Die Firmware ist ein wichtiger Bestandteil der heutigen eingebetteten Elektronik. Ihre Authentizität und Integrität stellt einen Schlüsselfaktor dar, der die Betriebs- und Angriffssicherheit eingebetteter Systeme gewährleistet, z. B. bei intelligenten x-IoT-Produkten, die mit dem Internet verbunden werden. Obwohl Firmware-Updates die Funktionalität von Produkten auf einem Gebiet verbessern sollen, stellen sie auch den idealen Mechanismus für Angreifer dar, um ein Produkt zu hacken. Dies haben Sicherheitsforscher im Jahr 2015 demonstriert: Sie waren in der Lage, Lenkrad und Bremsen eines SUV fernzusteuern. Obwohl die originale Firmware des Fahrzeugs einen solchen Zugriff nicht erlaubt hatte, konnten die Angreifer problemlos ihre eigene, bösartige Firmware laden und erhielten so vollständigen Zugriff auf das Fahrzeug.
Aus diesem Grund hat TÜViT einen neuen Ansatz entwickelt, der es ermöglicht, den isolierten Firmware-Updater unabhängig von der eigentlichen lösungsspezifischen Firmware zu prüfen und zu zertifizieren. Das liegt daran, dass dieser Update-Mechanismus zur Hauptangriffsfläche für jedes eingebettete Produkt werden kann, wenn er nicht sorgfältig entworfen und implementiert wird.
Bestehende Zertifizierungsprogramme berücksichtigen stets die gesamte Sicherheit der produkt- oder branchenspezifischen Funktionalitäten der Komponente oder des Systems und fügen als Voraussetzung schließlich einen (sicheren) Firmware-Uploader als Teil der Zertifizierung hinzu. Dadurch wird es für Hersteller von Universalchips schwierig, ihr Produkt zertifizieren zu lassen: Während der Chipentwicklung und sogar während der Produktion ist der tatsächliche Anwendungsfall (und die entsprechende Firmware) oftmals noch nicht vollständig bekannt, doch die Chips werden für den zukünftigen Verkauf auf Vorrat hergestellt. Um die Initialisierung solcher Chips zu einem späteren Zeitpunkt zu ermöglicht, muss jedoch zumindest ein grundlegender Firmware-Updater ab Werk enthalten sein. Dieser Firmware-Updater kann nun von TÜViT geprüft und zertifiziert werden.
Um die Aspekte im Hinblick auf Markteinführungszeit und Kosten zu erfüllen, setzt der neue Evaluierungsservice von TÜViT auf ein zeitgesteuertes Evaluierungskonzept. Drei verschiedene Sicherheitsstufen (niedrig, erheblich, hoch) spiegeln das unterschiedliche Angriffspotenzial durch verschiedene Zeitspannen wider. Zusätzlich zu einigen Pflichtanforderungen kann die Evaluierung durch die Auswahl optionaler Anforderungen, z. B. Verschlüsselung von Updates oder Verwendung von sicheren Post-Quantum-Algorithmen, erweitert werden. Einzigartig am Konzept von TÜViT ist das (optionale) Hinzufügen einer Fehlerbehandlungsroutine für fehlgeschlagene Updates: Während das Abschalten bei Standard-Sicherheitshardware (z. B. Kreditkartenchips) eine sinnvolle Option darstellt, müssen eingebettete Systeme, die sicherheitskritische Funktionen steuern, möglicherweise mit eingeschränkter Funktionalität weiterarbeiten. Beispielsweise sollte weder ein Automobilsteuergerät noch ein (intelligenter) Rauchmelder aufgrund eines fehlgeschlagenen Updates aufhören zu funktionieren. Stattdessen sollte das Gerät in einen Notfunktionsmodus wechseln oder auf die zuvor verwendete Firmware zurückgreifen.
TÜViT bietet ab sofort die Prüfung und Zertifizierung von Firmware-Update-Loadern nach diesem neuen Ansatz an.