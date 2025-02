ONEKEY GmbH

Neue Cybersicherheitsprüfung für Echtzeit-Systeme (RTOS)

Düsseldorf (ots)

Realtime Operating Systems (RTOS) arbeiten in Milliarden von Geräten und stellen potenzielle Angriffsziele für Hacker dar, weil ihre Cyberresilienz bislang kaum überprüfbar war.

CEO Jan Wendenburg: "Unsere neue RTOS Komponentenanalyse und Cybersecurity-Prüfung ist ein echter Vorteil für jeden Hersteller in der Embedded-Branche."

Die Prüfung von Echtzeit-Betriebssystemen als Firmware-Images (Real-time Operating Systems, RTOS) bezüglich Schwachstellen und Schadcode stellt herkömmliche Sicherheitsverfahren vor erhebliche Probleme. Das Düsseldorfer Cybersecurity-Unternehmen ONEKEY hat nun seine Product Cybersecurity & Compliance Platform (OCP) weiterentwickelt, sodass dieser Prüfprozess weitgehend automatisiert durchgeführt wird. "From Firmware to Compliance in One Place" bezeichnet der Anbieter seinen Lösungsansatz für ein Problem, das angesichts der verschärften Gesetzgebung hinsichtlich Cybersecurity auch bei Embedded-Systemen und den stark zunehmenden Cyber-Angriffswellen immer drängender wird.

Echtzeit-Betriebssysteme kommen in fast allen Gerätekategorien zum Einsatz. Dazu gehören Smart-Home-Geräte wie intelligente Thermostate, Smart Locks oder Beleuchtungssysteme, Sensoren und Aktoren, zum Beispiel in drahtlosen Sensornetzen, um Daten effizient zu sammeln und zu verarbeiten, Steuergeräte in Fahrzeugen für Motoren, Klimaanlagen oder Infotainmentsysteme, medizinische Geräte wie EKG-Monitore oder Infusionspumpen, industrielle Steuerungen in Fertigungsanlagen oder Automatisierungssysteme, Netzwerkgeräte wie Router und Switches sowie eine breite Palette an Consumerelektronik, von der Drohnensteuerung bis hin zu elektronischem Spielzeug. Die Anzahl der Geräte mit RTOS-Software weltweit geht in die Milliarden. "Alle diese Geräte stellen potenzielle Angriffsziele für Hacker dar. Dennoch wurden sie bislang auf ihre Cybersecurity hin kaum geprüft, weil das nur schwer möglich war. Das haben wir nun geändert", erklärt Jan Wendenburg, CEO von ONEKEY, die Bedeutung der neuen Plattform-Funktion.

Die neue Sicherheitsprüfung für Echtzeit-Betriebssysteme findet in mehreren Schritten statt. Zunächst werden die Komponenten der RTOS-Firmware identifiziert. Dann werden die Versionen und gegebenenfalls bereits bekannte und mögliche unbekannte Schwachstellen identifiziert. Das funktioniert sogar in monolithischen Binärdateien wie etwa bei FreeRTOS. Im nächsten Schritt erfolgt eine Bewertung der Schwachstellen um relevante Risiken im RTOS zu erkennen und beheben zu können. Durch die optional verfügbare, automatische Compliance Prüfung können in Sekunden Schwachstellen identifiziert werden die auch für Cybersicherheitsstandards wie IEC62443-4-2, EU Cyber Resilience Act und viele andere identifiziert werden. So wird die Vorbereitung von Audits deutlich vereinfacht.

Hintergrund

Bei der Analyse von Echtzeitbetriebssystem-Firmware-Images ergaben sich bislang deutliche Einschränkungen, da sich diese erheblich von herkömmlicher Linux-basierter Firmware unterscheiden. Im Gegensatz zu dieser, die in der Regel aus separaten Kernel-, Bibliotheks- und Anwendungslogikkomponenten besteht, handelt es sich bei RTOS-Firmware-Images üblicherweise um einzelne statisch verknüpfte Binärdateien. Das bedeutet, dass das gesamte Betriebssystem zusammen mit allen Bibliotheken und dem Anwendungscode in eine einzige Binärdatei kompiliert wird, was es schwierig macht, einzelne Komponenten zu extrahieren und zu analysieren.

Dieser Mangel an Granularität bei der RTOS-Firmware-Analyse bringt mehrere kritische Herausforderungen mit sich:

1. Begrenzte Analysemöglichkeiten: Bisherige Analysetools haben aufgrund der monolithischen Natur der RTOS-Firmware-Images Schwierigkeiten, Komponenten zu identifizieren und zu extrahieren. Daher war es bislang nicht möglich, umfassende Einblicke in den Software-Stack, die Open-Source-Bibliotheken und die potenziellen Schwachstellen dieser kritischen eingebetteten Systeme zu bieten.

2. Sicherheits- und Compliance-Risiken: Ohne eine genaue Identifizierung der Komponenten und der damit verbundenen Schwachstellen herrscht Unklarheit über potenzielle Sicherheitsrisiken und Compliance-Probleme in der RTOS-Firmware. Dies stellt ein erhebliches Risiko für die Sicherheit, die Zuverlässigkeit und die Einhaltung gesetzlicher Vorschriften von Embedded-Systemen dar.

Bei ONEKEY gibt es seit einiger Zeit eine stark steigende Nachfrage nach Unterstützung bei der RTOS-Analyse. Das hängt unter anderem damit zusammen, dass FreeRTOS, eine der beliebtesten Open-Source-RTOS-Varianten, in einer Vielzahl von Embedded-Systemen eingesetzt wird. So unterstützen rund 40 Microcontroller-Architekturen das über einen Zeitraum von 15 Jahren entwickelte FreeRTOS. Es wird Statistiken zufolge alle 170 Sekunden heruntergeladen, es hat also eine sehr große weltweite Verbreitung.

"Die automatisierte Prüfung von FreeRTOS-Firmware in Bezug auf Schwachstellen und Sicherheitslücken stellt für uns und die gesamte Embedded-Branche einen Meilenstein dar", erklärt Jan Wendenburg. Er blickt in die Zukunft: "Damit haben wir den Grundstein für die künftige Ausweitung auf andere RTOS-Varianten gelegt. Unser Ziel, ein flexibles und robustes Framework zu schaffen, das den sich entwickelnden Bedürfnissen der RTOS-Anwender in verschiedenen Branchen gerecht wird, haben wir erreicht." Neben der Ausweitung auf weitere RTOS-Varianten forscht ONEKEY auch an fortschrittlichen Analysetechniken zur Identifizierung von Zero-Day-Schwachstellen in Echtzeit-Betriebssystemen, was von der aktuellen Version noch nicht geleistet werden kann.

Die neue RTOS Komponenten- & Cybersicherheitsprüfung wird erstmals auf der Embedded World 2025 vorgestellt. ONEKEY ist dort mit einem eigenen Stand vertreten: Halle 5, Stand 5-376.

Erfahren Sie mehr über das Event auf unserer Website: https://www.onekey.com/resource/embeddedworld2025

ONEKEY ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination der automatisierten ONEKEY Product Cybersecurity & Compliance Platform (OCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.

Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert - ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von "Software Bill of Materials (SBOM)" können Software-Lieferketten proaktiv überprüft werden. "Digital Cyber Twins" ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.

Der zum Patent angemeldete, integrierte Compliance Wizard(TM) deckt bereits heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.

Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.

International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Platform (OCP) und den ONEKEY Cybersecurity Experten.

Original-Content von: ONEKEY GmbH, übermittelt durch news aktuell