Der Zweck dieser kleinen physischen Geräte, die Gerätesicherheit bieten, besteht darin, die Verwaltung von Sicherheitsfunktionen von der Rolle des Mikrocontrollers zu trennen. Sowohl Insight SIP als auch das CEA-Leti Research Center integrieren sie in ihre jeweilige Entwicklung.
Um die Sicherheit verbundener Objekte zu gewährleisten, wird der allgemeinen Öffentlichkeit zuerst geraten, die Standardkennwörter zu ändern. Aber Vorsicht, bei guter Sicherheit geht es nicht nur darum, Programme auszuführen. „Die gesamte Kette muss berücksichtigt werden, von der Software über das Netzwerk und die Hardware bis hin zur Zertifizierung von Aggregationsstandorten“, betont Cyril Bruy, IoT Marketing Director bei Linxens, einem Hersteller von elektronischen Komponenten für die Sicherheits- und Identifikationsmärkte.
Um das IoT zu sichern, waren sich alle befragten Vertreter einig, dass vernetzte Objekte mit einem sicheren Element ausgestattet werden müssen, „einem unabhängigen Mikroprozessor, dessen Rolle auf Sicherheitsfunktionen beschränkt ist“, erklärt Michel Beguin, Präsident von Insight SiP, einem französischen Spezialisten für Ultra- Mikro-Hochfrequenzschaltungen. Sein Ziel: die Elemente des Sicherheitsmanagements vom Mikrocontroller zu trennen. „Halbleiterhersteller können dem Mikroprozessor eine Codierzelle hinzufügen, aber das reicht nicht immer“, fährt er fort.
Laut Michel Begin verwenden nur noch sehr wenige Spieler sichere Gegenstände. „Die Sicherheit scheint von einer Geheimhaltungskultur umgeben zu sein, und die Kunden wissen nicht, was sie tun sollen.“ Anmerkung von Leo Gonzalez, Mitbegründer des IT-Dienstleistungsunternehmens Devensys Cybersecurity in Montpellier: „Kunden denken an Cyberangriffe, glauben aber nicht, dass der physische Zugriff auf Sensoren ein Problem sein kann und dass der Mikrocontroller geschützt werden muss.“ „Das nachträgliche Debuggen von Sicherheitsfehlern ist jedoch teuer“, betont Marie-Sophie Maslott, Senior Director of Business Development beim französischen Elektronik- und IT-Labor CEA Leti, die die Implementierung von Security by Design empfiehlt und über Testmethoden und Tools verfügt, um die Sicherheit zu definieren Hardwareebene und beraten Hersteller bei ihren Projekten.
Ein paar zehn Cent pro Artikel
Allerdings „ist die Forderung nach mehr Sicherheit branchenübergreifend sehr hoch, auch bei Consumer Connected Objects aus Imagegründen: Marken wollen nicht, dass ihre Geräte für DDOS-Angriffe auf andere Systeme verwendet werden“, stellt Michel Begin fest. Die Eingabe eines sicheren Gegenstands bedeutet laut Insight SiP „Kosten von mehreren zehn Eurocent pro Gegenstand“. In der Überzeugung, dass die sichere Komponente in Zukunft der Schlüssel sein wird, machte Insight SIP sowie CEA zu einem Pilotprojekt für ihre Entwicklungen im Jahr 2022.
Insight SIP, das sich auf vernetzte Geräte im Gesundheitswesen konzentriert, wird seit 2019 mit Swiss Cysec entwickelt und ist ein sicheres End-to-End-Transportgerät zwischen dem Internet der Dinge und seiner medizinischen Anwendung. Dies würde es beispielsweise einem einzelnen Arzt in einem Krankenhaus ermöglichen, Verschlüsselungsschlüssel zu erhalten, um auf Daten zuzugreifen, die von einem Sensor gemeldet werden. Nach einer Verzögerung aufgrund der Gesundheitskrise soll das Produkt noch in diesem Jahr eingeführt werden.
CEA seinerseits hilft bei der Entwicklung einer Prozessorarchitektur, die eine sichere Komponente integriert. Die Lösung ermöglicht die Erkennung von Angriffen, die auf den Prozessor abzielen, und die Wiederaufnahme der Kontrolle oder des minimalen Betriebs des angreifenden verbundenen Objekts. „Im kritischen Internet der Dinge, insbesondere der industriellen Produktion, ist es wichtig, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten“, sagt Marie-Sophie Maslott. Das Projekt iMRC (Integrated Monitoring and Recovery Component) wird mit Tiempo Secure, einem Experten für sichere Halbleiterentwicklung, im Rahmen der Grand Cyber Challenge umgesetzt, einem von der Regierung im Jahr 2020 gestarteten Projekt erste Hälfte 2022 und kommerzieller Betrieb ab 2023. Kunden werden Hardware-Sicherheitselemente nicht mehr ignorieren können.