Embedded Systeme stehen im Zentrum des heutigen technologischen Ökosystems. Mit mehr als 27 Milliarden weltweit eingesetzten eingebetteten Geräten ermöglichen sie kritische Funktionen in den verschiedensten Branchen, von kritischer Infrastruktur (Wasser, Strom, Verkehrssysteme) bis hin zu medizinischen Geräten und Einrichtungen.
Moises Lorenzo-Leon, Heitec AG Moises Lorenzo-Leon, Heitec AGMoises Lorenzo-Leon, Heitec AG System Engineer im Geschäftsgebiet Elektronik
3 min
Embedded Systeme bieten Angriffsflächen, die sehr oft übersehen und unterschätzt werden.freepik
Das bedeutet aber auch,
dass ihre Exposition gegenüber Cyberbedrohungen wächst und dass sich
Cyberangriffe in einer immer komplexeren geopolitischen Situation als mächtige
Waffe erwiesen haben. Allein in Deutschland im Jahr 2025 verursachten sie
Schäden von über 250 Milliarden Euro, hauptsächlich durch Produktionsverluste
und Datendiebstahl.
Um Cyberangriffe
vorherzusehen und zu mildern ist es wichtig, die unterschiedlichen Motivationen
der Angreifer zu verstehen und die vielfältigen Wege und Techniken zu kennen,
mit denen sie in die Systeme ihrer Opfer eindringen. Mit der Zunahme von verfügbaren
Informationen und dem erweiterten Einsatz von Künstlicher Intelligenz ist es
für einen böswilligen Akteur oft nicht schwer, Cyberangriffe auf Unternehmen
oder Infrastrukturen durchzuführen, sei es aus finanziellen, politischen oder
wirtschaftlichen Gründen. Ein häufiger Angriff zur Erlangung wirtschaftlicher
Vorteile ist beispielsweise die Infektion des Zielsystems mit Ransomware, die
die Daten verschlüsselt und sie nur gegen eine Lösegeldzahlung wieder freigibt.
Politisch motivierte Cyberangriffe gegen feindliche Länder zielen meist auf
kritische Infrastrukturen, um Chaos durch die Betriebsunterbrechung
technologischer Einrichtungen zu verursachen. Bei der Industriespionage
hingegen wird durch Zugriff auf interne Unternehmensnetzwerke geistiges Eigentum
erbeutet, was für rivalisierende Unternehmen oder organisierte Gruppen von
großem Interesse sein kann. Nicht zuletzt können auch unzufriedene Mitarbeiter
eine doppelte Bedrohung darstellen, indem sie einerseits das geistige Eigentum
des Unternehmens an Dritte verkaufen oder andererseits die Operationen von
innen durch Manipulation von Software oder Hardware sabotieren.
Im Unterschied zu
aufwändig gesicherten IT-Systemen bieten Embedded Systeme eine Angriffsfläche,
die sehr oft übersehen und unterschätzt wird, nämlich der direkte Zugang zu den
Hardwarekomponenten einzelner Geräte. Offene Schnittstellen sind die am häufigsten
ausgenutzten Schwachstellen beim physischen Zugriff auf eingebettete Systeme.
Ein Hauptsicherheitsproblem in Netzwerken hingegen sind unsichere Protokolle
ohne Authentifizierung oder Verschlüsselung in ihrer Kommunikation mit
eingebetteten Systemen. Embedded Geräte, die mit unverschlüsselter Firmware
programmiert sind, erleichtern den Zugriff auf die Software des Systems und
deren Modifikation.
Durch technologische
Weiterentwicklungen lassen sich Schwachstellen bei Hardware oder Software
teilweise einfach beheben, aber weitaus komplexer sind Schwachstellen durch
menschliche Fehler oder Insider-Sabotage und erfordern einen anderen Ansatz zur
Minderung. Eine meist unterschätzte Bedrohung für eingebettete Systeme stellen
auch Angriffe auf die Lieferkette dar.
Heute hat sich die
Cyberkriminalität sowohl als lukratives Geschäft als auch als Cyberwaffe
entwickelt, die die Lebensqualität der Weltbevölkerung stören kann. Diese
Raffinesse zwingt Unternehmen, Cybersicherheit nicht nur als Option, sondern
als Teil ihrer Identität zu übernehmen, um den technologischen und normativen
Anforderungen, die die Zukunft für die Industrie bereithält, zu überleben. In
diesem Umfeld erfordert der Wettlauf um die Produktion eingebetteter Systeme,
die aktuellen und zukünftigen Herausforderungen standhalten können, die
Zusammenarbeit mit Partnern, die über Erfahrung und Fachwissen im Bereich der
Cybersicherheit verfügen.
Als proaktive Reaktion auf
die zunehmenden Herausforderungen durch Cyberangriffe auf kritische
Infrastrukturen hat die Europäische Union die NIS2-Richtlinie erstellt, die
einen einheitlichen Rahmen schafft für die Implementierung von
Sicherheitsmaßnahmen in wichtigen Unternehmen und kritischen Infrastrukturen.
Jeder Mitgliedstaat ist dafür verantwortlich, diese Richtlinie in nationales
Recht umzusetzen, um eine maßgeschneiderte Implementierung zu ermöglichen, die
mit den lokalen Rechtsrahmen übereinstimmt. Dieser Ansatz stellt sicher, dass
die Ziele der Richtlinie erreicht werden, während die unterschiedlichen
regulatorischen Umgebungen der Mitgliedstaaten berücksichtigt werden.
Cybersicherheit ist also bei der Entwicklung eingebetteter Produkte keine Option
mehr, sondern eine zwingende Anforderung für ihren Lebenszyklus, mit dem Ziel,
die Risiken im europäischen digitalen Ökosystem zu reduzieren.
Der im Dezember 2024
veröffentlichte Cyber Resilience Act (CRA) verpflichtet außerdem die Hersteller
digitaler Produkte, die Cybersicherheit bereits im Design zu verankern und
während ihres Lebenszyklus Sicherheitsupdates bereitzustellen. Obwohl der CRA für
alle digitalen Produkte verpflichtend ist, sind einige Kategorien von der
Erfüllung ihrer Anforderungen ausgenommen, da sie durch eigene strenge
Cybersicherheitsvorschriften geregelt werden. Nachdem für die CE-Zertifizierung
digitaler Produkte die Einhaltung des CRA ab Ende 2027 erforderlich sein wird,
müssen Unternehmen ihre Prozesse anpassen und in einen effektiven Schutz
übersetzen, um die Cybersicherheit in jede Phase des Produktlebenszyklus zu
integrieren.
Entsprechende Technologie
allein kann eingebettete Systeme jedoch nicht vor sich entwickelnden
Cyberbedrohungen schützen. Die Schulung zur Cybersicherheit muss ergänzend
sicherstellen, dass die Mitarbeiter mit dem Wissen ausgestattet sind, Risiken
zu erkennen, sichere Praktiken zu befolgen und effektiv auf Vorfälle zu
reagieren. Sensibilisierungsprogramme fördern dabei eine Sicherheitskultur, in
der die Einzelnen die Bedeutung regulatorischer Rahmenbedingungen wie der
NIS2-Richtlinie und des Cyber Resilience Act verstehen.
Cybersecurity in Embedded Systemen: Das HEITEC Whitepaper zum Download behandelt alle Aspekte dieses Themenbereichs.Heitec
Whitepaper: CRA in der
Praxis
Obwohl die Umsetzung des CRA eine Herausforderung für
die Entwicklung der eingebetteten Produkte der Zukunft darstellt, hat das Geschäftsgebiet
Elektronik der Heitec AG seine aktuellen Entwicklungs- und Fertigungsprozesse
auf die neuen Cybersicherheitsanforderungen vorbereitet und angepasst, um
seinen Kunden und Partnern einen qualitativ hochwertigen Service zur
Zertifizierung ihrer Produkte als CRA-konform anzubieten. Um mehr zu diesem
Themenbereich zu erfahren, gibt es von HEITEC ein Whitepaper in Deutsch und Englisch, das alle Aspekte
ausführlich behandelt und zum Download über den jeweiligen Link verfügbar ist.
