Fraunhofer IEM, Diebold Nixdorf und Miele entwickeln lernfähige Sicherheitsmechanismen für IoT-Systeme
Vernetzte Produkte müssen über ihren gesamten Lebenszyklus hinweg sicher bleiben – von der Entwicklung bis zum laufenden Betrieb. Gleichzeitig erhöht der Cyber Resilience Act den Druck auf Hersteller, Risiken systematisch zu analysieren, Angriffe zu erkennen und Schutzmaßnahmen kontinuierlich zu verbessern. Im it’s OWL-Projekt IoT-ScuBA entwickelte das Fraunhofer IEM gemeinsam mit Diebold Nixdorf und Miele Werkzeuge, die Produkthersteller bei dieser Aufgabe praxisnah unterstützen.
Ob Geldautomat, Haushaltsgerät oder industrielle Anlage: Cyberangriffe auf vernetzte Systeme können erhebliche wirtschaftliche, aber auch rechtliche Folgen haben. Mit dem Cyber Resilience Act steigen für Unternehmen zusätzlich die Anforderungen, ihre Produkte über den gesamten Lebenszyklus hinweg sicher zu betreiben. Gefragt sind nicht nur Schutzmechanismen, sondern auch Systeme, die Angriffe in Echtzeit erkennen und Sicherheitsmaßnahmen kontinuierlich anpassen.
Gemeinsam mit den Industriepartnern entwickelte das Fraunhofer IEM einen durchgängigen Ansatz für die Cyberabwehr vernetzter Produkte: von der Bedrohungsanalyse über die gezielte Überwachung sicherheitskritischer Systembereiche bis hin zur Rückführung realer Angriffsdaten in die Sicherheitsbewertung.
- Bedrohungsanalyse für vernetzte Hard- und Softwaresysteme
- Methodik zur Auswahl relevanter Überwachungspunkte
- Lernmechanismus zur Rückführung neuer Angriffsmuster
- Demonstrator mit Diebold Nixdorf zur automatisierten Angriffserkennung
Bedrohungsanalysen für den Cyber Resilience Act vereinfachen
Ein zentraler Bestandteil der Cybersicherheit ist die sogenannte Bedrohungsanalyse. Unternehmen müssen systematisch analysieren, an welchen Stellen ihre Produkte angreifbar sind und welche Schutzmaßnahmen erforderlich sind. Der CRA schreibt solche Analysen künftig regelmäßig vor – sowohl für neue als auch für bestehende Produkte. Im Projekt entwickelte das Fraunhofer IEM ein Bedrohungsanalysewerkzeug, das Hard- und Software gemeinsam betrachtet. Durch so einen Bedrohungsanalyse-Editor, der in den Entwicklungsprozessen bei Miele erfolgreich getestet wurde, lassen sich potenzielle Schwachstellen vernetzter Geräte automatisiert erkennen und passende Gegenmaßnahmen ableiten. Gleichzeitig entstehen Reporte, die Unternehmen für ihre CRA-Dokumentation nutzen können.
Sicherheitskritische Bereiche gezielt überwachen
Neben der Analyse von Risiken und Bedrohungen fordert der CRA auch die Überwachung sämtlicher sicherheitsrelevanter Vorgänge im laufenden Betrieb. Doch gerade bei komplexen IoT-Systemen stellt sich die Frage: Welche Komponenten müssen überhaupt überwacht werden? Das Projektteam entwickelte eine Methodik, mit der sich auf Basis der Bedrohungsanalyse geeignete Überwachungspunkte für die Angriffsdetektion systematisch ableiten lassen. So lässt sich gezielt überwachen, wo relevante Risiken entstehen – etwa beim Zugriff auf sensible Daten oder an Schnittstellen zwischen verschiedenen Systembereichen. „Nicht jedes Teilsystem muss vollständig überwacht werden“, sagt Projektleiter Dr. Markus Fockel vom Fraunhofer IEM. „Entscheidend ist, die relevanten Stellen systematisch zu identifizieren und Ressourcen gezielt einzusetzen.“
Cyberabwehr lernt aus Angriffen
Eine besondere Stärke des Ansatzes ist, dass die Sicherheitsbewertung nicht mit dem Erkennen eines Angriffs endet. Die im laufenden Betrieb gewonnenen Angriffsdaten fließen automatisiert zurück in das Bedrohungsanalysewerkzeug. So lassen sich neue Erkenntnisse direkt im Bedrohungsmodell berücksichtigen und Schutzmaßnahmen gezielt anpassen. „Der Demonstrator zeigt, wie sich Angriffe auf vernetzte Systeme im laufenden Betrieb erkennen und konkrete Reaktionen automatisiert einleiten lassen. Für Hersteller ist das ein wichtiger Schritt, um Sicherheit nicht nur zu planen, sondern kontinuierlich zu verbessern“, erläutert Marcel Stienemeier, Senior Security Engineer bei Diebold Nixdorf. Auch die Anbindung an offene Plattformen wie MISP (Malware Information Sharing Platform) spielt dabei eine wichtige Rolle. Ziel ist es, Erkenntnisse über Angriffe künftig besser zwischen Unternehmen und Sicherheitsteams auszutauschen und Cyberbedrohungen schneller zu erkennen.
Demonstrator zeigt Angriffserkennung im laufenden Betrieb
Wie die im Projekt erarbeiteten Werkzeuge und Methoden zusammenspielen, zeigt ein Demonstrator von Diebold Nixdorf: Der entwickelte Angriffsdetektions-Prototyp erkennt Schadsoftware auf Geldautomaten und stoppt Angriffe, wenn unberechtigt Bargeld ausgezahlt wird. Die Angriffsdaten werden dann in MISP bereitgestellt und im Bedrohungsanalysewerkzeug an den betroffenen Komponenten visuell dargestellt. „Die Ergebnisse unseres Projekts zeigen, wie wichtig es ist, Security ganzheitlich zu denken“, betont Markus Fockel. „Bedrohungsanalyse, Angriffsdetektion und die Rückführung realer Angriffsdaten gehören in einen Kreislauf. Nur so bleibt ein vernetztes Produkt über seinen gesamten Lebenszyklus sicher. Genau das verlangt der Cyber Resilience Act.“
Die im Projekt entwickelten Werkzeuge und Methoden wurden sowohl am Geldautomaten-Demonstrator von Diebold Nixdorf als auch im Bedrohungsanalyse-Editor von Miele erprobt. Damit zeigen die Ergebnisse, wie Produkthersteller Cyberabwehr systematisch in vernetzte Systeme integrieren können: von der Risikoanalyse über die Angriffserkennung bis zur kontinuierlichen Verbesserung der Schutzmaßnahmen.
Unternehmen, die ihre IoT-Produkte auf die Anforderungen des Cyber Resilience Act vorbereiten möchten, finden die Lösungsbausteine aus dem Projekt auf der it’s OWL-Innovationsplattform.
Bild: © Fraunhofer IEM / KI generiert
Quelle: Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM