Mission Report -

Security für cyber-physical Systems – 7 Schritte zum Erfolg

Security für cyber-physical Systems – 7 Schritte zum Erfolg

19. 05. 2020 | Die Bedeutung von Security für cyber-physical Systems sowie Embedded Systems wächst aufgrund der zunehmenden Konnektivität von Smart Edge und IoT-Devices, die über das Internet kommunizieren (z.B. ferngesteuerte Systeme, autonome Fahrzeuge & Maschinen oder medizinische Geräte). Immer häufiger werden solche Systeme zum Ziel cyberkrimineller Aktivitäten. Wenn ein Gerät gehackt wird, kann dies schwerwiegende Folgen haben, von der Weitergabe sensibler Daten bis hin zur Gefährdung von Menschenleben durch Fehlfunktionen von Safety-relevanten Systemen. Im folgenden Artikel führen wir in 7 Schritten durch unseren praxiserprobten Designprozess zur Absicherung von cyber-physical Systems.

Security für cyber-physical Systems ist mehr als nur eine technische Notwendigkeit. Sie richtig umzusetzen ist eine komplexe Aufgabe, die von Experten mit großer Sorgfalt und einem ganzheitlichen Ansatz angegangen werden muss. Dabei müssen viele herausfordernde Fragen beantwortet werden:

  • Welche Teile des cyber-physical Systems müssen sicher sein?
  • Welche Normen/Standards/Vorschriften sind anwendbar?
  • Welches Security-Level wird benötigt?
  • Wie kann ich das erforderliche Security-Level erreichen?
  • Strebe ich eine Zulassung/Zertifizierung an?
  • Wie kann ich das Security-Level aufrechterhalten?

Damit ein cyber-physical System angemessen sicher (secure) ist, muss eine Vielzahl von Eigenschaften berücksichtigt und dem akzeptablen Risk Level (d.h. der Kombination von Eintrittswahrscheinlichkeit und Auswirkung eines Risikoszenarios) entsprechend sichergestellt werden. Die wichtigsten Schutzziele der Cyber Security werden als CIA-Triad bezeichnet, ein Akronym der Ziele Confidentiality, Integrity und Availability. Diese bedeuten im Detail:

  • Confidentiality (Vertraulichkeit): nur berechtige Personen erhalten Zugang zu sensiblen Daten
  • Integrity (Integrität): Daten werden vor Manipulation und Löschung durch unberechtigte Personen geschützt
  • Availability (Verfügbarkeit): Daten und/oder das System sowie seine Dienste müssen zur Verfügung stehen, wenn sie benötigt werden

Der ideale Ansatz für ein sicheres Systemdesign ist, alle Sicherheitserwägungen von Anfang an miteinzubeziehen und geeignete Maßnahmen zur Sicherung von Daten und Funktionalität zu integrieren. Der folgend näher beschriebene Prozess kann jedoch auch auf Legacy-Systeme angewendet werden.

 

 

Schritt 1: Scope definieren

Im ersten Schritt werden der Umfang und die Grenzen des cyber-physical Systems definiert. Dazu gehört eine detaillierte Beschreibung des Systems, seiner Schnittstellen, der Use Cases, der interagierenden Personen und der Umgebung, in die das System eingebettet ist.

Die nächste anspruchsvolle Aufgabe ist die Definition und Auswahl geeigneter Normen für das Security Risk Assessment und die Security-Implementierung in der sich ständig verändernden Landschaft von Security-Normen im Bereich cyber-physical Systems. Die neueste und aktuellste anwendbare Normenreihe ist IEC-62443, die auf industrielle Kommunikationsnetzwerke, Security für industrielle Automatisierungs- und Steuerungssysteme abzielt. Es können jedoch auch andere branchenspezifische Normen und Vorschriften anwendbar sein. Daher besteht die Aufgabe darin, die geeignete Normenreihe für das jeweilige Produkt und Assessment auszuwählen.

 

Schritt 2: Security definieren (Security Risk Assessment)

Im Zuge des Designprozesses für cyber-physical Systems bieten wir unseren Kunden ein detailliertes Security Risk Assessment nach den geltenden Normen an, z.B. NIST SP-800-30, IEC-62443-4-1, ISO IEC 27005 oder AAMI TIR 57. Ziel des Risk Assessments ist es, Risiken zu identifizieren, um festzustellen, welche Ereignisse sich schädlich auf das System auswirken können. Dabei werden unter anderem folgende Fragen beantwortet:

  • Was soll geschützt werden? (Assets, z.B. Software, Hardware, Daten, Prozesse)
  • Vor wem soll es geschützt werden? (Agents, z.B. Cyber-Kriminelle)
  • Wovor soll es geschützt werden? (Threats, z.B. Weitergabe sensibler Informationen, Manipulation von Firmware)
  • Was ermöglicht diese Bedrohungen? (Vulnerabilities, z.B. fehlende oder schwache Authentifizierung, ungesicherte Kommunikationskanäle, Softwareschwachstellen, schlechte Passwortrichtlinien)

Auf der Grundlage der Ergebnisse, des zuvor festgelegten Systemumfangs und der Systembeschreibung ermitteln unsere Security-Experten Risiken. Diese werden gemeinsam mit dem Produktteam des Kunden in unserem strukturierten Security-Workshop bewertet. Jedem Risiko wird eine Eintrittswahrscheinlichkeit und eine Auswirkung zugeordnet, um das Risk Level zu bestimmen. Basierend auf dieser Priorisierung werden dann die Ziele / Strategien / Maßnahmen definiert, um das Risiko auf ein akzeptables Niveau in Übereinstimmung mit den vorgegebenen Normen und Standards zu senken.

Mission Embedded unterstützt und begleitet Sie während dieses Prozesses. Damit liefern wir Ihnen die konzeptionelle Grundlage, um eine sichere Umgebung zu schaffen und Ihr Produkt angemessen zu schützen.

Mission Embedded Leistungen and Lösungen:

  • Erfahrene Experten mit intelligenten Strategien
  • Bestehende Blueprints/Referenzen aus ähnlichen Projekten
  • Dokumentvorlagen für Risk Assessment, Trust Case und Security Profile
  • Zertifizierungs- und Zulassungssupport

 

Schritt 3: Securitykonzept entwickeln (Security Profile)

In einem auf Ihre Anwendung zugeschnittenen Security Profile werden die Umsetzung der im Risk Assessment definierten Ziele und Strategien detailliert und die technischen Anforderungen spezifiziert. Kurz gesagt, das Security Profile beinhaltet, was genau implementiert werden soll und wie die einzelnen Teile ineinandergreifen. In dieser detaillierten Konzeptspezifikation für cyber-physical System Security stellen wir sicher, dass alle zuvor festgelegten Ziele/Zielsetzungen erreicht werden. Die nachstehende Abbildung veranschaulicht die Komplexität der Sicherheitserwägungen und -prozesse sowie die Vielzahl an Security-Zielen. Die Experten der Mission Embedded helfen Ihnen gerne bei allen diesbezüglichen Fragen weiter.

 

 

Schritt 4: Security implementieren (Chain-of-Trust)

Basierend auf dem Security Profile erstellt Mission Embedded eine Chain of Trust, ( d.h. eine Vertrauenskette von einem Vertrauensanker bis zum End-Entity-Zertifikat) für das gesamte System oder die Anwendung. Für das Gerät selbst ist eine sichere Hardware (Prozessor, Trusted Platform Module) die Grundlage für den Schutz eines Systems und die Gewährleistung der Integrität und Authentizität des Bootloaders sowie der dedizierten Anwendung des cyber-physical Systems. Aufbauend auf der Chain of Trust sichert Mission Embedded das System und seine Schnittstellen ab. Das Dateisystem wird dabei verifiziert und geschützt, Kommunikationskanäle verschlüsselt und sensible Informationen gesichert. Dieses gehärtete System (eng. hardened operating system) schützt Daten, Funktionalität und Dienste effizient vor unbefugten Dritten.

Beispiele für die Umsetzung anderer Ziele des Security Profiles sind die eindeutige Geräteidentifikation (unique device identification), die Verwaltung von Berechtigungsnachweisen (credential management), die Schlüsselverwaltung und PKI (Public-Key-Infrastructure), die Geräteauthentifizierung, Remote Updates von Geräten, Over-the-Air-Updates und der sichere Datenaustausch.

Abhängig von dem definierten Security-Scope können Implementierungsaktivitäten in allen Phasen des Produktlebenszyklus stattfinden – von der Lieferkette über die Produktion bis hin zu den Wartungsprozessen.

 

Schritt 5: Security testen und validieren

Penetrationstests (systematische Hacking-Versuche) werden dann entweder von Mission Embedded oder, falls gewünscht, von unabhängigen Dritten durchgeführt, um alle implementierten Maßnahmen zu überprüfen und sicherzustellen, dass die System-Security alle definierten Ziele des Security Profils erfüllt.

 

Schritt 6: Zulassung erhalten (bei Bedarf)

Die Ergebnisse und Artefakte aller vorhergehenden Schritte werden schließlich im Security Trust Case zusammengestellt, der Folgendes dokumentiert

  • die Systemdefinition,
  • das durchgeführte Security Risk Assessment einschließlich der Identifizierung, Evaluierung und Priorisierung von Bedrohungen,
  • das definierte Security Profile,
  • die Implementierung nach einem angemessenen Entwicklungsprozess und
  • die Test- und Validierungsberichte.

Dies ist die Grundlage für die finale Security-Zulassung des cyber-physical Systems. Unser Expertenteam unterstützt Sie gerne bei der Zulassung Ihres Produktes – oder wir können den gesamten Zertifizierungsprozess für Sie übernehmen. Der erprobte und bewährte Sicherheitsprozess von Mission Embedded bietet einen Fahrplan für die Absicherung Ihres individuellen Systems sowie dessen Zulassung.

 

Schritt 7: Security aufrechterhalten und warten

Sicherheit ist keine einmalige Aufgabe während der Entwicklung oder Zertifizierung, sondern ein kontinuierlicher Prozess während des gesamten Lebenszyklus eines cyber-physical Systems. Das Mission Embedded Lifecycle-Team kann das System auf mögliche neu auftretende Schwachstellen überwachen und so eine schnelle Reaktion auf Sicherheitslücken gewährleisten, z.B. mit einem schnellen Rollout von Updates.