CodeMeter Embedded von Wibu-Systems
Sicherheit durchgehend bis zum Mikrocontroller
Ist die Firmware von Sensoren, Steuergeräten oder Umrichtern vor Kopieren und Angriffen geschützt? CodeMeter Embedded schützt Intellectual Property (IP) und Lizenzierung nahtlos bis zum Mikrocontroller. Hersteller können die CodeMeter-Technologie speziell für den Embedded-Bereich einsetzen.
Das wertvolle Know-how in der Firmware kleiner Geräte wie Steuerungen, Frequenzumrichter oder Sensoren ist anfällig für Angriffe auf die Integrität. Das gilt sowohl für die Software selbst als auch für die Durchsetzung der Lizenzierung. Wibu-Systems erweitert CodeMeter Embedded jetzt auf Mikrocontroller und Echtzeit-Betriebssysteme (RTOS), um zukunftssichere, kryptoagile Lösungen bereitzustellen. Hersteller schützen damit ihre IP, ermöglichen Lizenzierung und profitieren von durchgängiger Kompatibilität in der CodeMeter-Welt. Im Folgenden geht es außerdem um aktuelle Sicherheitsstandards, die sich mit CodeMeter umsetzen lassen, und darum, wie sich X.509-Zertifikate über eine standardisierte PKCS#11-Schnittstelle an PKIs und bestehende Systeme anbinden lassen.
Herausforderungen in Embedded-Systemen
Firmware in industriellen Sensoren, Steuerungen oder Umrichtern enthält sensibles Know-how, das durch Reverse Engineering gefährdet ist. Cyberangriffe bedrohen die Sicherheit einzelner Komponenten oder – sofern diese als Einfallstor dienen – ganzer Maschinen oder Industrieanlagen. Während bei einzelnen Maschinen das mögliche Schadensausmaß noch überschaubar ist, ist spätestens bei angegriffenen Anlagenteilen in der kritischen Infrastruktur (KRITIS) das Schadenpotenzial ungleich höher.
Jobangebote+ passend zum Thema
Besonders Mikrocontroller, in denen nur eine Anwendung oder ein RTOS läuft, stellen wegen der Ressourcenknappheit hinsichtlich Speicher, Rechenleistung und Kommunikationsmöglichkeiten eine Herausforderung für sicheren Schutz und sichere Lizenzierung dar. So einfach die Einbindung und Nutzung einer beliebigen Krypto-Bibliothek für Signaturen oder Verschlüsselung auch ist, so komplex wird es, wenn man das gesamte Umfeld mitdenkt:
- Wo werden die Schlüssel gespeichert?
- Wie kommen Schlüssel und ihre Updates in das Gerät?
- Wie gelangen Lizenzen in das Gerät?
- Wie verwaltet man Schlüssel und Lizenzen in einer zentralen Struktur?
- Wie werden die Daten übertragen, wenn die Geräte gar nicht oder nur über spezielle Schnittstellen vernetzt sind?
Ein übliches Vorgehen bei Produktionsanlagen in Fertigungsumgebungen oder auch bei kritischer Infrastruktur ist, dass diese Geräte nicht mit dem öffentlichen Internet verbunden sind. Damit entfallen meist online gehostete Lizenzmanagementsysteme genauso wie cloudbasierte Verfahren. Vor dieser Herausforderung stehen jedoch nicht nur mikrocontrollerbasierte Systeme, sondern alle Embedded-Plattformen in Industrieanlagen, in der Medizintechnik oder bei vergleichbaren Regel- und Steuerungsaufgaben.
CodeMeter Embedded: Erweiterung auf MCUs und RTOS
CodeMeter Embedded ist eine kompakte Bibliothek mit CodeMeter-API-Funktionen für Embedded-OS wie Linux, VxWorks oder QNX. Für zahlreiche Geräte auf Mikrocontroller-Basis sind einige hundert Kilobyte jedoch viel zu groß. Darüber hinaus wird ein Funktionsumfang mit Caching, Shared Memory und Netzwerkzugriff meist nicht benötigt.
Aus diesem Grund profitieren die Hersteller von der Modularität des CodeMeter-Codes, um ihn so konfigurierbar zu machen, dass er in Mikrocontrollern in einer Bare-Metal-Implementierung oder auch im Zusammenspiel mit einem RTOS funktioniert. Das CodeMeter-API sowie die Lizenzformate sind dieselben wie im PC-Umfeld. Dadurch wird erreicht, dass das Lizenzierungssystem im Mikrocontroller kompatibel ist zu Systemen in größeren Embedded-Systemen oder auch PC- und serverbasierten Umgebungen. Auch das Lizenzmanagement über die CodeMeter License Central kann Lizenzen gleichermaßen für große PC-Systeme und Mikrocontroller ausstellen.
Kryptoagilität und Post-Quantum-Kryptografie
Nach aktuellem Stand sind asymmetrische Kryptografieverfahren bislang noch nicht von Quantencomputern gebrochen. Dieser Fall kann jedoch jederzeit und ohne Vorwarnung eintreten. Auch wenn der Bruch zunächst eher akademischer Natur wäre und es nach wie vor notwendig ist, jede einzelne Verschlüsselung gezielt unter Einsatz eines Quantencomputers zu brechen, müssen entsprechende Ressourcen vorhanden sein und lohnend eingesetzt werden, etwa um eine Software zu kopieren.
Geht es jedoch um Angriffe auf Systeme aus taktischen Gründen, sieht die Situation anders aus. Sobald der Wert der geschützten Daten höher zu bemessen ist als die Kosten für einen Quantencomputerangriff auf die Schlüssel, muss auch der Schutz wachsen. Aus diesem Grund fließt Post-Quantum-Cryptography (PQC) schon jetzt in alle CodeMeter-Produkte ein, damit am Tag X bereits vollständig PQC-fähige Software im Feld ist.
Auch die nächste Generation der CodeMeter-Dongles wird sowohl mit den längeren PQC-Schlüsseln umgehen können als auch die derzeit eingesetzten PQC-Verfahren wie ML-KEM oder ML-DSA unterstützen. Dabei wird Kryptoagilität von Anfang an mitgedacht, sodass im Fall eines notwendigen Algorithmus-Austauschs dieser auch mit bestehender Hardware und Software möglich ist. Vorteil für die CodeMeter-Kunden: Sie müssen sich nicht um die Vorbereitung auf PQC kümmern. CodeMeter trifft bereits alle Vorkehrungen und integriert diese in aktuelle Produkte. Dort, wo PQC-Verfahren wegen der Schlüssellängen und des höheren Rechenaufwands nicht einsetzbar sind, wie möglicherweise bei Mikrocontrollern, wird über hybride Verfahren sichergestellt, dass auch in diesen Systemen Schutz und Lizenzierung über CodeMeter möglich sind.
Zertifikatshandling und Standards
Immer mehr Anwendungsfälle setzen auf X.509-Zertifikate. Viele kennen sie aus E-Mail-Verschlüsselung (S/MIME) oder Netzwerksicherheit via Network Access Control (NAC) nach IEEE 802.1X. TLS-Implementierungen wie OpenSSL oder mbed TLS – besser bekannt als HTTPS – beruhen ebenfalls auf X.509-Zertifikaten für die Schlüsselspeicherung.
Standardmäßig landen Zertifikate und Schlüssel auf der lokalen Festplatte – ausreichend für Webzugriffe, aber unzureichend für Authentifizierung bei E-Mail, NAC oder elektronischer Signatur, weil private Schlüssel nicht ausreichend geschützt sind. Der State-of-the-Art-Schutz speichert sie in einem Secure Element wie einem TPM-Chip (PCs), Sicherheitschip (Smartphones) oder im CmDongle/CmASIC für Industrie- und Embedded-Anwendungen.
Bei Systemen mit CodeMeter Runtime oder CodeMeter Embedded ermöglicht der Certificate Vault die sichere Speicherung von X.509-Zertifikaten in CmDongles. Über die standardisierte PKCS#11-Schnittstelle können Anwendungen auch nahtlos darauf zugreifen. Private Schlüssel bleiben hardwaregeschützt; Operationen laufen direkt im Chip.
Entfernt man den CmDongle, ist auch der Schlüssel nicht mehr im System verfügbar – wie ein mechanischer Schlüssel für Netzwerk-Login, Funktionsfreischaltung oder Zugriffsverhinderung.
Der Certificate Vault bietet eine standardisierte PKCS#11-Schnittstelle für Endgeräte und Verwaltung. TLS-Stacks wie OpenSSL oder mbed TLS greifen damit direkt auf die CmDongle-Zertifikate zu – neben Lizenzierung und Softwareschutz.
Mit dem Certificate Vault erfüllen Hersteller aktuelle IT-Sicherheitsanforderungen und Zertifikatsvorgaben. CodeMeter übernimmt das gesamte Handling – inklusive kundenindividueller Lösungen für Rollout, Management und Anbindung an externe PKIs. Hersteller nutzen die CmDongles neben Lizenzierung und Softwareschutz auch für die sichere Speicherung von Zertifikaten und privaten Schlüsseln.
Umsetzung gesetzlicher Anforderungen
In der Industrie gelten strenge Normen für sichere Software in Anlagen und Komponenten. Auch wenn viele davon ähnlich sind, hat doch jeder globale Wirtschaftsraum seine eigenen Richtlinien. CodeMeter Embedded und Certificate Vault helfen Softwareherstellern und Anlagenbauern, die Richtlinien effizient zu erfüllen – durch Tamper-Proofing, Kryptoagilität, Lizenz-Compliance sowie Unterstützung bei der Verwendung von Zertifikaten. Die wichtigsten Standards je Region:
- Weltweit: IEC/ISA 62443
- Europa: Cyber Resilience Act (CRA), NIS-2 Directive
- USA: NIST Cybersecurity Framework (CSF 2.0), CISA Cybersecurity Performance Goals (CPGs)
- China: Grading Protection 2.0 (MLPS 2.0), CCoP 2.0 (Cybersecurity Compliance for CII), GB Safety Standards (2026)
CodeMeter deckt die Kernanforderungen der Hersteller wie Risk Management, Integrity und Updates ab, um Zertifizierungen zu vereinfachen.
Zusammenfassung
CodeMeter Runtime ist ein Dienst, der in Desktop-PCs läuft. CodeMeter Embedded ist eine Software-Library, die direkt in die zu schützende Applikation integriert wird. Beide nutzen dieselbe CodeMeter-API für Funktionen, verwenden dasselbe Lizenzformat zur Speicherung von Lizenzen und Schlüsseln in CmContainern (CmDongle, softwarebasierte CmActLicense, CmCloudContainer) und sind vollständig mit CodeMeter License Central kompatibel. Sie unterstützen alle gängigen Betriebssysteme und Hardware-Plattformen bis hinunter in Mikrocontroller. Softwarehersteller und Firmware-Programmierer wählen aus einem Baukasten die passende Komponente und integrieren sie nahtlos ins Lizenzierungssystem. Die CodeMeter Protection Suite geht noch einen Schritt weiter und integriert hochsicheren IP-Schutz direkt in die Applikation. CodeMeter Certificate Vault fügt allem noch das Zertifikatshandling hinzu.
Standards wie X.509-Zertifikate für Authentifizierung und PKCS#11 erfordern sichere Handhabung, während Quantencomputing klassische Kryptosysteme bedroht.
Letztlich revolutioniert CodeMeter Embedded die Embedded-Sicherheit für Mikrocontroller und integriert den Schutz in das CodeMeter-Universum. Embedded-Systeme profitieren von Zukunftsfähigkeit durch PQC und Standards wie PKCS#11.
Wibu-Systems auf der embedded world 2026: Halle 4, Stand 168 (OSADL)
Lesen Sie mehr zum Thema
