Cybersecurity für Embedded Systems

Digitale, vernetzte Produkte unterliegen den Security-Vorgaben zahlreicher nationaler und internationaler Gesetze (insbesondere EU- Gesetze).

• Cyber Resilience Act (CRA)
• NIS-2-Richtlinie für kritische Infrastrukturen oder branchenspezifische Regularien
• Medical Device Regulation (MDR)
• Radio Equipment Directive (RED)
• Maschinenverordnung
• UNECE R155 und R156
• Branchenspezifische Vorgaben (FDA, NIST, BSI, NSH, ...) 
• und andere

Allerdings bleiben die Vorgaben Gesetzgeber oft vage und wenig konkret. Auch ist nicht in jedem Fall klar, wie sich die Compliance-Anforderungen der übergeordneten und der branchenspezifischen Gesetze zueinander verhalten. Hersteller stehen hier vor besonderen Herausforderungen.

Zudem lassen die Regularien offen, wie man die Anforderungen praktisch umsetzen kann. Hier hilft ein Blick in die einschlägigen Normen  – etwa IEC 62443 (IT-Sicherheit für industrielle Kommunikationsnetze und -systeme), EN 18031 (Cybersicherheit für Funkanlagen), IEC 81001-5-1 (Entwicklung und Wartung cybersicherer Gesundheitssoftware), ISO/SAE 21434 (cybersichere Entwicklung, Produktion und Betrieb von Straßenfahrzeugen), IEC 18031 (Cybersicherheit für Funkanlagen) oder die technische Spezifikation TS 50701 (Cybersecurity im Railway-Bereich). 

Drei Säulen des Security-Engineerings

Security-Engineering beginnt nicht erst mit der Entwicklung eines Produkts und endet nicht mit seinem Markteintritt. Für eine umfassende Cyberresilienz muss alles von den Entwicklungsprozessen, dem Kompetenzmanagement über den Systementwurf bis zur Außerbetriebnahme einbezogen werden.

Wir unterscheiden drei übergeordnete Säulen des Security-Engineerings:

• Die erste Säule gilt der Befähigung des Unternehmens. Ziel ist es, gesetzes- und normenkonforme Prozesse zu implementieren und die Kompetenzen des Entwicklungsteams für die Entwicklung cybersicherer Produkte fit zu machen. 
• Die zweite Säule umfasst die klassische Produktentwicklung nach dem V-Modell mit Entwurfsphase, Implementierungsphase sowie Test- und Validierungsphase.
• In der dritten Säule geht es darum, einen sicheren Betrieb zu gewährleisten. 

Good to know: IT-Security, OT-Security, Embedded Security – eine Abgrenzung

Für die Entwicklung und den Betrieb cybersicherer Produkte gelten andere Ziele und Anforderungen als für die Absicherung von Servern oder Netzwerken.

• IT-Security: Absicherung von IT-Systemen und Netzwerken gegen Cyberangriffe – mit dem Ziel, Datenflüsse und Kommunikation sicherzustellen und die Integrität, Vertraulichkeit und Verfügbarkeit von Informationen zu gewährleisten.
• OT-Security (Operational Technology): Schutz von industriellen Steuerungssystemen (ICS), Maschinen und kritischen Infrastrukturen – mit dem Ziel, Sicherheit, Funktion und Verfügbarkeit industrieller Prozesse sicherzustellen.
• Embedded Security: Absicherung von in Maschinen, Geräten und Produkten integrierten Systemen – mit dem Ziel, Zuverlässigkeit, Funktionssicherheit und Verfügbarkeit zu gewährleisten. Die Embedded Security ist ein Unterbereich der OT-Security und der Produktsicherheit.

Mehr erfahren Sie in unserem Wissensbeitrag „Was ist Cybersecurity?“