Cyber Resilience Act Embedded Software, Artikelserie Teil 1: Bedeutung und Einordnung

Der Cyber Resilience Act (CRA), im Oktober 2024 vom EU-Rat verabschiedet, definiert erstmals verbindliche Cybersicherheitsanforderungen für digitale Produkte und verknüpft diese direkt mit der CE-Kennzeichnung. Der Cyber Resilence Act hat damit für Hersteller von Embedded Software und Embedded Systems eine strukturelle Änderung parat: Cybersecurity ist kein optionaler Bestandteil mehr, sondern Voraussetzung für den Marktzugang. Produkte mit Softwareanteil – insbesondere firmwaregetriebene Systeme auf Mikrocontrollern und Mikroprozessoren – müssen künftig nachweisen, dass Sicherheitsanforderungen über den gesamten Lebenszyklus hinweg berücksichtigt wurden. Wie der Cyber Resilience Act Embedded Software verändert, erläutert dieser Artikel.

Dieser Artikel ist Teil unserer „Cyber Resilience Act Embedded Software“-Artikelserie. Folgende sind bereits erschienen:

  • Bedeutung und Einordnung (diese Seite)
  • Spoofing- und Tampering-Attacken in Bussystemen
  • Zero-Trust-Kommunikation auf Low-Level-Bussystemen
  • Anti-Denial-of-Service-Maßnahmen für Peripherien
  • Sichere Updates über Kommunikationsbusse

Der CRA adressiert nicht isolierte IT-Systeme, sondern physische Geräte mit integrierter Software – also klassische Embedded Designs. Die Einhaltung dieser Anforderungen wird ab Oktober 2026 verpflichtend. Hersteller haben damit ein begrenztes Zeitfenster von zwei Jahren, um Entwicklungsprozesse, Architekturentscheidungen und Sicherheitskonzepte so anzupassen, dass sowohl Software-Integrität als auch Systemresilienz gegenüber Angriffen nachweisbar sind. Die Pressemitteilung des EU-Rats zum Cyber Resilience Act ist unter folgendem Link zu finden.

Für Hersteller von Elektronik und Embedded Systems bedeutet dies, dass sie in den kommenden zwei Jahren ihre Entwicklungs- und Produktionsprozesse anpassen müssen, um die neuen Sicherheitsstandards zu integrieren. Bisher bezog sich die CE-Kennzeichnung in erster Linie auf physische Sicherheitsaspekte, wie elektrische Sicherheit oder gesundheitliche Unbedenklichkeit. Mit dem CRA kommen neue Anforderungen hinzu, die sicherstellen, dass digitale Produkte, die Software- und Hardware-Komponenten enthalten, auch gegen Cyberangriffe geschützt sind. Hersteller müssen zudem künftig nachweisen, dass sie Maßnahmen zur Gewährleistung der IT-Sicherheit getroffen haben, bevor sie das CE-Zeichen anbringen dürfen. Dieser letzte Punkte betrifft oft vor allem die IT und OT von Unternehmen, zu denen in den vergangenen Jahren viele Unternehmen bereits aktiv wurden.

Eigenarten von Embedded Systems

Embedded Systems sind funktionsgebundene Recheneinheiten, die spezifische Aufgaben innerhalb eines technischen Gesamtsystems übernehmen, typischerweise in Form von Mikrocontroller- oder Mikroprozessor-basierten Architekturen – entweder als Bare-Metal-Implementierung oder auf Basis eines RTOS. Ihr Verhalten ist deterministisch ausgelegt, da sie häufig zeitkritische Steuerungs- und Regelungsfunktionen übernehmen. Im vernetzten Einsatz, etwa über CAN, Ethernet oder industrielle Feldbusse, werden sie Teil komplexer Systemlandschaften und damit auch potenziell angreifbar. Daraus ergibt sich eine enge Kopplung von funktionaler Sicherheit (Safety) und Cyber Security (Security): Während Safety sicherstellt, dass das System auch bei Fehlern definierte Zustände einnimmt, adressiert Security gezielte Manipulationen von außen. Da Embedded Systems direkt mit physikalischen Prozessen interagieren, können erfolgreiche Angriffe oder Fehlfunktionen reale Schäden verursachen – von Systemausfällen bis hin zu kritischen Gefährdungen von Mensch und Infrastruktur. Entsprechend liegt der Fokus auf kontrollierbarem Systemverhalten, robuster Architektur und der Absicherung aller relevanten Schnittstellen.

Cyber Resilience Act Annex III - hier werden insbesondere Produktkategorien aufgeführt, die als sicherheitsrelevant eingestuft sind und damit strengeren Anforderungen unterliegen.
Cyber Resilience Act Annex III

Im Cyber Resilience Act Annex III werden insbesondere Produktkategorien aufgeführt, die als sicherheitsrelevant eingestuft sind und damit strengeren Anforderungen unterliegen. Dazu gehören:

sowie zusätzlich:

  • CPUs
  • „Secure Elements“
  • Betriebssysteme
  • Industrielle Firewalls

Diese Komponenten bilden zentrale Bausteine vernetzter Systeme und sind aufgrund ihrer Funktion besonders relevant für die Cyber Security und Systemintegrität.

Cyber Resilience Act für Elektronik in Produkten und Geräten

First Things first: Hersteller von Geräten, die auf Mikrocontrollern und Mikroprozessoren basieren müssen etwas tun!

TARA und STRIDE

Ein zentraler erster Handlungsrahmen ist die Durchführung eines Threat and Risk Assessment (TARA), um potenzielle Sicherheitslücken zu identifizieren und zu bewerten. Hersteller müssen bewerten, welche Angriffe und Exploits unabhängig der Motive eines Angreifers auf das Gerät zukommen können. Im Fokus sind dabei die programmierbare Hardware sowie Kommunikationsschnittstellen auf der Platine. 

Herstellern fehlt dazu häufig eine Maßnahme, zur strukturierten Analyse von Angriffsszenarien. Viele Methoden aus der IT-Sicherheit sind jedoch auch zum Teil mit Abstrichen für Elektronik gut anwendbar. Zum Beispiel kann die Klassifizierung von Angriffsszenarien, beispielsweise durch die STRIDE-Methode vorgenommen werden. Diese deckt typische Bedrohungen wie Spoofing, Manipulation (Tampering), Leugnen von Handlungen (Repudiation), unautorisierte Informationsweitergabe (Information Disclosure), Denial-of-Service-Angriffe und unrechtmäßige Privilegienerhöhung ab. 

Schutzmaßnahmen in Abhängigkeit von Auswirkungen

Die Schutzmaßnahmen sind pro Gerät individuell und sollten ausgleichend unter Berücksichtigung von Engineering Costs und den möglichen Auswirkungen (single device / many devices / all devices) getroffen werden. Nichtsdestotrotz gibt es Must-Haves für Hersteller von Geräten mit Elektronik und Embedded Systems, die sinnvollerweise jeder R&D-Bereich in den kommenden Jahren auf der Agenda haben sollte.

Die vier Säulen von Cyber Resilience in Embedded Systems

Embedded Systems sind praktisch in allen kommerziell verfügbaren Produkten wie Industriesensoren, Steuerungstechnik oder Kamerasystemen vorhanden. Selbst Haushaltsgeräte wie Waschmaschinen und Kaffeevollautomaten beinhalten Steuerungen auf Basis von Mikrocontrollern. Damit geraten praktisch alle Inverkehrbringer und Hersteller „smarter“ Systeme in die Pflicht Maßnahmen zu erwirken.

Die vier Säulen von sicheren Embedded Systems sind die folgenden:

  • Zero-Trust-Kommunikation
  • Anti-Denial-of-Service-Maßnahmen
  • sichere Updates
  • Schlüssel-Management
Cyber Resilience Act Embedded Software - 4 Pillars
Cyber Resilience Act Embedded Software – 4 Säulen der Maßnahmenplanung

Maßnahmen-Übersicht

Die Umsetzung von Zero-Trust-Kommunikation ist ein Ansatz um Spoofing-Angriffe zu vermeiden. Spoofing beschreibt den Versuch, falsche Identitäten oder gefälschte Daten in Form von Messages in das System einzuspeisen. Um dies zu verhindern, wird auf das Zero-Trust-Prinzip gesetzt, bei dem grundsätzlich jeder Kommunikationsversuch als potenziell unsicher gilt. Es gibt zwei wesentliche Ansätze, um dies umzusetzen. Der erste ist die vollständige Verschlüsselung der Nachrichten, sodass nur autorisierte Teilnehmer die Kommunikation lesen können. Der zweite Ansatz ist das Secure Hashing, bei dem nicht manipulierbare kryptografische Hashes erstellt werden, um die Integrität der Nachrichten zu gewährleisten.

Der Schutz vor Denial-of-Service-Angriffen ist insbesondere bei schwachem Threading-Verhalten ein Problem. DoS-Angriffe zielen darauf ab, Systeme durch Überlastung funktionsunfähig zu machen, was besonders für eingebettete Systeme auf kritischen Kommunikationsbussen wie ModBus, CAN, Profibus oder RS485 gefährlich ist. Ein Angreifer könnte durch das Eindringen in den Bus diese Systeme mit einer Überlast an Daten „flooden“ und außer Gefecht setzen. Dies gilt für sichere, wie auch unsichere Versuche. Anti-DoS-Mechanismen müssen sicherstellen, dass solche Angriffe frühzeitig erkannt und abgewehrt werden. 

Darüber hinaus müssen Systeme über sichere Mechanismen verfügen, um Software-Updates zu erhalten und sicherzustellen, dass nur autorisierte und intakte Software verwendet wird. In Embedded Systems werden Updates oft unverschlüsselt oder ohne ausreichende Schutzmaßnahmen übertragen, was ein erhebliches Risiko darstellt. Flash-Images sollten daher stets verschlüsselt übertragen werden, um Manipulationen zu verhindern. Kryptografisch relevante Funktionen sollten in gesicherten TrustZones oder verschlüsselt im Flash-Speicher abgelegt werden. Zusätzlich sorgt ein sicheres Bootverfahren dafür, dass das System nur von vertrauenswürdiger Software startet. 

Final ist das Management kryptografischer Schlüssel auf Build- und Gerätseite enorm wichtig. Diese Schlüssel werden zur Verschlüsselung und Authentifizierung der Daten verwendet und müssen sicher sowohl auf dem Gerät als auch auf der Entwicklungsseite gespeichert werden. Auf Entwicklungsseite erfolgt die sichere Verwaltung, die den Zugang zu den Schlüsseln stark einschränken. Zur sicheren Übertragung der Schlüssel über Bus-Protokolle müssen verschlüsselte und authentifizierte Mechanismen verwendet werden, um sicherzustellen, dass selbst in unsicheren Umgebungen keine unbefugte Partei auf die Schlüssel zugreifen kann.

Weitere Fachbeiträge

Leave a Reply

Your email address will not be published. Required fields are marked *