Cybersicherheit rückt ins Zentrum der Aufmerksamkeit europäischer Regulierung. Bis August 2025 müssen Produkte mit Funktechnik und Internetzugang nach der Funkanlagenrichtlinie das Netz, personenbezogene Daten und vor Betrug schützen. Die Norm EN18031 soll Hersteller bei der Umsetzung unterstützen.

Teil 2 befasst sich mit ihrer Anwendung.

Der Cyber Resilience Act (CSA) der EU stellt völlig neue Anforderungen bezüglich der Cybersicherheit an elektronische Geräte. Im November 2024 wurde er im Official Journal der EU veröffentlicht und ist somit geltendes Recht. Allerdings existieren noch keine Standards dafür. Deshalb gilt eine Übergangsfrist voraussichtlich bis Dezember 2027, ab der dann neue Produkte dem CSA entsprechen müssen.

Bis dahin soll die Funkanlagenrichtlinie (RED) zumindest bei allen funkenden Geräten die Cybersicherheit verbessern. Dazu hatte die EU 2022 die RED um Artikel 3 Absatz 3 erweitert, der wiederum folgende 3 Unterpunkte definiert:

• 3(3)(d) der Schutz des Netzes ist zu gewährleisten,
• 3(3)(e) die Gewährleistung von Garantien für den Schutz personenbezogener Daten und der Privatsphäre,
• 3(3)(f) der Schutz vor Betrug ist zu gewährleisten.

Dort läuft nun die Frist bis zur Umsetzung bis 1. August 2025. Danach dürfen in der EU keine funkenden Geräte mehr in Verkehr gebracht werden, die die Cybersicherheitsvorgaben der RED nicht erfüllen.

Norm EN18031 erleichtert Umsetzung

Die Norm EN18031 bildet die Cybersicherheitsaspekte der RED in konkrete Prüfungen ab und wurde von der Normungsorganisation Cenelec im Auftrag der EU erstellt. Im Oktober 2024 legte Cenelec die EN18031 der EU-Kommission zur Prüfung vor. So lange die Harmonisierung, also die offzielle Freigabe, der Norm nicht erfolgt ist, müssen Produkte noch durch akkreditierte Prüfdienstleister zertifiziert werden (Bild 5).

Bild 5. Ob die Prüfung der Konformität eines Produkts in Eigenregie stattfinden kann, ist vom Vorhandensein eines harmonisierten Standards abhängig. Wenn nicht kommen zertifizierte Dienstleister (Notified Bodies) ins Spiel. (Quelle: Europäische Kommission – RED Guide [4]) 

Konformitätsprüfung am Beispiel eines WiFi-Moduls 

Die Konformitätsprüfung soll hier am Beispiel des IoT-WiFi-Moduls Cordelia-I [5] von Würth Elektronik aufgezeigt werden. Das WiFi-Modul ist vollständig konform zu RED einschließlich der Erweiterung auf Cybersicherheit 2022/30/EU vom Januar 2022. Das Modul Cordelia-I entspricht IEEE 802.11 b/g/n, funkt im 2,4-GHz-Band, und ist durch folgende Eigenschaften gekennzeichnet: 

• Zero-Touch-Provisioning im Feld mit QuarkLink (dazu später mehr) 
• Sichere UART-zu-cloud Brücke (Transparent Modus) 
• Kleiner Formfaktor: 19 x 27,5 x 4 mm3 
• Ruhemodus <10 μA 
• Intelligente Antennenkonfiguration (2-in-1 Modul) 
• Ausgangsleistung +18 dBm peak (1DSSS) 
• Empfangsempfindlichkeit -92 dBm (1DSSS, 8% PER) 
• Industrieller Temperaturbereich: -40 °C up to +85 °C 

Gemäß der RED ist Cybersicherheit für funkende Geräte wie ein Funkmodul nach Artikel 3 Absatz 3 zu gewährleisten. Für das Funkmodul Cordelia-I spielt nur 3(3)(d) Schutz des Netzes eine Rolle, da weder persönliche Daten nach 3(3)(e) oder Finanzdaten nach 3(3)(f) verarbeitet werden. Daraus folgt, dass Cordelia-I nach EN 18031-1:2024 geprüft werden muss. 

Die zentralen Anforderungen der EN18031-1:2024 an ein funkendes Gerät bezüglich der Cybersicherheit sind: 

• Authentifizierung und Autorisierung 
• Datenschutz 
• Software- und Firmware-Sicherheit 
• Netzwerksicherheit 
• Physische Sicherheit 
• Reaktion auf Zwischenfälle und Management 
• Sensibilisierung und Schulung der Benutzer 
• Einhaltung von Vorschriften und Dokumentation 

Die Norm gibt Hilfestellung bei der Prüfung mit Entscheidungsbäumen. In einer kaskadenartigen Fragestruktur sind die Antworten „yes“ und „no“ vorgesehen. Sollte die Antwort „yes“ und damit das Ergebnis „not applicable“ sein, ist die jeweilige Prüfung für das zu prüfende Produkt nicht erforderlich. Bei der letzten Frage der Kaskade bedeutet die Antwort „yes“, dass mit „pass“ die Prüfung bestanden ist. Bei „no“ liegt „fail“ vor und es ist gegebenenfalls nachzubessern. 

Bei der Prüfung des Moduls Cordelia-I konnten eine Reihe von Erfahrungen gewonnen werden: Das Umfeld der Cybersicherheit ist volatil und ändert sich, z.B. mit dem CRA ab Ende 2027. Es ist wichtig, eine Risikoanalyse zur Cybersicherheit in einem frühen Stadium des Entwurfsprozesses zu machen und diese Risikoanalyse über den Produktlebenszyklus fortzuschreiben. Die Umsetzung der Cybersicherheit umfasst nicht nur Hardware und Software. Es spielen auch „Policies“ eine wichtige Rolle, wie ein Meldesystem für Schwachstellen, Software-Updates, einfache Installation und Wartung usw. Das Ziel muss „Security by Design“ sein. 

Entwurf eines Sicherheitskonzepts für ein Embedded-Gerät 

Beim Entwurf eines Sicherheitskonzepts für ein Embedded-Gerät sind einige Fragen zu stellen und zu beantworten: Welches Asset braucht Schutz? Wie sieht die Bedrohung aus? Welches Sicherheitsziel haben wir? Was brauchen wir dafür? Bild 6 verdeutlicht diese Sicherheitsanforderungen für unterschiedliche Assets. 

Bild 6. Entwurf eines Sicherheitskonzepts für ein Embedded-Gerät mit verschiedenen zu schützenden Assets. (Quelle: Würth Elektronik)

Der aktuelle Stand an Maßnahmen zur Gewährleistung der Cybersicherheit in einer beliebigen IoT-anwendung umfasst eine Reihe von Sicherheitselementen: 

• Eine sichere „Root of Trust“ ist eine eindeutige Identität und ein mit ihr verbundener kryptografischer Schlüssel. Da die gesamte Sicherheitskette von dieser Vertrauensbasis abhängt, ist es wichtig, dass eine RoT eindeutig, unveränderlich und nicht klonbar ist. 
• Secure Boot ist eine Sicherheitsfunktion, die sicherstellt, dass nur vertrauenswürdige Software während des Bootvorgangs eines Geräts geladen wird. Es ist ein Firmware-basierter Prozess, der die digitale Signatur des Bootloaders und aller nachfolgenden Betriebssystemkomponenten Komponenten überprüft, bevor sie in den Speicher geladen werden. Das Ziel des sicheren Bootens ist es, die Ausführung von Malware und anderer bösartiger Software daran zu hindern, während des Bootvorgangs das System zu kompromittieren. 
• Firmware over-the-air (FOTA) ist ein Verfahren, bei dem die Firmware eines elektronischen Geräts drahtlos aktualisiert wird, in der Regel über eine sichere Verbindung. FOTA-Updates können verwendet werden, um Fehlerbehebungen (Bugfixes) durchzuführen, neue Funktionen hinzuzufügen oder Sicherheitslücken in der Firmware des Geräts zu schließen. 
• Jede Schnittstelle zur Außenwelt muss als verwundbar gelten und gesichert werden. Für die Authentifizierung und Verschlüsselung von Kommunikationsschnittstellen lässt sich eine Reihe von Standardprotokollen verwenden. 
• Secure Storage Bereiche sind isolierte Ausführungsumgebungen, die hardwarebasierte Sicherheit für sensible Daten und Code bieten. Sie sind zum Schutz vor Angriffen gedacht, die versuchen auf Daten im Speicher zuzugreifen oder diese zu verändern oder kryptografische Schlüssel zu stehlen. 

Diese allgemeingültigen Maßnahmen zur Gewährleistung der Cybersicherheit wurden beim WiFi-Modul Cordelia-I (Bild 7) implementiert. Das WiFi-Funkmodul verfügt über folgende Sicherheitsfunktionen: 

• 10 byte lange nicht manipulierbare eindeutige Geräte-ID 
• Secure Boot  
• Secure Storage mit verschlüsseltem Dateisystem zum Speichern von Zertifikaten und anderen Zugangsdaten 
• Secure Firmware over-the-air update 
• Secure Socket – Transport Layer Security Protokoll TLSv1.2 
• Secure WiFi-Verbindung nach WPA3 
• Hardwarebeschleunigte Krypto-Engine 

Bild 7. Das WiFi-Modul Cordelia-I von Würth Elektronik verfügt über zahlreiche Funktionen zur Gewährleistung der Cybersicherheit in IoT-Anwendungen.

Sichere Cloud-Anbindung 

Um die Verbindung zur Cloud sicher zu gestalten, sollten das Gerät und die Cloud eine gegenseitige Authentifizierung durchführen, gefolgt vom Austausch eines Sitzungsschlüssels, der dann zur Verschlüsselung des Kommunikationskanals verwendet wird. Dies geschieht in der Regel über das TLS-Protokoll. 

Um eine gegenseitige TLS-Verbindung herzustellen, müssen die folgenden kryptografischen Elemente auf dem Gerät bzw. in der Cloud vorhanden sein. Die Assets müssen außerdem aufeinander abgestimmt sein. 

Auf Geräteseite sind dies: 

• Geräte-ID: Eindeutige Geräteidentität, die unveränderlich und fälschungssicher ist. 
• Geräteschlüssel: Dies ist ein privater Schlüssel, der für jedes Gerät einzigartig ist und geheim sein muss. 
• Gerätezertifikat: Dieses Zertifikat enthält den öffentlichen Schlüssel, der dem privaten Schlüssel des Geräts zugeordnet ist. 
• Root CA: Dies ist die Root CA (Certificate Authority) der Cloud, die zur Authentifizierung des Cloud-Endpunkts verwendet wird. 

Der Prozess der Speicherung dieser Parameter auf dem Endgerät wird als „Device Provisioning“ bezeichnet. 

Auf Cloudseite sind dies:  

• Liste der Geräte-IDs: Eine Whitelist mit Geräte-IDs, die für Verbindungen zugelassen werden sollen. 
• Gerätezertifikate: Öffentliche Schlüssel, die den Geräte-IDs entsprechen, um die Geräteauthentifizierung zu ermöglichen. 

Der Prozess der Speicherung dieser Parameter auf dem Cloud-Endpunkt wird als „Cloud-Onboarding“ bezeichnet. Diese kryptografischen Werte müssen sowohl auf dem Gerät als auch auf dem Cloud-Endpunkt sicher gespeichert werden. Die Offenlegung dieser Werte in einer beliebigen Phase des Lebenszyklus der Geräteherstellung kann die Sicherheit gefährden. Oft stellt die menschliche Interaktion mit diesen kryptografischen Assets die größte Bedrohung dar. Daher müssen die folgenden Schritte befolgt werden, um maximale Sicherheit zu gewährleisten. 

Das Cordelia-I-Modul mit der QuarkLink-Plattform ermöglicht eine sichere Cloud-Anbindung durch "Zero Touch Device Provisioning" und sicheres Cloud-Onboarding (Bild 8). Außerdem kann ein vollständiges Gerätemanagement einschließlich Remote-Cloud-Migration während des gesamten Lebenszyklus eines Geräts durchgeführt werden [6]. 

Zero-Touch-Provisioning mit Quarklink 

Bei diesem Prozess wird das Gerät mit allen Parametern konfiguriert, die für die Verbindung mit der Cloud-Plattform erforderlich sind, einschließlich der kryptografischen Ressourcen, ohne dass ein Mensch eingreifen muss. 

Dies umfasst die Konfiguration mehrerer Parameter einschließlich der oben erwähnten kryptografischen Assets auf dem Gerät. Das Cordelia-I-Modul ermöglicht zusammen mit der QuarkLink-Plattform eine berührungslose Bereitstellung im Feld. Jedes Modul wird mit einem einzigartigen, vorinstallierten und hardwaremäßig manipulationssicheren Schlüsselsatz geliefert. 

Der private Schlüssel ist fest mit der Hardware verknüpft und kann von der Anwendung nicht ausgelesen werden. Die Anwendungssoftware kann nur auf den öffentlichen Schlüssel zugreifen und den privaten Schlüssel für weitere kryptografische Operationen verwenden. 

Bild 8. Die Anmeldung an einer Cloud per Zero-Touch-Provisioning übernimmt die IoT-Sicherheitsplattform QuarkLink von Crypto Quantique. Anschließend findet ein sicherer Datenaustausch zwischen IoT-Gerät und Cloud direkt statt. (Quelle: Würth Elektronik)