Anzeige

nuSIM auf dem TÜViT-Prüfstand

Eine entscheidende Voraussetzung für das IoT bildet die umfassende – und im besten Falle auch sichere – Vernetzung unterschiedlicher Geräte, Maschinen und Gegenstände. Eine mögliche Lösung, um diese Vernetzung zu schaffen, bietet eine neue Technologie namens ’nuSIM‘. Einen Überblick darüber, was die SIM-Lösung kann und wie neue Modelle zur Zertifizierung auf ihre Sicherheit geprüft werden, zeigt dieser Artikel.

nuSIM bündelt genau die Funktionen einer SIM, die auch tatsächlich im IoT benötigt werden. (Bild: ©jules/stock.adobe.com / TÜV Informationstechnik GmbH)

nuSIM bündelt genau die Funktionen einer SIM, die auch tatsächlich im IoT benötigt werden. (Bild: ©jules/stock.adobe.com / TÜV Informationstechnik GmbH)

Bei nuSIM handelt es sich um eine neuartige Form eines Subscriber Identity Module, auch schlicht SIM-Karte genannt. Die Lösung wurde von der Deutschen Telekom in Zusammenarbeit mit führenden Technologiepartnern für Anwendungen im IoT konzipiert. Sie verzichtet bewusst auf die Funktionalitäten einer klassischen SIM-Karte, die für viele IoT-Szenarien kaum bis gar nicht benötigt werden. So entfällt auch das normalerweise nötige Entsperren der SIM-Lösung mit einer PIN, da mobile Sensoren meist nicht über einen Touchscreen, ein PIN-Pad oder andere Möglichkeiten der PIN-Eingabe verfügen. Aus diesem Grund müssen bei der nuSIM andere Sicherheitsmechanismen greifen. Als schöner Nebeneffekt des bewussten Verzichts auf selektiv gewählte Funktionalitäten sinken Entwicklungs- und Produktionskosten. Gleichzeitig kann durch die direkte Integration in den Modemchipsatz auf eine platzhungrige SIM-Karte verzichtet werden. Damit steht mehr Platz für andere Bauteile zur Verfügung. Das dahinterstehende Motto ‚Weniger ist mehr‘ darf allerdings nicht in Sachen Sicherheit gelten. Denn wie im Falle traditioneller SIM-Karten müssen auch die von der nuSIM gespeicherten Daten, wie eindeutige Kartennummer und kryptographische Schlüssel, sicher verwaltet und verarbeitet werden. Daher hat die TÜViT gemeinsam mit der Deutschen Telekom ein spezielles Prüf- und Zertifizierungskonzept erarbeitet, mit dem Hersteller von nuSIM-Karten die IT-Sicherheit ihrer Produkte belastbar belegen können.

 (Bild: TÜV Informationstechnik GmbH)

(Bild: TÜV Informationstechnik GmbH)

Prüfung und Zertifizierung

Bei der Prüfung handelt es sich um eine Komponentenprüfung, bei der die Lösung im Hinblick auf ihre Widerstandsfähigkeit gegenüber verschiedensten Angriffsmethoden getestet wird. Für diese Zwecke wird das TÜViT-eigene Evaluierungsverfahren zur Sicherheitstechnischen Qualifizierung (SQ) herangezogen, das neben einer Prüfung auch eine anschließende Zertifizierung mit dem Trusted-Product-Security-Zertifikat aus der TÜViT Trusted Zertifikatsfamilie erlaubt. In einem vorausgehenden Workshop wird zunächst der genaue Zertifizierungsgegenstand abgegrenzt. Da nur der nuSIM-Anteil des Chipsatzes am Ende zertifiziert wird, besteht ein wesentliches Ziel darin, diesen logisch vom Rest zu separieren. Der Vorteil dieser Abgrenzung: Selbst, wenn sich andere Teile des Chipsatzes ändern, behält das Zertifikat seine Gültigkeit. Im Gegenzug müssen jedoch auch sämtliche Maßnahmen, die die Sicherheit der durch die nuSIM gespeicherten Daten gewährleisten, innerhalb des Zertifizierungsgegenstands der nuSIM liegen. Anschließend wird im Rahmen einer Design- und Architekturanalyse die Sicherheit des Produktes im Detail hinterfragt: Welche konkreten Mechanismen nutzt die nuSIM, um die Vertraulichkeit der auf ihr gespeicherten Daten zu garantieren? Und wie sichert sie deren Integrität? Kann ein Angreifer trotz aller Vorkehrungen einen Weg an den vorhandenen Sicherheitsmaßnahmen vorbei finden? Wie teuer, in Zeit und Aufwand, ist es diesen Weg zu beschreiten? Werden bei diesem Schritt Probleme festgestellt, muss nachgebessert werden. Daher empfiehlt es sich im Rahmen einer Voruntersuchung, die bereits während der Implementierung durchgeführt wird, die nuSIM untersuchen zu lassen. Insgesamt punktet die SQ in diesem Zusammenhang mit geringeren Anforderungen an die herstellerseitige Dokumentation des Produktes als bei einer Zertifizierung nach den Common Criteria. Im Anschluss erfolgen intensive Schwachstellenanalysen und Penetrationstests. Die für nuSIM-Lösungen geltenden Sicherheitsanforderungen schreiben für diesen Schritt einen Aufwand von 40 Personentagen, also acht Wochen, vor. In der Regel können Prüfaspekte sogar parallel bearbeitet und die Laufzeit für Tests somit auf lediglich vier bis sechs Wochen reduziert werden. Um trotz der relativ kurzen Zeit, die für Penetrationstests vorgesehen ist, ein hohes Sicherheitsniveau sicherzustellen, bedient sich das Evaluierungsverfahren des White-Box-Ansatzes. Das heißt, die Prüfer erhalten sämtliche Informationen über den zu prüfenden Zertifizierungsgegenstand bis hin zum Quellcode. Das sichert ihnen gegenüber potentiellen Angreifern automatisch einen Vorsprung. Das Resultat ist ein individueller Testplan, der den vergleichsweise geringen Testzeitraum bestmöglich einteilt. Ein besonderes Augenmerk liegt dabei auf der Sicherheit gegenüber Remote-Angriffen, die über etwaige Netzwerkschnittstellen ablaufen und somit von überall auf der Welt durchgeführt werden können. Da für diese Art von Angriffen kein physischer Zugang zur nuSIM benötigt wird, sind diese als besonders kritisch einzustufen. Alle Teilergebnisse der Evaluierung werden in einem aussagekräftigen Prüfbericht verschriftlicht. Sämtliche Tests werden dabei so protokolliert, dass sie jederzeit von dritter Stelle nachvollziehbar und auch reproduzierbar sind. Sofern alle zuvor definierten technischen Sicherheitsanforderungen durch den Zertifizierungsgegenstand umgesetzt sind, erfolgt die Bestätigung dieser im Zuge der anschließenden Ausstellung des TÜViT-Zertifikates. Mit dem Zertifikat können Hersteller die IT-Sicherheit ihrer Produkte beispielsweise gegenüber Netzbetreibern belastbar nachweisen.

Empfehlungen der Redaktion

Das könnte Sie auch interessieren

Die Entwicklungen in Industrie 4.0 und IIoT sind die Hauptantriebskräfte für die Idee konvergierter Netzwerke. Bis es jedoch eine einheitliche Technologie gibt, welche die einfache Integration über vertikale und horizontale Kommunikation unterstützt, muss die Überbrückung bestehender IT-/OT-Systeme sichergestellt werden, ohne ihre individuellen Anforderungen zu stören. Diese muss auch besonderes Augenmerk auf die Sicherheit richten.‣ weiterlesen

Anzeige

Viele Softwareentwickler verwenden vornehmlich Linux als Entwicklungsumgebung für Embedded-Systeme da es in zahlreichen Varianten zur Verfügung steht. Jedoch liegt darin auch gleichzeitig eine der größten Herausforderungen. Letztlich soll sichergestellt sein, dass man für den jeweiligen Anwendungsfall die geeignete Linux-Variante gewählt hat. Welche Varianten es gibt und welche Vorteile sie bieten, zeigt dieser Beitrag.‣ weiterlesen

Anzeige

Das Internet of Things erzeugt unerschöpfliche Datenmengen und damit viele Herausforderungen, die Unternehmen bedenken müssen. So gilt es vor allem mit der richtigen Lösung, Daten nach ihrem Nutzen zu selektieren und diesen dann den entsprechenden Platz einzuräumen.‣ weiterlesen

Anzeige

Mit Lynx MOSA.ic soll die Applikationsentwicklung eine neue Perspektive erhalten, die die Erschaffung, Zertifizierung und Instandhaltung inhärent komplexer Softwaresysteme vereinfacht und Entwicklern ein tieferes Verständnis dafür sowie eine verstärkte Kontrolle darüber verschaffen, wie Anwendungen auf modernen CPUs realisiert werden.‣ weiterlesen

Crate.io, Entwickler von Echtzeit-Datenbanklösungen für Maschinendaten und IoT-Anwendungen, hat die Real-Time-Datenbank des Unternehmens um eine anwendungsspezifische Lösung für die Fertigungsindustrie erweitert. Die Crate IoT Data Platform for Discrete Manufacturing ermöglicht die Erfassung, Analyse, Speicherung und Bereitstellung beliebiger Daten für die integrierte Fertigungssteuerung in der Smart-Factory sowohl lokal als auch in der Cloud.‣ weiterlesen

Stuttgart / Zürich, den 6. März 2019 - Mit dem Aufbau des 5G-Netzes und dem wachsenden Internet der Dinge wird rund um den Globus zunehmend alles vernetzt. Dank 5G wird in nicht allzu ferner Zukunft eine Hochgeschwindigkeitsverbindung für alle verfügbar sein - außer dort, wo es keine Netzabdeckung gibt.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige