungen: Eine Java-Card-Lösung mit erstklassiger Sicherheit für die Implementierung von Blockchain-Systemen sowie eine einsatzbereite Java-Card-Lösung, die für elektronische Identifizierungsanwendungen (eID) optimiert ist, eine Systemlösung für Smart-Wearables mit kontaktlos gesicherten Zahlungs-, Ticket- oder Zugangsanwendungen über NFC sowie eine flexible Lösung mit einem kompletten Portfolio für alles von Kontaktkarten bis zu intelligentem Zahlungszubehör.
Weitere Informationen und eine direkte Bestellmöglichkeit finden Sie auch auf unserer e-Commerce-Plattform www.rutronik24.com.
Bleiben Sie auf dem Laufenden, indem Sie unseren Newsletter abonnieren.
