Die Firmware ist ein wichtiger Bestandteil der heutigen eingebetteten Elektronik. Ihre Authentizität und Integrität stellt einen Schlüsselfaktor dar, der die Betriebs- und Angriffssicherheit eingebetteter Systeme gewährleistet, z. B. bei intelligenten x-IoT-Produkten, die mit dem Internet verbunden werden. Obwohl Firmware-Updates die Funktionalität von Produkten auf einem Gebiet verbessern sollen, stellen sie auch den idealen Mechanismus für Angreifer dar, um ein Produkt zu hacken. Dies haben Sicherheitsforscher im Jahr 2015 demonstriert: Sie waren in der Lage, Lenkrad und Bremsen eines SUV fernzusteuern. Obwohl die originale Firmware des Fahrzeugs einen solchen Zugriff nicht erlaubt hatte, konnten die Angreifer problemlos ihre eigene, bösartige Firmware laden und erhielten so vollständigen Zugriff auf das Fahrzeug.
Aus diesem Grund hat TÜViT einen neuen Ansatz entwickelt, der es ermöglicht, den isolierten Firmware-Updater unabhängig von der eigentlichen lösungsspezifischen Firmware zu prüfen und zu zertifizieren. Denn der Update-Mechanismus kann für jedes eingebettete Produkt zur Hauptangriffsfläche werden, wenn er nicht sorgfältig entworfen und implementiert wird.
Bestehende Zertifizierungsprogramme berücksichtigen stets die gesamte Sicherheit der produkt- oder branchenspezifischen Funktionalitäten der Komponente oder des Systems und fügen als Voraussetzung schließlich einen (sicheren) Firmware-Uploader als Teil der Zertifizierung hinzu. Dadurch wird es für Hersteller von Universalchips schwierig, ihr Produkt zertifizieren zu lassen: Während der Chipentwicklung und sogar während der Produktion ist der tatsächliche Anwendungsfall (und die entsprechende Firmware) oftmals noch nicht vollständig bekannt, doch die Chips werden für den zukünftigen Verkauf auf Vorrat hergestellt. Um die Initialisierung solcher Chips zu einem späteren Zeitpunkt zu ermöglichen, muss jedoch zumindest ein grundlegender Firmware-Updater ab Werk enthalten sein. Dieser Firmware-Updater kann nun von TÜViT geprüft und zertifiziert werden.
Um die Aspekte im Hinblick auf Markteinführungszeit und Kosten zu erfüllen, setzt der neue Evaluierungsservice von TÜViT auf ein zeitgesteuertes Evaluierungskonzept. Drei verschiedene Sicherheitsstufen (niedrig, erheblich, hoch) spiegeln das unterschiedliche Angriffspotenzial durch verschiedene Zeitspannen wider. Zusätzlich zu einigen Pflichtanforderungen kann die Evaluierung durch die Auswahl optionaler Anforderungen, z. B. Verschlüsselung von Updates oder Verwendung von sicheren Post-Quantum-Algorithmen, erweitert werden. Einzigartig am Konzept von TÜViT ist das (optionale) Hinzufügen einer Fehlerbehandlungsroutine für fehlgeschlagene Updates: Während das Abschalten bei Standard-Sicherheitshardware (z. B. Kreditkartenchips) eine sinnvolle Option darstellt, müssen eingebettete Systeme, die sicherheitskritische Funktionen steuern, möglicherweise mit eingeschränkter Funktionalität weiterarbeiten. Beispielsweise sollte weder ein Automobilsteuergerät noch ein (intelligenter) Rauchmelder aufgrund eines fehlgeschlagenen Updates aufhören zu funktionieren. Stattdessen sollte das Gerät in einen Notfunktionsmodus wechseln oder auf die zuvor verwendete Firmware zurückgreifen.
TÜViT bietet ab sofort die Prüfung und Zertifizierung von Firmware-Update-Loadern nach diesem neuen Ansatz an.
Über TÜVIT
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.
Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert. TÜVIT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP.