Security Testing für Embedded Systems

Inhalt des Artikels:

Seite 1: Security Testing für Embedded Systems
Seite 2: Penetrationstests zur Tiefenanalyse (Deep Analysis)
Seite 3: Automatisierte Schwachstellen-Scans für objektive Ergebnisse

Anbieter zum Thema

Automatisierte Schwachstellen-Scans für objektive Ergebnisse

Es gibt viele Arten von automatisierten Tools, die jeweils unterschiedliche Aspekte der Produktsicherheit überprüfen. Es existiert eine Reihe von Tools, die das gesamte IoT-Ökosystem abdecken, also eingebettete, Cloud-, Web- und mobile Komponenten.

Einige verwenden den dynamischen Ansatz, bei dem ein aktives Gerät über das Netzwerk gescannt wird, um den Sicherheitsstatus hinsichtlich von Webserver und Kommunikation zu diagnostizieren. Andere verwenden den statischen Ansatz, bei dem der Quellcode oder das Binary Image eines Geräts gescannt werden.

Dynamische Tools brauchen ein aktives Gerät. Dahingehend sind statische Tools flexibler. Sie benötigen nur eine Datei, die über ein Web-Interface heruntergeladen wird. Ein weiterer Unterschied besteht darin, dass dynamische Tools auf das externe Verhalten des Geräts limitiert sind, während statische Tools auch sein Innenleben untersuchen.

Statische Tools decken sichere Codierungspraktiken ab, finden bekannte Sicherheitsschwachstellen und Exploits, identifizieren potenzielle Zero-Day-Schwachstellen und zeigen sogar verschiedene Konfigurations- und Architekturprobleme auf den untersten Anwendungsebenen (Bootloader und Betriebssystem-Interna) bis hin zu den oberen Ebenen auf. Ein gut entwickeltes Tool kann Hunderte oder sogar Tausende von einzelnen Scans oder Tests durchführen.

Dabei haben statische Tests den Vorteil, dass sie in wenigen Minuten die Art von Ergebnissen liefern, für die Penetrationstester manuell Tage oder Wochen brauchen würden. Der gesamte Testprozess verläuft automatisch und wird nahtlos in einen kontinuierlichen Integrations- beziehungsweise Entwicklungsfluss integriert. Dabei kann man potenziell jedes Produkt und jede Version scannen – ohne Automatisierung an sich schon ein unmögliches Unterfangen.

Tools sind wiederverwendbar und objektiv

Solche Tools zu entwickeln ist mit Kosten verbunden, denn jede einzelne Scan-Funktion muss auf jedes Betriebssystem portiert und die Abdeckung für jeden Dateisystemtyp und jede Softwarekomponente hinzugefügt werden. Hat man den Aufwand aber einmal betrieben, zahlt er sich aus. Denn die Scanner kann man immer wieder einsetzen, und sie erlauben eine schnelle On-Demand-Analyse.

Wer ein gutes, automatisiertes Tool für Schwachstellen-Scans anbieten will, der investiert oft jahrelang in Forschung und Entwicklung, an der im Übrigen auch Penetrationstester maßgeblich beteiligt sind. Die Expertise von solchen Forschungsteams fließt in die Analyse von Produkten, Plattformen und Softwarekomponenten ein. Umgekehrt liefern diese ihrerseits Erkenntnisse, die den Weg zurück in die Entwicklung automatisierter Scanner finden.

Im Gegensatz zu einem manuell erstellten Bericht eines Pen-Testers hat die Automatisierung noch einen weiteren Vorteil: sie ist objektiv. Ein und dasselbe Tool liefert immer objektive Ergebnisse zu einem Gerät oder einer Softwarekomponente. Ein Aspekt, der automatisierte Tools für externe Zertifizierungen sehr hilfreich macht.

Dazu kommt, dass solche Tools auch externe Standards beinhalten. Sie analysieren beispielsweise die Firmware eines Geräts und geben einen Defizitbericht in Bezug auf einen bestimmten Standard aus. Der gibt Aufschluss über den nötigen Zeit- und Arbeitsaufwand, um diesen Compliance-Anforderungen zu entsprechen. Das lässt sich in der Regel in wenigen Minuten erledigen, während der gleiche Prozess, manuell durchgeführt, Wochen für die Dokumentation und Analyse in Anspruch nehmen würde.

Sicherheitsprüfung – ein Must-Have

Sicherheitsprüfungen sind notwendig, daran besteht kein Zweifel, aber es gibt verschiedene Wege. Manuelle Methoden erzielen hervorragende Ergebnisse, erfordern aber ein engagiertes und entsprechend ausgebildetes Team sowie Zeit und Aufwand. In einigen Fällen führen sie trotzdem zu verzerrten Ergebnissen. Insbesondere dann, wenn ein Auftraggeber die Anreize falsch gesetzt hat.

Der Markt für vernetzte internetfähige Geräte (IoT) ist hoch dynamisch. Umfangreiche Produktlinien, viele unterschiedliche Varianten und eine möglichst schnelle Markteinführung sind die Regel. Anbieter sollten deshalb automatisierte Tests gegenüber manuellen in Betracht ziehen.

Die unabhängige Zertifizierung hat ihre eigenen Nachteile, vor allem hohe Kosten und langwierige Arbeitsprozesse und gegebenenfalls Aktualisierung oder gar Neuzertifizierung. Andererseits kommt man in bestimmten Märkten um eine unabhängige Zertifizierung nicht herum. Je nach Art und Umfang ist sie vermutlich der tauglichste Indikator für ein sicheres Produkt und liefert somit einen Wettbewerbsvorteil. Automatisierte Tools unterstützen auch unabhängige Zertifizierungen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu RZ- und Server-Technik

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.

Der beklagenswerte Sicherheitslevel vieler IoT-Produkte schafft es regelmäßig in die Schlagzeilen. Aber inzwischen sind die Regulierungsbehörden hellhörig geworden und mischen bei den Vorgaben zu Sicherheitsstandards kräftig mit. Sicherheitsprüfungen sind folglich unabdingbar. Automatisierte Tools erlauben eine detaillierte Sicherheitsprüfung, On-Demand und für eine breite Palette von vernetzten Produkten. Das wird den Anteil solcher Tools innerhalb von Sicherheitsprüfungen weiter steigen lassen.

* Harry Zorn ist Vice President EMEA bei Vdoo.