Anwendung der Norm EN 18031
Cybersecurity wird für vernetzte Produkte zur Pflicht: Teil 2
Security prägt die EU-Regulierung: Bis August 2025 müssen Produkte mit Funktechnik und Internetzugang nach der Funkanlagenrichtlinie das Netz sowie persönliche Daten schützen und Betrug verhindern. Die Norm EN 18031 soll Herstellern bei der Umsetzung helfen. Teil 2 befasst sich mit ihrer Anwendung.
Der Cyber Resilience Act (CRA) der EU stellt an elektronische Geräte völlig neue Anforderungen bezüglich der Cybersicherheit. Im November 2024 wurde er im Official Journal der EU veröffentlicht und ist somit geltendes Recht. Allerdings existieren noch keine Standards dafür. Deshalb gilt eine Übergangsfrist voraussichtlich bis Dezember 2027, nach der dann neue Produkte dem CRA entsprechen müssen.
Bis dahin soll die Funkanlagenrichtlinie (RED, Radio Equipment Directive) zumindest bei allen funkenden Geräten die Cybersicherheit verbessern. Dazu hatte die EU 2022 die RED um Artikel 3 Absatz 3 erweitert, der wiederum folgende drei Unterpunkte definiert:
- 3(3)(d) Der Schutz des Netzes ist zu gewährleisten,
- 3(3)(e) die Gewährleistung von Garantien für den Schutz personenbezogener Daten und der Privatsphäre,
- 3(3)(f) der Schutz vor Betrug ist zu gewährleisten.
Dort läuft nun die Frist bis zur Umsetzung bis zum 1. August 2025. Danach dürfen in der EU keine funkenden Geräte mehr in Verkehr gebracht werden, die die Cybersicherheits-Vorgaben der RED nicht erfüllen.
Jobangebote+ passend zum Thema
Norm EN 18031 erleichtert Umsetzung
Die Norm EN 18031 bildet die Cybersicherheits-Aspekte der RED in konkrete Prüfungen ab und wurde von der Normungsorganisation Cenelec im Auftrag der EU erstellt. Im Oktober 2024 legte Cenelec die EN 18031 der EU-Kommission zur Prüfung vor. Ende Januar wurde die Norm nun von der EU-Kommission harmonisiert, so dass Produkte nicht mehr von akkreditierten Prüfdienstleistern zertifiziert werden müssen, sondern eine Selbsterklärung der Unternehmen genügt, dass der Standard EN 18031 eingehalten wird (Bild 5).
Konformitätsprüfung am Beispiel eines WiFi-Moduls
Die Konformitätsprüfung soll am Beispiel des IoT-WiFi-Moduls »Cordelia-I« [5] von Würth Elektronik aufgezeigt werden. Das WiFi-Modul ist vollständig konform zur RED, einschließlich der Erweiterung auf Cybersicherheit 2022/30/EU vom Januar 2022. Es entspricht IEEE 802.11 b/g/n, funkt im 2,4-GHz-Band und ist durch folgende Eigenschaften gekennzeichnet:
- Zero-Touch-Provisioning im Feld mit QuarkLink (dazu später mehr)
- sichere UART-zu-Cloud-Brücke (Transparent Modus)
- kleiner Formfaktor: 19 mm x 27,5 mm x 4 mm
- Ruhemodus <10 μA
- intelligente Antennenkonfiguration (2-in-1-Modul)
- Ausgangsleistung +18 dBm peak (1DSSS)
- Empfangsempfindlichkeit -92 dBm (1DSSS, 8 Prozent PER)
- industrieller Temperaturbereich: -40 °C bis +85 °C
Gemäß der RED ist Cybersicherheit für funkende Geräte wie ein Funkmodul nach Artikel 3 Absatz 3 zu gewährleisten. Für das Funkmodul Cordelia-I spielt nur 3(3)(d) – Schutz des Netzes – eine Rolle, weil weder persönliche Daten nach 3(3)(e) oder Finanzdaten nach 3(3)(f) verarbeitet werden. Daraus folgt, dass Cordelia-I nach EN 18031-1:2024 geprüft werden muss.
Die zentralen Anforderungen der EN 18031-1:2024 an ein funkendes Gerät bezüglich Cybersicherheit sind:
- Authentifizierung und Autorisierung
- Datenschutz
- Software- und Firmware-Sicherheit
- Netzwerksicherheit
- physische Sicherheit
- Reaktion auf Zwischenfälle und Management
- Sensibilisierung und Schulung der Benutzer
- Einhaltung von Vorschriften und Dokumentation
Die Norm gibt Hilfestellung bei der Prüfung mit Entscheidungsbäumen. In einer kaskadenartigen Fragestruktur sind die Antworten »yes« und »no« vorgesehen. Sollte die Antwort »yes« und damit das Ergebnis »not applicable« sein, ist die jeweilige Prüfung für das zu prüfende Produkt nicht erforderlich. Bei der letzten Frage der Kaskade bedeutet die Antwort »yes«, dass mit »pass« die Prüfung bestanden ist. Bei »no« liegt »fail« vor, und es ist gegebenenfalls nachzubessern.
Bei der Prüfung des Moduls Cordelia-I ließen sich eine Reihe von Erfahrungen gewinnen: Das Umfeld der Cybersicherheit ist volatil und ändert sich, zum Beispiel mit dem CRA ab Ende 2027. Es ist wichtig, eine Risikoanalyse zur Cybersicherheit in einem frühen Stadium des Entwurfsprozesses zu machen und diese Risikoanalyse über den Produktlebenszyklus fortzuschreiben. Die Umsetzung der Cybersicherheit umfasst nicht nur Hardware und Software. Es spielen auch »Policies« eine wichtige Rolle, wie ein Meldesystem unter anderem für Schwachstellen, Software-Updates, einfache Installation und Wartung. Das Ziel muss »Security by Design« sein.
Entwurf eines Sicherheitskonzepts für ein Embedded-Gerät
Beim Entwurf eines Sicherheitskonzepts für ein Embedded-Gerät sind einige Fragen zu stellen und zu beantworten: Welches Asset braucht Schutz? Wie sieht die Bedrohung aus? Welches Sicherheitsziel haben wir? Was brauchen wir dafür? Bild 6 verdeutlicht diese Sicherheitsanforderungen für unterschiedliche Assets. Der aktuelle Stand von Maßnahmen zur Gewährleistung der Cybersicherheit in einer beliebigen IoT-Anwendung umfasst eine Reihe von Sicherheitselementen:
Eine sichere »Root of Trust« (RoT) ist eine eindeutige Identität und ein mit ihr verbundener kryptografischer Schlüssel. Weil die gesamte Sicherheitskette von dieser Vertrauensbasis abhängt, ist es wichtig, dass eine RoT eindeutig, unveränderlich und nicht klonbar ist.
Secure Boot ist eine Sicherheitsfunktion, die sicherstellt, dass nur vertrauenswürdige Software während des Bootvorgangs eines Geräts geladen wird. Es ist ein Firmware-basierter Prozess, der die digitale Signatur des Bootloaders und aller nachfolgenden Betriebssystemkomponenten überprüft, bevor sie in den Speicher geladen werden. Das Ziel des sicheren Bootens ist es, die Ausführung von Malware und anderer bösartiger Software daran zu hindern, während des Bootvorgangs das System zu kompromittieren.
Firmware over-the-air (FOTA) ist ein Verfahren, bei dem die Firmware eines elektronischen Geräts drahtlos aktualisiert wird, meist über eine sichere Verbindung. FOTA-Updates lassen sich verwenden, um Fehlerbehebungen (Bugfixes) durchzuführen, neue Funktionen hinzuzufügen oder Sicherheitslücken in der Firmware des Geräts zu schließen.
Jede Schnittstelle zur Außenwelt muss als verwundbar gelten und gesichert werden. Für die Authentifizierung und Verschlüsselung von Kommunikationsschnittstellen lässt sich eine Reihe von Standardprotokollen verwenden.
Secure-Storage-Bereiche sind isolierte Ausführungsumgebungen, die hardwarebasierte Sicherheit für sensible Daten und Code bieten. Sie sind zum Schutz vor Angriffen gedacht, die versuchen, auf Daten im Speicher zuzugreifen oder diese zu verändern oder kryptografische Schlüssel zu stehlen.
Diese allgemeingültigen Maßnahmen zur Gewährleistung der Cybersicherheit wurden beim WiFi-Funkmodul Cordelia-I (Bild 7) implementiert. Das WiFi-Modul verfügt über folgende Sicherheitsfunktionen:
- 10 Byte lange, nicht manipulierbare eindeutige Geräte-ID
- Secure Boot
- Secure Storage mit verschlüsseltem Dateisystem zum Speichern von Zertifikaten und anderen Zugangsdaten
- Secure Firmware over-the-air Update
- Secure Socket – Transport Layer Security Protocol TLSv1.2
- Secure WiFi-Verbindung nach WPA3
- Hardware-beschleunigte Krypto-Engine
Sichere Cloud-Anbindung
Um die Verbindung zur Cloud sicher zu gestalten, sollten das Gerät und die Cloud eine gegenseitige Authentifizierung durchführen, gefolgt vom Austausch eines Sitzungsschlüssels, der dann zur Verschlüsselung des Kommunikationskanals verwendet wird. Dies geschieht meist über das TLS-Protokoll.
Um eine gegenseitige TLS-Verbindung herzustellen, müssen die folgenden kryptografischen Elemente im Gerät bzw. in der Cloud vorhanden sein. Die Assets müssen außerdem aufeinander abgestimmt sein.
Auf Geräteseite sind dies:
- Geräte-ID: eindeutige Geräteidentität, die unveränderlich und fälschungssicher ist.
- Geräteschlüssel: Dies ist ein privater Schlüssel, der für jedes Gerät einzigartig ist und geheim sein muss.
- Gerätezertifikat: Dieses Zertifikat enthält den öffentlichen Schlüssel, der dem privaten Schlüssel des Geräts zugeordnet ist.
- Root CA: Dies ist die Root CA (Certificate Authority) der Cloud, die zur Authentifizierung des Cloud-Endpunkts verwendet wird. Der Prozess der Speicherung dieser Parameter im Endgerät wird als »Device Provisioning« bezeichnet.
Auf Cloud-Seite sind dies:
- Liste der Geräte-IDs: eine Whitelist mit Geräte-IDs, die für Verbindungen zugelassen werden sollen.
- Gerätezertifikate: öffentliche Schlüssel, die den Geräte-IDs entsprechen, um die Geräteauthentifizierung zu ermöglichen.
Der Prozess der Speicherung dieser Parameter im Cloud-Endpunkt wird als »Cloud-Onboarding« bezeichnet. Diese kryptografischen Werte müssen sowohl im Gerät als auch im Cloud-Endpunkt sicher gespeichert werden. Die Offenlegung dieser Werte in einer beliebigen Phase des Lebenszyklus der Geräteherstellung kann die Sicherheit gefährden. Oft stellt die menschliche Interaktion mit diesen kryptografischen Assets die größte Bedrohung dar. Deshalb müssen die folgenden Schritte befolgt werden, um maximale Sicherheit zu gewährleisten.
Das Cordelia-I-Modul mit der IoT-Sicherheitsplattform QuarkLink von Crypto Quantique ermöglicht eine sichere Cloud-Anbindung durch »Zero Touch Device Provisioning« und sicheres Cloud-Onboarding (Bild 8). Außerdem lässt sich ein vollständiges Gerätemanagement einschließlich Remote-Cloud-Migration während des gesamten Lebenszyklus eines Geräts durchführen [6].
Zero-Touch-Provisioning mit QuarkLink
Bei diesem Prozess wird das Gerät mit allen Parametern konfiguriert, die für die Verbindung mit der Cloud-Plattform erforderlich sind, einschließlich der kryptografischen Ressourcen, ohne dass ein Mensch eingreifen muss. Dies umfasst die Konfiguration mehrerer Parameter einschließlich der oben erwähnten kryptografischen Assets im Gerät. Das Cordelia-I-Modul ermöglicht zusammen mit der QuarkLink-Plattform eine berührungslose Bereitstellung im Feld. Jedes Modul wird mit einem einzigartigen, vorinstallierten und hardwaremäßig manipulationssicheren Schlüsselsatz geliefert.
Der private Schlüssel ist fest mit der Hardware verknüpft und kann von der Anwendung nicht ausgelesen werden. Die Anwendungssoftware kann nur auf den öffentlichen Schlüssel zugreifen und den privaten Schlüssel für weitere kryptografische Operationen verwenden.
Sicheres Cloud-Onboarding mit QuarkLink
Bei diesem Prozess wird der Cloud-Endpunkt so konfiguriert, dass er eine authentifizierte Verbindung mit Endgeräten ermöglicht. Dazu werden die oben erwähnten Parameter »Liste der Geräte-IDs« und »Gerätezertifikate« im Cloud-Endpunkt gespeichert.
Die QuarkLink-Plattform ermöglicht das sichere Onboarding von Geräten bei den meisten gängigen Cloud-Dienstleistern einschließlich selbst gehosteter Server. Dies geschieht über authentifizierte REST-APIs, die von den Cloud-Service-Anbietern zur Verfügung gestellt werden.
Lückenlos sicher
Die Kombination der Sicherheits-Software-Plattform QuarkLink von Crypto Quantique mit den drahtlosen Modulen von Würth Elektronik erlaubt die automatische und sichere Verbindung Tausender von Sensorknoten mit lokalen oder cloudbasierten Servern. Die Plattform ermöglicht die Bereitstellung von Geräten, das Onboarding, die Sicherheitsüberwachung sowie die Erneuerung und den Widerruf von Zertifikaten und Schlüsseln, die mit Hilfe einer grafischen Benutzeroberfläche ausgeführt werden. Den Nutzern stehen alle Funktionen zur Verfügung, die für die Verwaltung von IoT-Geräten in ihrem Lebenszyklus erforderlich sind. ak
Würth Elektronik auf der embedded world: Halle 2, Stand 110
Literatur
[4] Europäische Kommission: Guide to the Radio Equipment Directive 2012/53/EU. https://ec.europa.eu/docsroom/documents/33162
[5] WiFi-IoT-Funkmodul Cordelia-I von Würth Elektronik: https://www.we-online.com/de/components/products/CORDELIA-I
[6] Product Guide Wireless Connectivity & Sensors von Würth Elektronik: https://www.we-online.com/de/components/products/wco
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
