EU-DSGVO: So vermeiden Entwickler hohe Strafen

Autor / Redakteur: Bernd Hantsche * / Margit Kuther

Security-Maßnahmen kosten Zeit, Geld und erhöhen den Energieverbrauch. Doch bei verknüpften Geräten ist Security zwingend vorgeschrieben. Diese Tipps und Komponenten helfen weiter.

Firma zum Thema

Hoher Sicherheitslevel: Das Funkmodul Telit LE910 lässt sich mit der SIM-Karte und dem IoT-Portal von Telit zu einer umfassenden Lösung verbinden.
Hoher Sicherheitslevel: Das Funkmodul Telit LE910 lässt sich mit der SIM-Karte und dem IoT-Portal von Telit zu einer umfassenden Lösung verbinden.
(Bild: Telit)

Stichtag ist der 25. Mai 2018 – dann müssen Unternehmen die Anforderungen der Europäischen Datenschutzgrundverordnung (EU-DSGVO) umgesetzt haben.

Ansonsten drohen Strafen von bis zu vier Prozent oder 20 Millionen Euro ihres weltweiten Umsatzes. Dies gilt nicht nur für Unternehmen mit Hauptsitz in der EU, es reicht bereits aus, wenn eine Niederlassung in der EU existiert.

Die maßgeblichen Artikel der EU-DSGVO für Hardware- und Softwareentwickler sowie Produktmanager sind Artikel 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ und Artikel 32 „Sicherheit der Datenverarbeitung“.

Hier ist festgelegt, dass der Verantwortliche und der Auftragsverarbeiter technische und organisatorische Maßnahmen ergreifen müssen, die einen angemessenen Schutz für direkt und indirekt personenbezogene Daten gewährleisten müssen. Dabei müssen die technischen Konstruktionen dem „Stand der Technik“ entsprechen. Was konkret damit gemeint ist, bleibt ebenso offen, wie die Definition von direkt oder indirekt personenbezogenen Daten.

Hardware- und Software-Entwickler, Produktmanager und Einkäufer, die sich Unterstützung bei der Umsetzung der EU-DSGVO wünschen, können sich an das DSGVO-Kompetenzteam von Rutronik wenden. Hier arbeiten Experten aus den Produktbereichen Speichermedien, Funkkommunikation, Embedded Boards, Embedded Systems, Security-Bausteine, Mikrocontroller, Displays und Sensorik abteilungsübergreifend zusammen. Sie beraten Kunden zu allen entsprechenden Komponenten sowie zur gesamten Applikation über sämtliche ISO/OSI-Layer hinweg. Sie erläutern die erklärungsbedürftigen Begriffe der DSGVO, bei Bedarf führen sie individuelle Grundlagenschulungen beim Kunden zu Themen wie Kryptographie, Redundanz und Funkprotokolle durch.

Dabei kann Rutronik als global agierender Broadline-Distributor auf alle notwendigen Komponenten und Systeme von führenden Herstellern ebenso zurückgreifen wie auf das entsprechende Know-how und umfangreiche Erfahrung aus unzähligen Projekten. So hat das Team auch komplette Systemkonzepte erstellt, die sich in kurzer Zeit an die individuellen Anforderungen und Bedrohungsszenarien der jeweiligen Applikation anpassen lassen. So kommen Unternehmen schnell zu DSGVO-konformen Lösungen.

Standard-Mikrocontroller mit Sicherheitsmerkmalen

Als zentrale Steuerungs- und Regelungskomponente nehmen Mikrocontroller eine Schlüsselposition ein. Bei den Standard-Mikrocontrollern, die innerhalb des IoT, der Industrie 4.0 und Robotik vorrangig zum Einsatz kommen, sind verschiedene Modelle mit integrierten Sicherheitsmerkmalen verfügbar. So bietet die STM32-Familie zahlreiche Funktionen, die auf dem Chip integriert sind. Sie gewährleisten die robuste Authentifizierung, Plattformintegrität und durchgehende Datensicherheit. Damit sichern sie die Privatsphäre des Nutzers sowie den Daten-, IP- und Markenschutz.

Infineons Optiga-Trust-Familie

Infineons Optiga-Trust-Familie bewahrt Sicherheitsschlüssel, Zertifikate, Passwörter und Daten wie ein Safe sicher auf. Dadurch schaffen die Mikrocontroller die System- und Datenintegrität, mit der weder Systeme noch Daten manipuliert werden können, und erlauben gesicherte Software und Firmware Updates. Die Familie bietet für jeden erforderlichen Sicherheitslevel eine passende Lösung. Bei der Selektion der optimalen Lösung und deren Umsetzung arbeiten Infineon und Rutronik eng zusammen.

Denn die Sicherheitschips kommen mit vorprogrammiertem und -zertifiziertem Schlüssel von Infineon. Dieser muss auf dem Weg zum Kunden unangetastet bleiben, andernfalls ist die gesamte Sicherheitskette gebrochen. Deshalb versendet Infineon die Chips als geschlossenes System, das Rutronik direkt zum Kunden weiterleitet. Bei sehr komplexen Fällen unterstützt ein zertifizierter Integrator aus Infineons Partnernetzwerk den Kunden bei der Umsetzung der Infrastruktur.

nRF52840-System-on-Chip von Nordic

Ein interessantes Konzept hat Nordic Semiconductor mit dem nRF52840-System-on-Chip realisiert: Der Mikrocontroller basiert auf einem ARM-Cortex-M4F-Kern und bietet neben NFC und IEEE802.15.4 mit Thread auch eine frei programmierbare 2,4-GHz-Schnittstelle. Für diese werden kostenlos Bluetooth 5, ANT und proprietäre Protokolle angeboten. Neben der verschlüsselten Funkverbindung verfügt der Funk-Mikrocontroller über die ARM-TrustZone Cryptocell-310-Technologie.

Diese Co-Prozessoreinheit stellt einen Zufallsgenerator zur Verfügung und ermöglicht asymmetrische, symmetrische und Hash-kryptografische Zuarbeit, so dass die Hauptrecheneinheit entlastet wird. Bei der drahtlosen Kommunikation kann bereits die Wahl der Funktechnologie entscheidend sein für die Gewährleistung der Sicherheit. Die 2,4-GHz-Protokolle auf IEEE802.15.4.-Basis, wie ZigBee oder Thread, sind mit 16 Kanälen à 5 MHz Modulationsbreite recht robust gegenüber kleineren Signalstörungen. Wi-Fi ist mit 20 MHz pro Kanal noch widerstandsfähiger.

Sicherheitsmaßnahmen für Funktechnologien

Das klassische Bluetooth teilt dieselben Frequenzen in 79 Kanäle à 1 MHz, um die Verbindung stabil zu halten, wechselt es den Kanal 1600 Mal in der Sekunde. Bluetooth EDR (Enhanced Data Rate) nutzt zudem das adaptive Frequenzsprungverfahren (AFH), Forward Error Correction (FEC) und eine 128-Bit AES-Verschlüsselung. AFH spürt Interferenzen auf, die entstehen, wenn Wi-Fi im selben Frequenzband funkt, und schließt die blockierten Kanäle aus. Mittels FEC lasen sich Fehler in einer Datenübermittlung entdecken und korrigieren.

Bluetooth Low Energy (BLE)

Bluetooth Low Energy (BLE) nutzt neben AFH und FEC noch weitere Sicherheitsmaßnahmen, z.B. die Geräte-Authentifizierung und Nachrichten-Verschlüsselung. Bluetooth 5 bietet mit seinem Plus an Reichweite oder Datenübertragungsrate viele Vorteile gegenüber Bluetooth 4.2 – gleichzeitig erlaubt genau das auch Angreifern, Daten schneller und aus größerer Entfernung abzugreifen. Ähnliches gilt für Bluetooth Mesh:

Durch die Möglichkeit, ein Netzwerk mit mehr Knoten über größere Distanzen aufzubauen als mit anderen Technologien, steigen auch die Risiken. Um diese einzudämmen sollten Entwickler weitere Sicherheitsmerkmale prüfen, z.B. die Authentifizierung und Verschlüsselung aller Nachrichten, eine klare Trennung von Sub-Netzen oder Mechanismen gegen Replay-Angriffe.

RFID ist ideal für Payment

RFID ist ideal für Applikationen wie Payment oder Identifikation, zumindest wenn es sich um High Frequency RFID handelt. Denn hier beträgt der Lesebereich des Transponders nur wenige Zentimeter. Gleiches gilt für NFC.

Über Wi-Fi werden viele persönliche Daten gesendet, was es für Cyberkriminelle sehr attraktiv macht. Schutz soll das Protokoll WPA2 bieten. Doch Sicherheitsforscher haben gezeigt, dass sich verschlüsselte Daten zwischen einem Access Point und Client trotzdem lesen und manipulieren lassen. Für eine Ende-zu-Ende-Sicherheit müssen also zusätzlich SSL/TLS oder andere Sicherheitslayer zum Einsatz kommen.

Gefährdung bei zellularen Funklösungen

Auch bei zellularen Funklösungen ist die Gefährdung aufgrund der Menge an Nutzern und gesendeten Daten relativ groß. Deshalb sollten Entwickler auch hier an die Ende-zu-Ende Verschlüsselung mittels TLS/SSL denken. Damit auch die Endknoten nicht angreifbar sind, benötigt die SIM-Karte einen aktuellen Verschlüsselungsstandard. Einen hohen Sicherheitslevel bietet v.a. Telit durch seinen One-Stop-Shopping-Ansatz und das Familienkonzept. Beispielsweise die Funkmodule der xE910- und xE866-Familien lassen sich mit der SIM-Karte und dem Telit-IoT-Portal zu einer umfassenden Lösung verbinden, die speziell auf die Industrie ausgerichtet ist.

Sicherheit Komponenten-übergreifend betrachtet

Neben Mikrocontrollern und Wireless-Modulen tragen vor allem Speicher, Sensoren und spezifische Security-Bausteine zu einem DSGVO-gerechten Sicherheitskonzept bei. Welche das sind, hängt von der jeweiligen Applikation und den damit verbundenen Risiken ab. Generell gilt: Datensicherheit lässt sich nicht mit einzelnen Bauteilen herstellen, sie ist immer das Ergebnis des Zusammenwirkens verschiedener Komponenten.

Diese sind nicht nur mit Bedacht auszuwählen, sondern auch fein aufeinander abzustimmen. Denn zwischen vielen Bausteinen gibt es Abhängigkeiten und teils komplexe Wechselwirkungen. Und jedes Sicherheitskonzept ist nur so stark wie sein schwächstes Element.

* Bernd Hantsche ist Bereichsleiter Embedded & Wireless bei Rutronik Elektronische Bauelemente

(ID:45038818)