Sieben Eigenschaften hochsicherer Geräte

Autor / Redakteur: Galen Hunt, George Letey und Edmund B. Nightingale, Microsoft Azure Sphere Team / Sebastian Gerstl

In den nächsten zehn Jahren werden mehrere Milliarden Geräte mit Netzanbindung in Betrieb gehen. Die gute Nachricht ist, dass Endanwender und Unternehmen erkannt haben, wie wichtig ein umfassender Geräteschutz hier ist. Die schlechte Nachricht ist, dass vielen Stakeholdern nicht bewusst ist, dass von jedem IoT-Gerät ein Höchstmaß an Sicherheit gefordert werden muss. Microsoft hat sieben Grundeigenschaften identifiziert, die ein hochsicheres Gerät besitzen muss.

Firmen zum Thema

Die meisten vernetzten Geräte bieten in der Regeln nur zwischen einem oder drei Sicherheitslevel. Laut Microsoft gibt es allerdings sieben Eigenschaften, die ein hochgradig sicheres und vernetztes Gerät erfüllen muss.
Die meisten vernetzten Geräte bieten in der Regeln nur zwischen einem oder drei Sicherheitslevel. Laut Microsoft gibt es allerdings sieben Eigenschaften, die ein hochgradig sicheres und vernetztes Gerät erfüllen muss.
(Bild: Clipdealer)

Vielen Unternehmen, die IoT-Geräte herstellen und einsetzen, ist nicht ausreichend bewusst, wie wichtig ist es ist, dass jedes vernetzte Gerät ein Höchstmaß an Cybersicherheit bietet. Vernetzte Kinderspielzeuge, Haushaltsgeräte und Industrieanlagen müssen vor Angriffen aus dem Internet geschützt werden. Angesichts hoher Entwicklungs- und Wartungskosten sind umfassende Sicherheitsfunktionen bislang jedoch eher hochpreisigen oder margenstarken Geräten vorbehalten.

Microsoft hat sich zum Ziel gesetzt, für jedes IoT-Gerät ein Höchstmaß an Sicherheit vorzusehen, besonders für die Milliarden mikrocontrollergesteuerter Geräte. Speziell für diese Gerätekategorie birgt die Netzanbindung hohe Sicherheitsrisiken. Endanwender und Unternehmen sind aufgrund der mangelnden Investitionen in die Sicherheitserfordernisse dieser und anderer preissensitiven Geräte zunehmend Gefahren durch unzureichende Gerätesicherheit und Angriffen auf die Privatsphäre ausgesetzt.

In zehn Jahren werden alle Geräte vernetzt sein. Dank stark sinkender Konnektivitätskosten lässt sich jede Art von Elektrogerät mit dem Internet verbinden – vom Spielzeug über Haushaltsgeräte bis hin zu Industrieanlagen. Das Internet der Dinge (IoT) wird zur Triebfeder der Wirtschaft. Es wird zahllose Innovationen ermöglichen, wenn die digitale Transformation in allen Bereichen Einzug hält, von der Kinderbetreuung bis hin zur Altenpflege, vom Gastgewerbe bis hin zum Bergbau, von Bildung bis hin zum Transportwesen. Die Auswirkungen dieser universellen Gerätekonnektivität lassen sich nicht gänzlich vorhersehen, doch die Erwartungen sind hoch [1] [2].

Unserer Erfahrung nach ist vielen Unternehmen, die IoT-Devices herstellen und einsetzen, nicht ausreichend bewusst, wie wichtig ist es ist, dass jedes vernetzte Gerät ein Höchstmaß an Cybersicherheit bietet. Schon das einfachste Gerät kann bei Angriffen über das Internet eine Gefahr darstellen: ein Spielzeug wird zum Spion [3], ein Gerät kann sich selbst zerstören oder einen Denial-of-Service-Angriff [4] auslösen, Anlagen können Beschädigungen oder Zerstörung [5] verursachen. Angesichts derartiger Bedrohungen nicht nur für Leib und Leben, sondern auch für Ruf und Eigentum sind einstufige Verteidigungsmaßnahmen und halbherzige Lösungen nicht genug. Viele vernetzte Geräte werden in komplexeren IoT-Systemen eingesetzt; dabei kann die Kompromittierung von nur einem Gerät schnell zu einer Anhäufung von Risiken durch Datenverschmutzung oder Seitenkanal- bzw. Denial-of-Service-Attacken führen.

Es liegt uns fern, Panik zu verbreiten. Auch wenn es derzeit bei der Cybersicherheit von Geräten mit Netzanbindung noch viel Luft nach oben gibt, sind wir zuversichtlich, was die künftigen Entwicklungen betrifft. Wir halten es für machbar, alle Geräte, auch die kostengünstigsten, so auszulegen, dass mit angemessenen Schutzmaßnahmen selbst die massivsten Angriffe entschlossener Hacker abgewehrt werden können.

Unsere Befürchtungen und unsere Hoffnungen, was den Schutz vernetzter Geräte betrifft, fußen auf den jahrzehntelangen Erfahrungen, die Microsoft im Bereich der Internetsicherheit gesammelt hat. Als Reaktion auf Angriffe auf vernetzte PCs begann Microsoft mit Windows 95 schon vor langer Zeit, Geräte im Feld remote zu aktualisieren [6]. Angesichts immer häufigerer Attacken führte Microsoft mit Windows XP die automatische Fehlerberichterstellung bei Sicherheitsangriffen sowie die automatische Evidenzanalyse ein [7]. Um Schwachstellen bei Geräten im Feld zu begegnen, entwickelte Microsoft Technologien und Tools zur Erkennung und Behebung von Schwachstellen, die bereits im Geräteentwurf berücksichtigt werden. [8] [9].

Wir wollen es Geräteherstellern sämtlicher Branchen ermöglichen, in jedem vernetzten Gerät ein Höchstmaß an Cybersicherheit umzusetzen. Solche hochgradig geschützten Geräte sollen jedem Endanwender und jedem Unternehmen zur Verfügung stehen. Wir haben vorhandene Geräte und deren Cybersicherheit unter die Lupe genommen und dabei sieben Eigenschaften identifiziert, die für hochgradig geschützte, vernetzte Geräte unerlässlich sind: ein Hardware-Vertrauensanker (Hardware Root of Trust), tiefgehende Verteidigung (Defense in Depth), eine kleine Trusted Computing Base, dynamische Abschottung (Compartments), passwortlose Authentifizierung, Fehlerberichterstellung und erneuerbare Sicherheit.

Voraussetzung für ausreichenden Schutz ist, dass ein Gerät mit Netzanbindung alle sieben Eigenschaften besitzt oder damit ausgestattet wird. Die Hardware und Software (Firmware) des Geräts wirken hier zusammen – die Gerätesicherheit ist in der Hardware implementiert und wird von fortlaufend verbesserter Sicherheitssoftware überwacht. Wenn eine oder mehrere der sieben Eigenschaften im Gerät nicht oder unzureichend implementiert sind, erfordert dieses Defizit zusätzliche externe Maßnahme und Prozesse, die erhebliche Kosten nach sich ziehen. So muss beispielsweise ein Gerät ohne vollautomatisch erneuerbare Sicherheit manuell aktualisiert werden. Im unvermeidlichen Fall einer neu auftretenden, massiven Sicherheitsbedrohung müssen dann Techniker Updates an den Geräten vor Ort vornehmen – ein kostenintensives Unterfangen. Unserer Erfahrung nach ist dieser letzte Punkt kritisch: Gerätehersteller unterschätzen meist immer noch, dass angesichts ständig neu auftretender Sicherheitsbedrohungen häufige Updates erforderlich sind. Selbst extrem professionell entwickelte Geräte erfordern in der Regel mehrere Updates jährlich.

Wie sich herausgestellt hat, fehlt dieser umfassende Schutz besonders in mikrocontrollerbasierten Geräten. In manchen Mikrocontroller-Familien sind inzwischen hardwareseitig mehr Sicherheitsfunktionen vorgesehen, z.B. durch kryptographische Engines oder Trusted Execution Environments. Doch diese Optimierungen gehen nicht weit genug. Mit Crypto-Beschleunigung oder Private Key Storage allein lässt sich kein umfassender Geräteschutz sicherstellen, wenn der Mikrocontroller selbst keine Defense-in-Depth-Mechanismen oder dynamische Abschottung unterstützt. Die wenigsten Mikrocontroller, auch nicht neuere Modelle mit weiterentwickelten Sicherheitsfeatures, erfüllen die Voraussetzungen für eine robuste Implementierung aller sieben Eigenschaften hochgradig geschützter Geräte.

Um die Bedrohungen der Cybersicherheit vernetzter, mikrocontrollerbasierter Geräte zu adressieren, haben wir MediaTek ins Boot geholt und gemeinsam einen MediaTek-Mikrocontroller umgebaut. Aus dem MT7687 wurde Sopris, ein hochgradig geschützter Mikrocontroller als Proof of Concept (Beschreibung in Abschnitt 3.1). Auf Basis des Sopris konnten wir mikrocontrollerbasierte Versuchsgeräte mit vollständigen Implementierungen der sieben Eigenschaften entwickeln. Die wichtigsten Hardware-Neuerungen im Sopris: 1) Integration eines Hardware-Vertrauensankers, eingebettet in einem Sicherheitsprozessor im Mikrocontroller-Chip und 2) Integration einer Speicherverwaltungseinheit (MMU) im Primärprozessor des Mikrocontrollers. Durch diese Neuerungen entstand eine Mikrocontroller-Architektur, die wir – mit der geeigneten Software – als geeignete Basis für hochgradig geschützte Geräte sehen.

Die sieben Eigenschaften hochgradig geschützter Geräte

Sichere Geräte zu bauen ist eine große Herausforderung. Doch wie sich gezeigt hat, ist Sicherheit mehr eine Wissenschaft als eine Kunst. Es gilt, anerkannte Prinzipien und Vorgehensweisen einzuhalten, vom Entwurf bis hin zur Bereitstellung. Bei unseren Untersuchungen konnten wir sieben Eigenschaften identifizieren - und wir behaupten, dass diese für den umfassenden Schutz jedes vernetzten Gerätes unerlässlich sind.

Im folgenden werden die sieben Eigenschaften hochsicherer Geräte vorgestellt, sowie jeweils mindestens ein konkretes Beispiel und Fragen, die sich Entwickler zur Evaluierung der jeweiligen Eigenschaft stellen sollten.

1. Hardware Root-of-Trust: Die Geräte-Identität und -integrität werden durch die Hardware geschützt. Physische Gegenmaßnahmen schützen vor Seitenkanalangriffen.

Fragen zur Evaluierung: Hat das Gerät eine eindeutige, fälschungssichere Identität, die untrennbar mit der Hardware verbunden ist? Wird die Integrität der Gerätesoftware durch die Hardware geschützt?

2. Tiefgehende Verteidigung (Defense in Depth): Gegen Bedrohungen werden multiple Mitigationsmaßnahmen durchgeführt. Gegenmaßnahmen mindern die Auswirkungen eines erfolgreichen Angriffs auf einen beliebigen Vektor.

Fragen zur Evaluierung: Bleibt das Gerät geschützt, auch wenn ein Sicherheitsmechanismus verletzt wird?

3. Trusted Computing Base (TCB): Private Schlüssel sind in einem hardwaregeschützten Vault gespeichert, auf den die Software keinen Zugriff hat. Aufteilung der Software in selbstschützende Ebenen.

Fragen zur Evaluierung: Ist der sicherheitskritische Gerätecode vor Bugs in der weiteren Gerätesoftware sicher?

4. Dynamische Abschottung (Dynamic compartments): Hardwarebasierte Schutzgrenzen zwischen Softwarekomponenten verhindern, dass ein Sicherheitsverstoß in einer Komponente auf weitere Komponenten übergreift.

Fragen zur Evaluierung: Beschränkt sich ein Ausfall einer Gerätekomponente auf diese eine Komponente? Lassen sich neue Abschottungen schaffen, um neuen Sicherheitsbedrohungen zu begegnen?

5. Passwortlose Authentifizierung (Password-less authentication): Ein mit einem fälschungssicheren Kryptoschlüssel signiertes Token dient dem Nachweis der Geräte-Identität und -Authentizität.

Fragen zur Evaluierung: Authentifiziert sich das Gerät selbst über Zertifikate oder andere mit dem Hardware-Vertrauensanker signierte Token?

6. Fehlerberichterstellung (Error reporting) : Ein Softwarefehler, z.B. ein durch einen Angreifer ausgelöster Pufferüberlauf, wird an ein cloudbasiertes Fehleranalysesystem übermittelt.

Fragen zur Evaluierung: Liefert das Gerät Fehlerberichte, damit überprüft werden kann, ob es korrekt in der Einsatzumgebung ausgeführt wird und um neue Bedrohungen identifizieren zu können?

7. Erneuerbare Sicherheit (Renewable security): Updates bringen das Gerät in einen sicheren Zustand und widerrufen kompromittierte Ressourcen bei bekannten Sicherheitslücken oder -verletzungen.

Fragen zur Evaluierung: Wird die Gerätesoftware automatisch aktualisiert? Lässt sich die TCB-Sicherheitssoftware des Gerätes ohne Repackaging des übrigen Gerätecodes schnell aktualisieren?

Hochgradig geschützte Geräte haben einen Hardware-Root-of-Trust

Die Hardware schützt den privaten Identitätsschlüssel eines Gerätes, validiert die Gerätesoftware-Identität und beinhaltet zudem Schutzfunktionen für Seitenkanalangriffe. Im Gegensatz zur Software hat die Hardware zwei wichtige Eigenschaften, die für den Geräteschutz vonnöten sind. Zum einen kann ein Angreifer Hardware mit festgelegter Funktionalität nicht zum Ausführen unerwünschter Aktionen missbrauchen. Zum anderen kann die Hardware physische Angriffe erkennen und abschwächen. Beispielsweise lässt sich eine Impulsprüfung des Reset-Pins zur Vermeidung von Glitch-Attacken einfach in der Hardware implementieren [10]. Für den Schutz geheimer Daten und deren Integrität schafft die Hardware einen robusten Vertrauensanker, auf dem die Softwarefunktionen sicher und zuverlässig implementiert werden können.

In IoT-Anwendungen muss ein Hardware-Root-of-Trust mindestens zwei Aufgaben erfüllen: Schutz der Geräte-Identität und Schutz der Software-Integrität durch Secure-Boot. Ein gerätespezifischer geheimer Wert, der privat im Gerät gespeichert ist, dient als Vertrauensanker für die Geräte-Identität. Mithilfe eines orthogonalen öffentlichen Schlüssels des Geräteherstellers, der geschützt im Gerät gespeichert ist, kann über eine Signaturverifikation die Integrität der Software authentifiziert werden, die auf dem Gerät laufen soll. Weiterentwickelte Hardware-Vertrauensanker unterstützen das sichere Erzeugen privater Schlüssel im Gerät, die Messung der gesamten Software und Firmware einschließlich ROM, Schutz der ruhenden Daten, Hardwareschreibschutz, vertrauenswürdige Entropiequellen für die Zufallszahlengenerierung sowie irreversible Speicherung für den Rollbackschutz.

Hochgradig geschützte Geräte verwenden tiefgehende Verteidigungsmechanismen

In hochgradig geschützten Geräten werden für jede Bedrohungsklasse mehrere Risikominderungen angewendet. Bei Geräten mit nur einer Sicherheitsebene, wie z.B. den meisten RTOS-basierten Geräten, kann bereits ein einziger Fehler im Design oder in der Implementierung schwerwiegende Schäden zur Folge haben. Da neue Bedrohungen oft völlig unerwartet auftreten, sind mehrstufige Maßnahmen oft ausschlaggebend dafür, ob ein Gerät gut geschützt ist oder Schaden nimmt.

Schon einfache Defense-in-Depth-Maßnahmen schützen ein Gerät vor Sicherheitsverstößen. Umfassendere Maßnahmen mindern darüber hinaus auch die Folgen solcher Verstöße. Eine tiefgehende Verteidigung sollte sowohl hardwareseitig als auch softwareseitig vorgesehen werden. Write-Once-Latches an Konfigurationsregistern und Write-Protect-Latches am Programmcode beispielsweise sorgen dafür, dass ein Gerät nur in geringem Ausmaß umfunktioniert werden kann, auch wenn die Gerätesoftware vorübergehend kompromittiert ist. Auch das Ausführen kritischer Tasks auf isolierten Cores ist eine Defense-in-Depth-Maßnahme. Wie bei der Hardware können Defense-in-Depth-Ebenen in der Gerätesoftware verhindern, dass bei Kompromittierung eines Netzwerkstacks die Gerätefirmware im Flash-Speicher überschrieben wird.

Fast alle Defense-in-Depth-Designs fußen auf dem Assume-Breach- und Zero-Trust-Modell – die Entwickler evaluieren die Wirksamkeit jedes Schutzmechanismus, damit die Sicherheit gewährleistet wird, auch wenn ein Angreifer bereits andere Teile des Geräts kompromittiert hat. So könnte die defensive Programmierung im Boot-ROM eines geschützten Chips davon ausgehen, dass ein Angreifer die Spannung und das Taktsignal des Prozessors kompromittiert hat, um Glitch-Attacken auf das ROM durchzuführen.

Hochgradig geschützte Geräte haben eine kleine Trusted Computing Base

Eine Trusted Computing Base (TCB) ist “eine kleine Menge Software und Hardware, von der die Sicherheit abhängt und die wir von einer viel größeren Menge unterscheiden, die sich schlecht verhalten kann, ohne die Sicherheit zu beeinträchtigen“ [11]. Innerhalb eines Gerätes kann sich die TCB je nach Operation unterscheiden. Die TCB für den Schutz ruhender Daten kann beispielsweise den Hardware-Vertrauensanker, die Ver- und Entschlüsselungssoftware sowie Software für das Ver- und Entsiegeln der Kryptoschlüssel enthalten; die TCB für die sichere Kommunikation dagegen auch eine TLS-Implementierung. Die TCB sollte für alle Operationen so klein wie möglich sein, um die Angriffsfläche zu minimieren und die Wahrscheinlichkeit zu verringern, dass ein Softwarefehler oder ein Feature dazu missbraucht wird, Sicherheitsmaßnahmen zu umgehen. Der TCB-Code sollte von unkritischem Gerätecode isoliert sein, damit die sichere Ausführung gewährleistet wird, selbst wenn der Code außerhalb der TCB kompromittiert wurde. In weniger geschützten Geräten ist die TCB oft nicht isoliert – der Sicherheitscode in diesen Geräten wird im gleichen abgeschotteten Bereich ausgeführt wie der restliche Gerätecode. Hier kann schon ein einziger Fehler im Gerätecode zu schwerwiegenden Schäden im ganzen Gerät führen.

In Minimal-Implementierungen werden kritische Kryptoschlüssel-Operationen isoliert in einer kleinen TCB ausgeführt. Der private Identitätsschlüssel eines Gerätes und der Zugriff auf diesen Schlüssel sollten auf die kleinstmögliche Teilmenge der Gerätehardware und -software beschränkt sein. In hochwertigeren Implementierungen ist die TCB mehrschichtig, um den Zugriff auf persistenten Speicher oder kritische E/A-Ressourcen abzusichern, um eine Kompromittierung des Codes außerhalb der TCB zu identifizieren und zu beheben und um ein Failover auf eine sichere Backup-Software zu ermöglichen, wenn ein Gerät massiv kompromittiert wurde. Erfahrene Fachleute, die mit den neuesten Tools und Vorgehensweisen der Angreifer vertraut sind, sollten den Code innerhalb der TCB umfassend auf potentielle Schäden prüfen.

Hochgradig geschützte Geräte bieten dynamische Abschottung

In Computing-Geräten sind Schutzabschottungen hardwarebasierte Grenzen, die verhindern, dass ein Sicherheitsverstoß oder Fehler in einem Softwarebereich auf andere Softwarebereiche übergreift. Die Abschottung schafft zusätzliche Schutzgrenzen und damit weitere Verteidigungsebenen. Mithilfe der dynamischen Abschottung lassen sich über die Lebensdauer eines Gerätes weitere Grenzen zur Abwehr von Sicherheitsbedrohungen erzeugen.

Minimal-Implementierungen dynamischer Abschottung verwenden Betriebssystemprozesse oder unabhängige virtuelle Maschinen zur Abschottung. Geräte mit dynamischer Abschottung lassen sich im Feld aktualisieren und so erheblich besser vor neu auftretenden Sicherheitsbedrohungen und Angriffen schützen. Weniger geschützte Geräte, und dazu gehören die meisten kostengünstigen Geräte mit Echtzeit-Betriebssystem (RTOS), haben entweder keine oder nur fix abgeschottete Softwarebereiche, die sich nach Inbetriebnahme eines Gerätes nicht mehr umkonfigurieren lassen. Dies schränkt die Fähigkeit, neu auftretende Sicherheitsbedrohungen abzuwehren, natürlich ein.

Hochgradig geschützte Geräte verwenden die passwortlose Authentifizierung

Die passwortlose Authentifizierung, z.B. über ein Zertifikat, dient zum Identitätsnachweis bei der gegenseitigen Authentifizierung, wenn lokale Geräte miteinander oder mit Clouddiensten kommunizieren. Ein Zertifikats- oder anderes passwortloses Authentifizierungstoken weist die Identität und Autorisierung nach, die mit einem geheimen privaten Schlüssel signiert ist und sich gegen einen bekannten öffentlichen Schlüssel validieren lässt. Im Gegensatz zu Passwörtern oder anderen Authentifizierungsmechanismen, die auf geteilten Geheimnissen basieren, können passwortlose Authentifizierungsmechanismen, die durch einen Hardware-Vertrauensanker unterstützt werden, nicht gestohlen, gefälscht oder anderweitig zur Authentifizierung eines Eindringlings verwendet werden.

In einer Minimal-Implementierung attestieren Zertifikate nicht nur die Identität der Hardware, sondern auch die Identität der auf dem Gerät ausgeführten Software – z.B. wird bestätigt, dass das Gerät mit der neuesten Software läuft und somit alle bekannten Sicherheitsschwachstellen adressiert werden. Wird basierend auf der Attestierung ein Zertifikat oder Authentifizierungstoken ausgestellt, so können die vom Gerät aufgerufenen Services anfordern, dass das Gerät zunächst ein Softwareupdate durchführt, falls es mit einer älteren Softwareversion läuft, bei der eine bekannte Kompromittierung vorliegt.

Hochgradig geschützte Geräte bieten Online-Fehlerberichterstellung

Wenn bei einem hochgradig geschützten Gerät ein Fehler auftritt, wird automatisch ein Fehlerbericht erstellt und zügig an ein Fehleranalysesystem übermittelt. Im besten Fall wurde der Fehler durch unzulängliche Programmierung verursacht, im schlimmsten Fall durch einen Angreifer, der im Gerät nach neuen Angriffsvektoren sucht. In jedem Fall korreliert das Fehleranalysesystem die Fehlerberichte mit der gesamten Geräteflotte und ermöglicht so die automatische Fehlerdiagnose. Wenn ein ausreichend großer Umfang an Berichten vorliegt, lassen sich auch sehr seltene Fehlerbedingungen diagnostizieren und beheben, und neue Angriffsvektoren können identifiziert und isoliert werden, ehe sie großflächig ausgenutzt werden [7]. Die Fehlerberichterstellung schafft eine umfassende „Immunität“ innerhalb einer hochgradig geschützten Geräteflotte. Ohne automatische Online-Fehlerberichterstellung tappen Gerätehersteller bezüglich der im Feld auftretenden Gerätefehler im Dunklen und können von neuen Angriffen überrumpelt werden.

In Minimal-Implementierungen werden Daten über in der Hardware und Software erkannte Fehler erfasst und an den Gerätehersteller übermittelt. Die Fehler werden nahezu in Echtzeit analysiert; Gerätehersteller – oder deren Softwareanbieter – führen routinemäßig datengestützte Prüfungen durch, um Fehler in laufenden Geräten zu diagnostizieren und diese mittels Softwareupdates zu beheben.

Hochgradig geschützte Geräte haben erneuerbare Sicherheit

Ein Gerät mit erneuerbarer Sicherheit kann sich automatisch aktualisieren und so in einen sichereren Zustand versetzen, auch nachdem es kompromittiert wurde. Erneuerbare Sicherheit ist unerlässlich, denn es kommt zu immer schwerwiegenderen Sicherheitsbedrohungen durch Angreifer, die neue Angriffsvektoren entdecken und neue Angriffsmethoden und -tools verwenden. Um neu auftretenden Bedrohungen zu begegnen, muss die Gerätesicherheit regelmäßig erneuert werden. In Extremfällen, z.B. wenn abgeschottete Bereiche der Systemsoftware und deren Schichten von Zero-Day-Exploits kompromittiert werden, müssen tiefer liegende Schichten neu erzeugt und so die Sicherheit der darüber liegenden Schichten im Gerät wiederhergestellt werden. Remote-Attestierung und Rollback-Schutz verhindern, dass ein Gerät mit erneuerter Sicherheit wieder in einen bekannten, gefährdeten Zustand versetzt werden kann. Ein Gerät ohne erneuerbare Sicherheit stellt ein hohes potentielles Risiko dar.

In einer Minimal-Implementierung lässt sich jede Verteidigungsebene der Gerätesoftware voneinander unabhängig und automatisch aktualisieren, ohne die anderen Ebenen zu beeinträchtigen. Ein Fehler in einem Netzwerkprotokoll – wie die Schwachstelle KRACK, die 2017 in WPA2 Wifi-Protokollen identifiziert wurde [12] – kann beispielsweise behoben werden, ohne die Echtzeit-Regelschleifen eines Gerätes aktualisieren oder neu testen zu müssen. Automatische Aktualisierung bedeutet, dass für die Aktualisierung kein manueller Eingriff am Gerät erforderlich ist. Neben voneinander unabhängigen Schichten und automatisierten Prozessen verwenden sichere Implementierungen erneuerbarer Sicherheit robuste Mechanismen, die sicherstellen, dass sich ein Gerät auch von fehlgeschlagenen Updates oder externen Ereignissen, z.B. Strom- oder Netzwerkausfällen während eines Updates, erholt.

(ID:47039685)