Seit mehr als 15 Jahren vertrauen unsere Kunden auf unsere Embedded Linux Security Services. Wir liefern Support bei der Konzeption und der Optimierung von Embedded Linux-Systemen, um sie für den sicheren Betrieb im Kontext der IEC 62443 und des Cyber Resilience Act (CRA) mit der Technischen Richtlinie TR-03183 sowie EN18031 im Kontext der RED (Radio Equipment Directive) zu rüsten.
emlix Service Komponenten
Die emlix Services umfassen:
- Threat modeling und Risikobewertung
- Security Requirements und Architektur-Workshop
- Auswahl und Qualifizierung von Open-Source-Software
- Systemhärtung und Implementierung von Sicherheitsfunktionen
- Sicherheitsakzeptanztests und Dokumentation
- CVE Security Monitoring und Response
- Patch und Update Management
- Open Source Security Lifecycle Management
In der Regel beginnt die Zusammenarbeit mit unseren Kunden mit einem Requirements- und Architektur-Workshop und/oder einer Threat Modellierung und Risikobewertung, um die Produktvision zu verstehen oder um einen Überblick über ein bestehendes, möglicherweise bereits eingeführtes System zu erhalten.
Je nach Zielsetzung erstellen wir ein Security-Konzept (z.B. mit einer Defense-in-Depth-Strategie) und die entsprechende Software-Anforderungsspezifikation.
Ein wichtiger Schritt ist die daraus abgeleitete Auswahl und Qualifizierung von Komponenten in Übereinstimmung mit den relevanten Sicherheitsstandards, aber auch mit der Open Source Compliance nach IEC 5230:2020 (Open Source Compliance / Lizenz-Compliance) und IEC 18974:2023 (OpenChain security assurance specification). Infolgedessen ist das Linux BSP auf das notwendige Minimum reduziert, um die Anforderungen zu erfüllen.
Dieser Fokus führt zu einer Verringerung der Komplexität und einer Steigerung der Qualität. Dadurch wird die Kuration des Linux-Systems stark unterstützt. Ein effizientes Lifecycle Management ist der oberste direkte Nutzen für unsere Kunden.
Typische Schutzmaßnahmen
Weitere typische Schutzmaßnahmen sind z.B. die Aufteilung und Segmentierung des Systems (IPTables, NFTables, SELinux, Container mit Namespaces und cgroups), die Sicherstellung der Integrität (Secure Boot, dm-verity, LUKS, Hashing, Signaturen), die Reduzierung der Zugriffsrechte (SELinux, AppArmor, RBAC, Namespaces, Privilegienverwaltung), Authentifizierung und Autorisierung (Public-Key, PAM, RADIUS) oder die Verschlüsselung von Kommunikation und Daten (SSL/TLS, OpenSSL, SSH, TPM, TEE, HSM, HUB, dm-crypt, LUKS, eCryptfs).
Darüber hinaus sind die Protokollierung von sicherheitsrelevanten Ereignissen (syslog, rsyslog, elos), die sichere Bereitstellung von Software-Updates und Patches mit kryptografischen Signaturen sowie ein Sicherheits- und Werksreset übliche Maßnahmen, um die Sicherheitsanforderungen gemäß den einschlägigen Standards zu erfüllen.
Unsere Dienstleistungen umfassen auch das langfristige Security Lifecycle Management. Im Anschluss an unser bewährtes CVE Security und Maintenance Management anhand einer Software-Bill-of-Material (SBOM) bewerten und kontextualisieren unsere Kernel und Security Experten jeden systemspezifischen Befund und reduzieren so in der Regel die Anzahl der kritischen Befunde, die bearbeitet werden müssen, erheblich.
Unser CVE Security Report (pdf oder CycloneDX, VEX oder SPDX) listet nicht nur die relevanten Feststellungen auf, sondern auch deren Kritikalitätsgrad und eine Empfehlung, wie das Problem zu behandeln ist. Dies wird in einer regelmäßigen Besprechung ausgewertet.
Neben der obligatorischen Meldung von Sicherheitsvorfällen (Incident Response) ist eine qualifizierte Auswirkungsanalyse mit priorisierten Maßnahmen zur Behebung der Probleme eine Voraussetzung dafür, dass das Produktmanagement Maßnahmen ergreifen kann.
Die Summe dieser Strategien, Maßnahmen, Technologien und Prozesse wirkt sich auf den gesamten Produktlebenszyklus aus. Sie stellen sicher, dass ein hohes Sicherheitsniveau eines industriellen Embedded Linux basierten Systems auf eine sehr effektive und effiziente Weise erreicht und gehalten werden kann.
Unser eigenes Security Management unterstützt das Erreichen der Gesamtsicherheitsstufe des Produkts.
Es hilft, die ordnungsgemäße Implementierung der Sicherheitsfunktionen des Produkts nachzuweisen. Die bekannten Sicherheitslücken im Produkt werden identifiziert und in Absprache mit dem Kunden beseitigt, wie im emlix Security Monitoring beschrieben.
BEST PRACTICE
Rademacher Geräte-Elektronik GmbH
Erhöhte Cyber Security durch Wartbarkeit
Bei der Entwicklung des HomePilots® war emlix für die Konzeption einer Embedded Linux-basierten Plattform verantwortlich.
Im Fokus des Projektes standen die hohen Ansprüche an die Sicherheit, denn die intelligenten Geräte übertragen persönliche Daten wie etwa Kameraaufnahmen zur Steuereinheit. Darüber hinaus unterstützt emlix Rademacher über den gesamten Produktlebenszyklus bei der Aufrechterhaltung der IT-Sicherheit des Produktes.
