EU-DSGVO: So vermeiden Entwickler hohe Strafen

| Autor / Redakteur: Bernd Hantsche * / Margit Kuther

nRF52840-System-on-Chip von Nordic

Ein interessantes Konzept hat Nordic Semiconductor mit dem nRF52840-System-on-Chip realisiert: Der Mikrocontroller basiert auf einem ARM-Cortex-M4F-Kern und bietet neben NFC und IEEE802.15.4 mit Thread auch eine frei programmierbare 2,4-GHz-Schnittstelle. Für diese werden kostenlos Bluetooth 5, ANT und proprietäre Protokolle angeboten. Neben der verschlüsselten Funkverbindung verfügt der Funk-Mikrocontroller über die ARM-TrustZone Cryptocell-310-Technologie.

Diese Co-Prozessoreinheit stellt einen Zufallsgenerator zur Verfügung und ermöglicht asymmetrische, symmetrische und Hash-kryptografische Zuarbeit, so dass die Hauptrecheneinheit entlastet wird. Bei der drahtlosen Kommunikation kann bereits die Wahl der Funktechnologie entscheidend sein für die Gewährleistung der Sicherheit. Die 2,4-GHz-Protokolle auf IEEE802.15.4.-Basis, wie ZigBee oder Thread, sind mit 16 Kanälen à 5 MHz Modulationsbreite recht robust gegenüber kleineren Signalstörungen. Wi-Fi ist mit 20 MHz pro Kanal noch widerstandsfähiger.

Sicherheitsmaßnahmen für Funktechnologien

Das klassische Bluetooth teilt dieselben Frequenzen in 79 Kanäle à 1 MHz, um die Verbindung stabil zu halten, wechselt es den Kanal 1600 Mal in der Sekunde. Bluetooth EDR (Enhanced Data Rate) nutzt zudem das adaptive Frequenzsprungverfahren (AFH), Forward Error Correction (FEC) und eine 128-Bit AES-Verschlüsselung. AFH spürt Interferenzen auf, die entstehen, wenn Wi-Fi im selben Frequenzband funkt, und schließt die blockierten Kanäle aus. Mittels FEC lasen sich Fehler in einer Datenübermittlung entdecken und korrigieren.

Bluetooth Low Energy (BLE)

Bluetooth Low Energy (BLE) nutzt neben AFH und FEC noch weitere Sicherheitsmaßnahmen, z.B. die Geräte-Authentifizierung und Nachrichten-Verschlüsselung. Bluetooth 5 bietet mit seinem Plus an Reichweite oder Datenübertragungsrate viele Vorteile gegenüber Bluetooth 4.2 – gleichzeitig erlaubt genau das auch Angreifern, Daten schneller und aus größerer Entfernung abzugreifen. Ähnliches gilt für Bluetooth Mesh:

Durch die Möglichkeit, ein Netzwerk mit mehr Knoten über größere Distanzen aufzubauen als mit anderen Technologien, steigen auch die Risiken. Um diese einzudämmen sollten Entwickler weitere Sicherheitsmerkmale prüfen, z.B. die Authentifizierung und Verschlüsselung aller Nachrichten, eine klare Trennung von Sub-Netzen oder Mechanismen gegen Replay-Angriffe.

RFID ist ideal für Payment

RFID ist ideal für Applikationen wie Payment oder Identifikation, zumindest wenn es sich um High Frequency RFID handelt. Denn hier beträgt der Lesebereich des Transponders nur wenige Zentimeter. Gleiches gilt für NFC.

Über Wi-Fi werden viele persönliche Daten gesendet, was es für Cyberkriminelle sehr attraktiv macht. Schutz soll das Protokoll WPA2 bieten. Doch Sicherheitsforscher haben gezeigt, dass sich verschlüsselte Daten zwischen einem Access Point und Client trotzdem lesen und manipulieren lassen. Für eine Ende-zu-Ende-Sicherheit müssen also zusätzlich SSL/TLS oder andere Sicherheitslayer zum Einsatz kommen.

Gefährdung bei zellularen Funklösungen

Auch bei zellularen Funklösungen ist die Gefährdung aufgrund der Menge an Nutzern und gesendeten Daten relativ groß. Deshalb sollten Entwickler auch hier an die Ende-zu-Ende Verschlüsselung mittels TLS/SSL denken. Damit auch die Endknoten nicht angreifbar sind, benötigt die SIM-Karte einen aktuellen Verschlüsselungsstandard. Einen hohen Sicherheitslevel bietet v.a. Telit durch seinen One-Stop-Shopping-Ansatz und das Familienkonzept. Beispielsweise die Funkmodule der xE910- und xE866-Familien lassen sich mit der SIM-Karte und dem Telit-IoT-Portal zu einer umfassenden Lösung verbinden, die speziell auf die Industrie ausgerichtet ist.

Sicherheit Komponenten-übergreifend betrachtet

Neben Mikrocontrollern und Wireless-Modulen tragen vor allem Speicher, Sensoren und spezifische Security-Bausteine zu einem DSGVO-gerechten Sicherheitskonzept bei. Welche das sind, hängt von der jeweiligen Applikation und den damit verbundenen Risiken ab. Generell gilt: Datensicherheit lässt sich nicht mit einzelnen Bauteilen herstellen, sie ist immer das Ergebnis des Zusammenwirkens verschiedener Komponenten.

Diese sind nicht nur mit Bedacht auszuwählen, sondern auch fein aufeinander abzustimmen. Denn zwischen vielen Bausteinen gibt es Abhängigkeiten und teils komplexe Wechselwirkungen. Und jedes Sicherheitskonzept ist nur so stark wie sein schwächstes Element.

Blick in die Software-Zukunft – wie Maschinen lernen...

Blick in die Software-Zukunft – wie Maschinen lernen...

14.11.17 - Der moderne Software-Entwickler steht vor gewaltigen Herausforderungen: Immer schneller muss er neue Technologien verstehen, in ihrer Bedeutung einordnen und beherrschen. Aktuelle Beispiele sind IoT-Security, Machine Learning oder Quanten-Computing. lesen

Jedes fünfte IT-Unternehmen ignoriert die Datenschutz-Grundverordnung

Bitkom-Studie

Jedes fünfte IT-Unternehmen ignoriert die Datenschutz-Grundverordnung

17.06.17 - In weniger als einem Jahr drohen IT-Unternehmen in Deutschland Millionen-Bußgelder, wenn sie die europäische Datenschutz-Grundverordnung (DSGVO) nicht umgesetzt haben. Doch 19 Prozent der befragten Unternehmen gaben an, sich nicht mit dem Thema beschäftigt zu haben. lesen

So bewältigen Sie Herausforderungen im Design mit USB Typ C

So bewältigen Sie Herausforderungen im Design mit USB Typ C

02.01.18 - Vom Universal Serial Bus, eingeführt 1996, gibt es verschiedenste Varianten. Je mehr Sie über diese Standards und ihre jeweiligen Funktionen Bescheid wissen, desto einfacher fällt die Entwicklung. lesen

* Bernd Hantsche ist Bereichsleiter Embedded & Wireless bei Rutronik Elektronische Bauelemente

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben
Zitat: 11.01.2018 10:36 Ich entwickle nur, was der Herr Ober mir befiehlt. Wenn, dann geht der ins...  lesen
posted am 11.01.2018 um 11:02 von Unregistriert

Ich entwickle nur, was der Herr Ober mir befiehlt. Wenn, dann geht der ins Kittchen.  lesen
posted am 11.01.2018 um 10:36 von Unregistriert

Ein spannender Artikel und eine gute Hilfestellung auf der technischen Seite zum EU DSGVO....  lesen
posted am 10.01.2018 um 17:26 von jv@university4industry.com


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45038818 / Safety & Security)