Edge Computing verstärkt den RTOS-Einsatz. Gleichzeitig wird auch die Integration von KI- und Machine-Learning-Workloads im Realtime-Umfeld vorangetrieben…
Echtzeit-Betriebssysteme (Real-Time Operating Systems, RTOS) kommen zunehmend in sicherheitskritischen Anwendungen wie beispielsweise in der Medizintechnik, der Automobilindustrie und der Luftfahrt zum Einsatz. Das wirft natürlich auch die Frage nach der Sicherheit auf, d.h. wie gut sind die RTOS gegen Cyberangriffe geschützt?
Für das Düsseldorfer Cybersicherheits Unternehmen ONEKEY kommentiert CEO Jan Wendenburg dazu: „Wir erleben derzeit eine stark steigende Nachfrage nach Sicherheitsprüfungen von Echtzeit-Betriebssystemen aus zahlreichen sehr unterschiedlichen Branchen.“ Cybersicherheit und Software-Stücklisten (SBOM) für Echtzeit Betriebssysteme (RTOS) sind laut dem Unternehmen bisher nur durch hoch spezialisierte Experten mit viel manuellem Aufwand verfügbar. Neue Automatisierungsverfahren vereinfachen jetzt erstmals die Analyse von RTOS.
Anmerkung: ONEKEY ist spezialisiert auf Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC).
Hintergrund
Sicherheitsprüfungen sind umso dringlicher, als sich die Echtzeit-Betriebssysteme rasch weiterentwickeln, etwa um die Parallelverarbeitung in komplexen Systemen zu ermöglichen. Gleichzeitig wird die Integration von KI- und Machine-Learning-Workloads in RTOS vorangetrieben, beispielsweise für autonome Fahrzeuge oder intelligente Sensoren. Eine Schlüsselrolle spielt dabei der Trend zu Edge Computing, also die Verarbeitung der von Sensoren erfassten Daten direkt in einem Gerät, bevor sie in eine Cloud übertragen werden. Denn dazu müssen die Geräte selbst, als typische RTOS-Anwendungen, mit genügend „Intelligenz“ ausgestattet werden.
Ein Beispiel stellen moderne IP-Kameras dar, bei denen die aufgenommenen Gesichter schon im Gerät verpixelt werden, sodass die weitergegebenen Bilder keine personenbezogenen Daten enthalten und sie somit per se DSGVO-konform arbeiten. „Im Zuge des Edge Computing rutscht sozusagen immer mehr ‚Intelligenz‘ an den Rand der IT-Systeme, also in Sensoren und Aktoren“, so Jan Wendenburg. Diese Entwicklung soll sich laut Experten mit der zunehmenden Smartisierung von Consumer-Elektronik über die industrielle Fertigung bis hin zu Smart Buildings weiter fortsetzen.
Open Source und Linux-Verschmelzung
Einen weiteren Trend stellt die wachsende Präsenz chinesischer RTOS-Entwicklungen dar, etwa im Automobilsektor. Die aktuellen geopolitischen Entwicklungen verstärken deshalb die Notwendigkeit nach höheren Sicherheitsmaßnahmen auch bei vernetzten Geräten. Zunehmend verschwinden die traditionellen Grenzen zwischen Echtzeit- und Universalbetriebssystemen wie Linux. So sind seit einiger Zeit Hybridlösungen auf dem Markt, die ressourcen-beschränkte Geräte wie auch komplexere Systeme gleichermaßen abdecken können. Damit können aber die Cybergefahren weiter ansteigen.
Gesetzliche Auflagen nehmen zu
Alle diese Entwicklungen führen laut ONEKEY zu einer stark steigenden Nachfrage nach RTOS-Sicherheitsprüfungen, die vor allem von zwei Strömungen getrieben werden:
- dem tatsächlichen Bestreben nach maximaler Sicherheit vor Cyberkriminalität
- und den zunehmenden regulatorischen Anforderungen, diesen Schutz durch entsprechende, gut dokumentierte Maßnahmen nachweisen zu müssen.
Bildquelle: ONEKEY
Wie bei Linux-Firmware führt die Plattform laut Entwickler nach dem Auffinden der Komponenten einen CVE-Abgleich durch und listet die bekannten Schwachstellen auf (siehe Abbildung).
Anmerkung: Es gibt aktuell eine Reihe von RTOS auf dem Markt, sowohl Open-Source- als auch proprietäre. ONEKEY unterstützt nach eigenen Angaben derzeit die beliebtesten Implementierungen, wie zum Beispiel FreeRTOS, ESP-IDF, ThreadX, Zephyr OS sowie uC OS.
RTOS arbeiten in unzähligen vernetzten Geräten
Echtzeit-Betriebssysteme finden sich in einer breiten Palette von Branchen und Geräten wieder. Dazu zählen professionelle Einsatzgebiete wie Motorsteuergeräte, Antiblockiersysteme, Airbags oder Infotainment im Automobilsektor, Patientenüberwachungsgeräte oder Infusionspumpen im Gesundheitswesen, Systeme zur Flugsteuerung, Navigation oder Satellitensteuerung in der Luft- und Raumfahrt sowie die gesamte industrielle Automatisierungstechnik.
Ebenfalls dazu gehören eine Vielzahl von Unterhaltungselektronik- und Haushaltsgeräten, von Settop-Boxen bis zu interaktivem Kinderspielzeug. Schätzungen zufolge liegt die Anzahl der Geräte, die mit einem RTOS laufen laut ONEKEY „wahrscheinlich im zweistelligen Milliardenbereich.“
Die als Abhilfe von ONEKEY entwickelte Lösung umfasst nach vorliegenden Informationen eine mehrstufige Sicherheitsanalyse. Diese beginnt laut Entwickler mit der Identifizierung der RTOS-Firmware-Bestandteile und setzt sich fort mit der Bestimmung der Versionen und der Lokalisierung bekannter und potenziell unbekannter Sicherheitslücken.
Anschließend werden die Schwachstellen bewertet, um kritische Risiken im RTOS zu erkennen und zu beheben. Eine optionale, automatisierte Überprüfung der Konformität ermöglicht die schnelle Erkennung von Schwachstellen, die für Cybersicherheitsstandards wie IEC62443-4-2, den EU Cyber Resilience Act und viele andere Normen relevant sein können. Dies vereinfacht die Auditvorbereitung erheblich.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware sollen laut dem Unternehmen durch die KI-basierte Technologie "innerhalb von Minuten vollautomatisch im Binärcode identifiziert werden können - ohne Quellcode, Geräte- oder Netzwerkzugriff." Durch die integrierte Erstellung von "Software Bill of Materials (SBOM)" lassen sich Software-Lieferketten proaktiv überprüfen.
Sogenannte Digital Cyber Twins können die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus ermöglichen. Laut ONEKY deckt der zum Patent angemeldete, integrierte Compliance Wizard™ bereits heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und weiteren Vorgaben ab.
Querverweis:
Unser Beitrag > Edge Computing: verbesserte Datensicherheit und Datenschutz mit Kubernetes und Container
Unser Beitrag > Cyberresilient statt Cyberresistent. Es geht um mehr als bloße Abwehr!
Unser Beitrag > KI-Sicherheit beginnt bei der Architektur – DeepSeek-R1 als Warnsignal