:quality(80)/p7i.vogel.de/wcms/97/b8/97b86180c3b056c5558f1e89e4b6fa22/89860262.jpeg "Linux-Systemanalyse und Debug mit dem Tool gdb: Wer Systemfehlern auf den Grund gehen und sie effizient beheben möchte, ist bei dem Seminar Diagnose von Linux bestens aufgehoben. (Bild: GDB Command: Info locals / Linux Screenshots / CC BY 2.0)")
:quality(80)/p7i.vogel.de/wcms/65/46/654669f191c36807b0b9220d4d1dc17c/0105202171.jpeg "Linux-Trainer und Best-Speaker-Preisträger: Wer Andreas Klinger noch nicht gehört hat, der hat auch noch nicht alles über Linux gehört. Mit didaktischem Geschick, großer Leidenschaft und unverwechselbarem Akzent „brennt“ der Ur-Bayer die Basics und Feinheiten von Linux in die Köpfe der Entwickler. (Bild: VCM)")
:quality(80)/p7i.vogel.de/wcms/16/2b/162b2abbd1b852a9f3f478d6c6fbdede/78352155.jpeg "Linux-Trainer und Best-Speaker-Preisträger: Wer Andreas Klinger noch nicht gehört hat, der hat auch noch nicht alles über Linux gehört. Mit didaktischem Geschick, großer Leidenschaft und unverwechselbarem Akzent „brennt“ der Ur-Bayer die Basics und Feinheiten von Linux in die Köpfe der Entwickler. (Bild: VCM)")
:quality(80)/images.vogel.de/vogelonline/bdb/1927700/1927780/original.jpg "Eine Plattform für Trendtechnologien der Zukunft: Die World of QUANTUM bringt ein umfassendes Vortragsprogramm und vielfältige Ausstellungsformate zusammen . (Entwurf, designed by meplan.)")
:quality(80)/p7i.vogel.de/wcms/a9/06/a906f028f922064597c90a762c130001/0111161743.jpeg "Einer aus dem Dreierteam: Der vierrädrige Roboter Husky im Einsatz auf dem „Mond“. (Bild: FZ Forschungszentrum Informatik)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/6a/2f/6a2f167401f10f18afdc55b0e90536f9/0109274310.jpeg "Prototyp eines RISC-V Mikroprozessors aus dem Jahr 2013 (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/41/1f/411f8ad27405977bbb7cb9206df07be4/0111388692.jpeg "Abbildung 1 (Bild: RTI)")
:quality(80)/p7i.vogel.de/wcms/07/4b/074bbdcc761d46e8e31fe76c3a2f4f8f/0109934783.jpeg "Green Hills Software ist auch 2023 auf der Embedded World vertreten und zeigt an seinem Stand in Halle 4, 325 verschiedene Demos für Embedded Ingenieure. (Bild: Copyright (c) 2018 ParabolStudio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/f9/5f/f95fcd042af077dc3d66899dc2816e29/0109937725.jpeg "Erhöhte Sicherheit: Security-fokussierte Programmiersprache Rust nun für PikeOS nutzbar (Bild: SYSGO)")
:quality(80)/p7i.vogel.de/wcms/9d/c5/9dc51aceca8d17c99bb4f2fe207aa607/0111648705.jpeg "Agile Softwareentwicklung lebt unter anderem vom ständigen Austausch aller Beteiligten. (Bild: <a href=https://unsplash.com/de/@jasongoodman_youxventures>Jason Goodman</a>)")
:quality(80)/p7i.vogel.de/wcms/ca/a0/caa05b9965bf706d74a5eb9747d6b2da/0110637610.jpeg "MOSA-Ziele konzentrieren sich darauf, offene Standards und modulare Komponenten zu verwenden, um die Entwicklungskosten zu reduzieren und die Flexibilität von Systemen zu erhöhen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b3/cc/b3ccb847bc3443385fc70791c893c6bf/0110497279.jpeg "Nadine Riederer ist CEO bei Avision. (Bild: TWX Photography)")
![Die ursprüngliche Richtlinie MISRA C:2012 [MISRA3] enthält 159 Vorgaben. (Bild: frei lizenziert)](https://cdn1.vogel.de/H4TpkUUxUA9NGq5-yPLmHlLM1j8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/5d/67/5d67e4c73c7d2ad87efc155a20b34c10/0111515949.jpeg "Die ursprüngliche Richtlinie MISRA C:2012 [MISRA3] enthält 159 Vorgaben. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0f/56/0f56440b91620ecab4063bd807884227/0111334152.jpeg "Bestätigt: dSpace-Tools dürfen in sicherheitsrelevanten Entwicklungsprojekten nach ISO 26262:2018 für alle Automotive Safety Integrity Levels (ASIL) eingesetzt werden. (Bild: dSPACE GmbH)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/9c/e1/9ce1e5a9cd2b5c6dda9cf817e2ea7bc1/0111860365.jpeg "Ein Arbeitgeber muss die Ausbildung und Fortbildung als wertvolles Gut betrachten und seine Mitarbeiter entsprechend unterstützen. Mitarbeiter sind das wichtigste Kapital des Arbeitgebers und der Schlüssel zu anhaltendem Geschäftserfolg (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/01/c0/01c0704317d4edaf0e573f722c7a9e3e/0107577806.jpeg "Mythen sind in der Embedded-Programmierung weit verbreitet. Wir stellen Ihnen einige vor und klären in einem zweiten Artikel, welche Fakten es gibt. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/09/f4/09f4cd13cfa544c5ba7464c32917666a/0111368304.jpeg "VW arbeitet an einer eigenen Software, die sich plattform- und markenübergreifend skalieren lässt. Dieses Vorhaben ist offenbar komplexer als zunächst angenommen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f551f5778d5bd171b3f17d73ff593723/72055891.jpeg "(Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/ee/3e/ee3e6bd1548c02ee07ac5edd7725d5af/77955554.jpeg "Auf einem Embedded-Linux-System direkt lässt sich Software aufgrund der begrenzten Ressourcen nur schlecht debuggen. Das in Linux integrierte Tool GDB erlaubt, die Embedded Software über einen PC extern auf Fehler zu untersuchen. (Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/a1/22/a12273ea61fe7f569b7b6a9f06493bc0/0110643930.jpeg "KI-Modelle spielen eine bedeutende Rolle in vielen Anwendungen, nicht zuletzt bei Lösungen für assistiertes oder gar autonomes Fahrens. (Bild: Mathworks)")
:quality(80)/p7i.vogel.de/wcms/31/90/3190c962e45b69b63d927a7625bfe71a/0108586440.jpeg "Bild 1: KI-Engineering braucht Systemverständnis. (Bild: Fraunhofer IOSB)")
:quality(80)/p7i.vogel.de/wcms/9a/9f/9a9fa3523309f9d3d5913fc064fdd92b/0107360831.jpeg "Software hilft beim Meistern der Herausforderungen des neuen Lieferkettenhesetzes. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/df/de/dfde99db2fd6a284729aa7388502f129/0107037164.jpeg "Wenn der Preis wichtiger ist als Sicherheit: Es besteht ein Risiko für viele Firmen, sofern VPN und grundlegende Sicherheitsvorkehrungen im Homeoffice nicht obligatorisch sind. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/d5/1ed5275a8a540a22af56f34386ac3bc8/0107856947.jpeg "Die neueste Version der Univeral Debug Engine ermöglicht die Steuerung der Prozessorkerne für das Debugging, den Test und tiefgreifende Systemanalysen innerhalb einer einzigen Debugger-Instanz. (Bild: PLS Programmierbare Logik & Systeme)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
:quality(80)/p7i.vogel.de/wcms/24/2e/242e280e4bd31499e2b8cfacbbd48a8b/0105611684.jpeg "Die Erweiterung der Compiler Suite soll das Entwickeln neuer Anwendungen für bestimmte Prozessoren im Automotive-Bereich vereinafchen. (Bild: NXP)")
Safety und Security Zertifizierung von Sicherheitsprodukten nach Common Criteria
Die Digitalisierung vieler gesellschaftlicher Bereiche schreitet mit enormer Geschwindigkeit voran. Neben den Vorteilen bietet die aktuelle Entwicklung jedoch neue vielfältige Angriffspotentiale, welche, wenn richtig ausgenutzt, zu enormen finanziellen oder Personenschäden führen können.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/bf/5fbfdf326d5dd/rti-logo-color-200px.jpg "rti-logo-color-200px.jpg (rti)"){kind=logo}
Um das Vertrauen in die Sicherheit zu steigern, können Software- und Hardwareprodukte nach ISO/IEC 15408 (Common Criteria) zertifiziert werden. Dieser Beitrag gibt einen Überblick über die Zertifizierung von Sicherheitsprodukten nach Common Criteria und geht dabei gezielt auf einige Besonderheiten im Kontext der eingebetteten Systeme ein.
Die zunehmende Digitalisierung und Technologisierung verschiedenster Bereiche bringen viele Vorteile für den Endkunden. So ist es beispielsweise möglich, sein Eigenheim mit dem Smartphone zu steuern, aus dem vernetzten Fahrzeug auf Internetdienste zuzugreifen oder Daten über die ärztliche Behandlung digitalisiert und in der Telematikinfrastruktur des Gesundheitswesens sicher zu verwalten.
Der Einsatz neuer, komplexer und vernetzter Technologien bietet jedoch auch zusätzliches Missbrauchspotential durch neue Sicherheitslücken. Die böswillige Ausnutzung solcher Sicherheitslücken führt nicht selten zu erheblichen Schäden.
![Bild 1: Abhängigkeiten zwischen Kriterienkatalogen [1]](https://cdn1.vogel.de/x0O9RfPywNkFmnVqWVHySn-_03A=/300x300/smart/filters:format(jpg):quality(80)/images.vogel.de/vogelonline/bdb/1092700/1092786/original.jpg "Bild 1: Abhängigkeiten zwischen Kriterienkatalogen [1]")
:quality(80)/images.vogel.de/vogelonline/bdb/1092700/1092787/original.jpg "Bild 2: Deutsches Zertifizierungsschema")
![Bild 3: Vergleich der Ansätze zur zusammengesetzten Zertifizierung [9]](https://cdn1.vogel.de/vwkYhbEminNUT51SzgEq-_GVnow=/300x300/smart/filters:format(jpg):quality(80)/images.vogel.de/vogelonline/bdb/1092700/1092790/original.jpg "Bild 3: Vergleich der Ansätze zur zusammengesetzten Zertifizierung [9]")
Ein hohes Sicherheitslevel und das entsprechende Vertrauen in die Sicherheitsprodukte spielen daher sowohl in der Wirtschaft als auch im privaten Bereich eine immer wichtigere Rolle. Gerade der Wunsch nach Vertrauen in IT Sicherheitsprodukte stellt den Kunden vor eine gewaltige Herausforderung.
Viele Kunden sind oftmals nicht in der Lage, zu erfassen, welche Sicherheitsfunktionalität ein Produkt bietet und inwieweit es die gewünschten Sicherheitsanforderungen erfüllt. Des Weiteren ist es für den Kunden ohne eine unabhängige Expertenbegutachtung nahezu unmöglich in Erfahrung zu bringen, inwieweit die angegebenen Mechanismen korrekt umgesetzt sind.
Mit den Common Criteria (ISO/IEC 15408, Common Criteria for Information Technology Security Evaluation, kurz CC) [2] wurde ein Standard zur Bewertung und Prüfung von Sicherheitsfunktionalitäten von IT Produkten nach gestaffelten Vertrauenswürdigkeitsstufen geschaffen.
Die Common Criteria bieten Mittel zur Spezifikation der Sicherheitsanforderungen und eine einheitliche Methodik zur Evaluierung und Bewertung der umgesetzten Sicherheitsfunktionalitäten. Im Rahmen spezieller Abkommen ist ein Common Criteria IT-Sicherheitszertifikat international anerkannt und ermöglicht die Gegenüberstellung der Sicherheitseigenschaften zertifizierter Produkte.
Ein CC-Zertifikat liefert klare Aussagen bezüglich der behaupteten Sicherheitseigenschaften: Korrektheit der Sicherheitsfunktionalität, Wirksamkeit der Sicherheitsfunktionalität gegen Angriffe, Analyse der potentiellen Schwachstellen sowie entsprechende Prüftiefe. Ausgehend von den Sicherheitsvorgaben (Security Target, ST), die dem Zertifikat zugrunde liegen, hat der Abnehmer des zertifizierten Produkts die Möglichkeit, die entsprechende Sicherheitsfunktionalität zu erfassen und zu entscheiden, inwieweit dieses Produkt für den geplanten Einsatzzweck und die vorgesehene Einsatzumgebung aus sicherheitstechnischer Sicht geeignet ist.
Bild 1 in der Bildergalerie zeigt die Entstehungsgeschichte der Common Criteria. Die ersten Kriterien zur methodischen Bewertung der Sicherheit in der Informationstechnik waren Trusted Computer System Evaluation Criteria (TCSEC) des amerikanischen Verteidigungsministeriums. Im gleichen Zeitraum entstanden in Großbritannien, Deutschland und Frankreich vergleichbare Kriterien, die dann 1991 zusammen mit den TCSEC in die gemeinsamen europäischen Kriterien eingeflossen sind.
Mit der voranschreitenden Globalisierung entstand der Wunsch nach einheitlichen und international anerkannten Kriterien, die in Form der Common Criteria entwickelt wurden. Die CC sind eine Weiterentwicklung und Harmonisierung der europäischen ITSEC-Kriterien, der TCSEC bzw. Federal Criteria der USA sowie der kanadischen Kriterien (CTCPEC) [1].
(ID:44290807)
:quality(80)/images.vogel.de/vogelonline/bdb/1956400/1956480/original.jpg "In fast allen Lebensbereichen wünscht sich eine Mehrheit den Einsatz von Anwendungen, die auf KI basieren, so der Digitalverband Bitkom. Viele Anwendungsbereiche sind dabei sensibel, sodass die Frage nach Datenschutz, Ethik und Compliance bei KI mehr als gerechtfertigt erscheint. (Bitkom)")
:quality(80)/images.vogel.de/vogelonline/bdb/1922400/1922482/original.jpg "Das Echtzeit Betriebssystem RTEMS wurde nun auch in seiner Multicore-Variante von der europäischen Raumfahrtbehörde ESA für den sicherheitskritischen Einsatz in Satelliten zertifiziert. (NASA)")