Realtime Operating Systems (RTOS) arbeiten in Milliarden von Geräten und stellen potenzielle Angriffsziele für Hacker dar, weil ihre Cyberresilienz bislang kaum überprüfbar war. Eine neue Plattform lässt nun Prüfungen zu.
Die Prüfung von Echtzeit-Betriebssystemen als Firmware-Images (Real-time Operating Systems, RTOS) bezüglich Schwachstellen und Schadcode stellt herkömmliche Sicherheitsverfahren vor erhebliche Probleme. Das Düsseldorfer Cybersecurity-Unternehmen ONEKEY hat nun seine Product Cybersecurity & Compliance Platform (OCP) weiterentwickelt, sodass dieser Prüfprozess weitgehend automatisiert durchgeführt wird. „From Firmware to Compliance in One Place“ bezeichnet der Anbieter seinen Lösungsansatz für ein Problem, das angesichts der verschärften Gesetzgebung hinsichtlich Cybersecurity auch bei Embedded-Systemen und den stark zunehmenden Cyber-Angriffswellen immer drängender wird.
Echtzeit-Betriebssysteme sind extrem verbreitet
Echtzeit-Betriebssysteme kommen in fast allen Gerätekategorien zum Einsatz. Dazu gehören Smart-Home-Geräte wie intelligente Thermostate, Smart Locks oder Beleuchtungssysteme, Sensoren und Aktoren, zum Beispiel in drahtlosen Sensornetzen, um Daten effizient zu sammeln und zu verarbeiten, Steuergeräte in Fahrzeugen für Motoren, Klimaanlagen oder Infotainmentsysteme, medizinische Geräte wie EKG-Monitore oder Infusionspumpen, industrielle Steuerungen in Fertigungsanlagen oder Automatisierungssysteme, Netzwerkgeräte wie Router und Switches sowie eine breite Palette an Consumerelektronik, von der Drohnensteuerung bis hin zu elektronischem Spielzeug.
Die Anzahl der Geräte mit RTOS-Software weltweit geht in die Milliarden. „Alle diese Geräte stellen potenzielle Angriffsziele für Hacker dar. Dennoch wurden sie bislang auf ihre Cybersecurity hin kaum geprüft, weil das nur schwer möglich war. Das haben wir nun geändert“, erklärt Jan Wendenburg, CEO von ONEKEY, die Bedeutung der neuen Plattform-Funktion.
Sicherheitsprüfung für Echtzeit-Betriebssysteme
Die neue Sicherheitsprüfung für Echtzeit-Betriebssysteme findet in mehreren Schritten statt. Zunächst werden die Komponenten der RTOS-Firmware identifiziert. Dann werden die Versionen und gegebenenfalls bereits bekannte und mögliche unbekannte Schwachstellen identifiziert. Das funktioniert sogar in monolithischen Binärdateien wie etwa bei FreeRTOS. Im nächsten Schritt erfolgt eine Bewertung der Schwachstellen um relevante Risiken im RTOS zu erkennen und beheben zu können. Durch die optional verfügbare, automatische Compliance Prüfung können in Sekunden Schwachstellen identifiziert werden die auch für Cybersicherheitsstandards wie IEC62443-4-2, EU Cyber Resilience Act und viele andere identifiziert werden. So wird die Vorbereitung von Audits deutlich vereinfacht.
Mehr bei ONEKEY.com
Über ONEKEY ONEKEY (vormals IoT Inspector) ist die führende europäische Plattform für automatische Security & Compliance Analysen für Geräte in der Industrie (IIoT), Produktion (OT) und dem Internet der Dinge (IoT). Über automatisch erstellte „Digital Twins“ und „Software Bill of Materials (SBOM)“ der Geräte analysiert ONEKEY eigenständig Firmware auf kritische Sicherheitslücken und Compliance Verstöße, ganz ohne Sourcecode, Geräte- oder Netzwerkzugriff.