Was ist Firmware Security?

Firmware Security umfasst alle Maßnahmen, mit denen die Firmware von Geräten – also die tief in der Hardware verankerte Systemsoftware – vor Manipulation, Malware und Schwachstellen geschützt wird. Sie bildet die Vertrauensbasis für Betriebssysteme, Anwendungen und Daten, denn eine kompromittierte Firmware kann Sicherheitsmechanismen auf höheren Ebenen vollständig umgehen.

Konkret bezeichnet Firmware Security den Schutz von BIOS/UEFI, Bootloadern, Embedded-Firmware und anderen niedrigliegenden Softwarekomponenten, die direkt auf der Hardware ausgeführt werden. Ziel ist es, sicherzustellen, dass nur vertrauenswürdige und unveränderte Firmware ausgeführt wird und Angriffe auf diese Ebene erkannt sowie verhindert werden.

Das Wichtigste in Kürze

• Zentrales Angriffsziel: Firmware wird oft übersehen, ist aber kritisch – Angriffe auf UEFI/BIOS und IoT-Firmware nehmen zu.

• Persistente Bedrohungen: Manipulierte Firmware kann Secure Boot umgehen, Rootkits verbergen und übersteht sogar OS-Neuinstallationen.

• Schutzmaßnahmen: Secure Boot, signierte Updates, Deaktivierung ungenutzter Schnittstellen und kontinuierliche Integritätsprüfungen.

• IoT-Risiken: Veraltete Firmware und fehlende Updates sind Hauptursachen für erfolgreiche Angriffe.

• Regulatorische Anforderungen: Der EU Cyber Resilience Act (CRA) verlangt sichere Firmware-Entwicklung, Schwachstellenmanagement und Update-Fähigkeit über den gesamten Produktlebenszyklus.

• Transparenz als Grundlage: Ohne SBOM ist effektives Schwachstellenmanagement nicht möglich.

Warum ist Firmware Security wichtig?

Firmware läuft vor dem Betriebssystem und kann dessen Sicherheitskontrollen vollständig umgehen, wenn sie kompromittiert wird. Persistente Firmware-Malware übersteht Neuinstallationen des Betriebssystems, versteckt sich vor klassischen Endpoint-Security-Lösungen und ermöglicht Angreifern eine langfristige Kontrolle.

Die Bedeutung der Firmware-Sicherheit hat in den letzten Jahren deutlich zugenommen:

• Milliarden vernetzter Geräte: Von Smart-Home-Produkten über Industriesteuerungen bis hin zu medizinischen Geräten basieren alle auf Firmware.

• Lange Lebenszyklen: Eingebettete Geräte bleiben oft 10 bis 15 Jahre im Einsatz, während sich Sicherheitsbedrohungen ständig weiterentwickeln.

• Direkte physische Auswirkungen: Kompromittierte Firmware in Industrieanlagen, Fahrzeugen oder Medizingeräten kann zu Produktionsausfällen, Sicherheitsvorfällen und hohen Kosten führen.

Gleichzeitig verpflichten neue Regulierungen wie der EU Cyber Resilience Act Hersteller dazu, Firmware über den gesamten Produktlebenszyklus sicher zu verwalten.

Firmware und ihre Schwachstellen verstehen

Firmware bildet die Zwischenschicht zwischen der Hardware und höherer Software, wie zum Beispiel UEFI/BIOS, Controller-Firmware, Embedded-Betriebssystemen oder Update-Modulen. Sie basiert häufig auf komplexen Software-Stapeln, die Bootloader, Treiber, Echtzeitbetriebssystem-Kerne (RTOS) und Komponenten von Drittanbietern umfassen. Diese werden oft über viele Jahre kaum aktualisiert.

Typische Schwachstellen entstehen durch:

• Unsichere Update-Mechanismen ohne Signaturprüfung

• Hardcodierte Passwörter oder Schlüssel

• Aktivierte Debug-Schnittstellen wie JTAG oder UART

• Veraltete Bibliotheken mit bekannten Sicherheitslücken (CVEs)

• Fehlerhaft implementierte Secure-Boot-Ketten

• Buffer Overflows im Low-Level-Code

Wie funktionieren Firmware-Angriffe?

Angreifer nutzen verschiedene Wege, um Firmware zu manipulieren. Häufig missbrauchen sie unsichere Update-Prozesse, bei denen unsignierte oder nur schwach signierte Updates akzeptiert werden. Ebenso verbreitet ist die Ausnutzung von Fehlern in UEFI- oder Firmware-Komponenten, um Schadcode bereits vor dem Start des Betriebssystems einzuschleusen. Supply-Chain-Angriffe setzen schon während der Produktion oder Verteilung an, während physischer Zugriff das direkte Überschreiben oder Auslesen von Speicherchips ermöglicht.

Der Ablauf eines typischen Firmware-Angriffs gestaltet sich wie folgt:

1. ‍Reconnaissance: Die Angreifer extrahieren die Firmware und suchen nach Schwachstellen.‍
2. Exploitation: Sie nutzen diese Schwachstellen aus, um Schadcode auszuführen oder ihre Rechte zu erweitern.‍
3. Persistence: Zur dauerhaften Kontrolle installieren sie Rootkits oder Bootkits.‍
4. Impact: Dabei deaktivieren sie Sicherheitsfunktionen, laden weitere Malware nach oder manipulieren den Datenverkehr.

IoT und Hardware-Angriffsflächen

Im Bereich des Internet of Things (IoT) ist die Angriffsfläche der Firmware besonders groß. Viele Geräte verwenden Embedded-Linux oder Echtzeitbetriebssysteme (RTOS) mit veralteten Kerneln, fest hinterlegten Zugangsdaten und ungeschützten Debug-Ports. Studien zeigen, dass ein Großteil der untersuchten IoT-Firmware bekannte Schwachstellen, eingebettete Passwörter oder versteckte Hintertüren enthält.

Weitere Risikofaktoren sind:

• Heterogene Landschaft: Unterschiedliche Hersteller, Architekturen und Firmware-Versionen erschweren ein einheitliches Sicherheitsmanagement.

• Ressourcenbeschränkungen: Die begrenzte Rechenleistung der Geräte schränkt die Umsetzung von Sicherheitsmechanismen ein.

• Lange Einsatzzeiten: IoT-Geräte sind oft über viele Jahre im Einsatz, ohne dass Updates erfolgen.

• Unsichere Update-Kanäle: Updates werden häufig ohne Authentifizierung oder Verschlüsselung übertragen.

Diese Faktoren erhöhen das Risiko von Sicherheitslücken und machen ein durchdachtes Sicherheitskonzept für IoT-Geräte besonders wichtig.

Häufige Bedrohungen und Beispiele aus der Praxis

Firmware-Angriffe sind längst keine theoretische Gefahr mehr, sondern werden aktiv ausgenutzt. Von kompromittierten Lieferketten über persistente Malware bis hin zu gezielten Exploits zeigen reale Vorfälle, wie vielfältig die Bedrohungslandschaft ist.

Angriffe auf die Lieferkette

Supply-Chain-Angriffe zielen darauf ab, Firmware bereits während der Produktion oder im Update-Prozess zu kompromittieren. Angreifer schleusen Schadcode über manipulierte Build-Systeme ein, missbrauchen geleakte Signierschlüssel oder nutzen versehentlich ausgelieferte Testschlüssel, die in Produktionsgeräten noch aktiv sind.

Der SolarWinds-Angriff verdeutlichte eindrucksvoll, wie solche Kompromittierungen durch manipulierte Updates Tausende Organisationen gleichzeitig treffen können.

Malware-Angriffe

Firmware-Malware arbeitet unterhalb des Betriebssystems und bleibt deshalb für herkömmliche Sicherheitslösungen nahezu unsichtbar. Besonders gefährlich sind UEFI-Rootkits, da sie schwer zu erkennen und zu entfernen sind. LoJax, entdeckt im Jahr 2018, war das erste UEFI-Rootkit, das in freier Wildbahn gefunden wurde.

TrickBot beziehungsweise TrickBoot kombinierte einen Banking-Trojaner mit einem UEFI-Persistenz-Modul. BlackLotus, das im Jahr 2023 auftauchte, ging noch einen Schritt weiter und umging als erstes Bootkit den Secure Boot auf vollständig gepatchten Windows-11-Systemen. Diese Malware übersteht sowohl Neuinstallationen des Betriebssystems als auch das Formatieren von Festplatten.

Firmware-Angriffe

In der Praxis nutzen Angreifer häufig fehlende Rollback-Schutzmechanismen, um ältere und verwundbare Firmware-Versionen zu erzwingen. Offene Debug-Schnittstellen wie JTAG oder UART ermöglichen direkten Low-Level-Zugriff, während Fehler im Bootloader Schwachstellen im Startprozess ausnutzbar machen.

Auch hardcodierte Service-Backdoors, also nicht dokumentierte Wartungszugänge, werden regelmäßig missbraucht. Die Spectre- und Meltdown-Schwachstellen zeigten beispielhaft, wie grundlegende Hardware- und Firmware-Probleme ganze Geräteklassen über Herstellergrenzen hinweg betreffen können.

Beste Praktiken für die Sicherung von Firmware

Die Sicherheit von Firmware beginnt nicht erst bei der Reaktion auf Vorfälle, sondern bereits beim Design und der Auslieferung. Die folgenden Best Practices helfen dabei, Angriffsflächen zu minimieren und die Integrität von Geräten über den gesamten Lebenszyklus hinweg zu gewährleisten.

Secure Boot aktivieren

Secure Boot stellt sicher, dass beim Start nur signierte und vertrauenswürdige Firmware sowie Boot-Komponenten ausgeführt werden. Dabei prüft jede Komponente die nächste vor dem Laden in einer Vertrauenskette. Nur Firmware, die mit einem gültigen Herstellerschlüssel signiert ist, wird akzeptiert. Nicht signierte oder manipulierte Images werden blockiert. Secure Boot bildet somit die erste Verteidigungslinie gegen Firmware-Manipulation.

Firmware regelmäßig aktualisieren

Regelmäßige Firmware-Updates schließen bekannte Schwachstellen und bringen Sicherheitsverbesserungen mit sich. Entscheidend sind dabei sichere Bezugsquellen, digital signierte Update-Pakete mit Verifikation vor der Installation sowie klar definierte Prozesse für Tests, Rollout und Rollbacks. Ebenso wichtig ist die Kommunikation von Support-Zeiträumen für Sicherheitsupdates. Ohne konsequente Aktualisierung bleibt Firmware ein dauerhafter Angriffsvektor.

Firmware Scan Tools verwenden

Spezialisierte Analysewerkzeuge können Firmware-Images auch ohne Zugriff auf den Quellcode entpacken, Komponenten identifizieren und mit CVE-Datenbanken abgleichen:

• Statische Analyse: Untersuchung auf Schwachstellen, Konfigurationsfehler und unsichere Komponenten

• Komponentenidentifikation: Erkennung aller enthaltenen Bibliotheken und deren Versionen

• CVE-Abgleich: Automatischer Vergleich mit Schwachstellendatenbanken

• SBOM-Generierung: Dokumentation aller Firmware-Bestandteile

So lassen sich veraltete Bibliotheken und bekannte Schwachstellen bereits vor der Auslieferung erkennen. Die ONEKEY Cybersicherheits-Plattform bietet diese Funktionen und verknüpft automatisiertes Schwachstellenmanagement mit SBOM-Generierung und -Verwaltung über den gesamten Produktlebenszyklus.

Nicht verwendete Schnittstellen deaktivieren

Debug- und Test-Schnittstellen bieten oft direkten Low-Level-Zugriff und sollten vor der Auslieferung konsequent gesperrt werden. Dazu gehört das Deaktivieren von JTAG- und UART-Debug-Ports, das Schließen ungenutzter Netzwerkdienste sowie das Entfernen von Entwicklungsfunktionen aus der Produktionsfirmware.

Physischen Zugriff einschränken

Der Schutz vor hardwarebasierten Angriffen erfordert mehrere Maßnahmen:

• Tamper Detection: Gehäusesensoren zur Erkennung physischer Manipulation

• Sichere Schlüsselspeicherung: Kryptografische Schlüssel in Hardware Security Modules (HSM) oder Secure Elements

• Gehäuseschutz: Erschwerter Zugang zu Debug-Ports und Speicherchips

Firmware-Ereignisse in SIEM überwachen

Die Integration von Firmware-Monitoring in Security Operations schafft Sichtbarkeit auf einer oft vernachlässigten Ebene. Durch Logging lassen sich Integritätsverletzungen und fehlgeschlagene Secure-Boot-Checks erfassen. Anomalie-Erkennung identifiziert ungewöhnliche Update-Ereignisse oder Verhaltensänderungen, während automatisches Alerting bei sicherheitsrelevanten Ereignissen sofortige Reaktionen ermöglicht.

Vorbereitung auf das Firmware-Management

Effektives Firmware-Management umfasst weit mehr als einzelne Updates. Es erfordert durchdachte Prozesse für Verteilung, Konfiguration, Überwachung und Wiederherstellung. Die folgenden Bereiche bilden die Grundlage einer robusten Firmware-Strategie.

Firmware-Updates

Ein strukturiertes Konzept für Firmware-Updates beinhaltet eine klare Versionierung, die eine Nachvollziehbarkeit je Gerätetyp und Produktversion gewährleistet. Sichere Verteilmechanismen, wie Over-the-Air-Updates mit Signaturprüfung und Verschlüsselung, sind ebenso wichtig wie definierte Rollback-Strategien für fehlgeschlagene Updates. Stufenweise Ausrollungen (Staged Rollouts) minimieren zusätzlich das Risiko bei größeren Änderungen.

Firmware-Einstellungen

Sichere Konfigurationen sollten der Standard sein und nicht die Ausnahme. Das bedeutet, dass Werkseinstellungen sicher (Secure Defaults) sein müssen, Debug-Modi deaktiviert und keine aktiven Entwicklungsschnittstellen in der Produktion vorhanden sein dürfen. Ein konsequentes Credential Management sorgt dafür, dass bei der Ersteinrichtung individuelle Zugangsdaten vergeben werden. Dokumentierte Härtungsrichtlinien stellen sicher, dass diese Vorgaben konsequent umgesetzt werden.

Überwachung der Firmware

Laufende Integritätsprüfungen über den gesamten Lebenszyklus sind unerlässlich. Mit Firmware-Monitoring lassen sich folgende Aspekte überwachen:

• Hash- und Signaturverifikation zur Erkennung unautorisierter Änderungen

• Inventarisierung für einen vollständigen Überblick über alle Firmware-Versionen im Feld

• Schwachstellen-Tracking durch kontinuierlichen Abgleich mit neuen CVEs

• Telemetrie und Profiling-Ansätze zur Erkennung auffälligen Verhaltens

Ausfallsicherheit der Firmware

Die Resilienz gegenüber Fehlern und Angriffen erfordert redundante Strukturen. Dual-Bank-Firmware ermöglicht ein sicheres Rollback, dedizierte Recovery-Partitionen bieten einen Wiederherstellungsmodus, und sichere Fallback-Mechanismen sorgen für die automatische Rückkehr zu einem vertrauenswürdigen Zustand. Dies ist besonders in OT- und IoT-Szenarien wichtig, in denen Vor-Ort-Eingriffe teuer oder kaum möglich sind.

Tools und Initiativen zur Unterstützung der Firmware-Sicherheit

Die Sicherheit von Firmware lässt sich nicht allein durch manuelle Prozesse gewährleisten. Spezialisierte Tools, etablierte Standards und sichere Entwicklungspraktiken bilden gemeinsam das Fundament einer wirksamen Strategie.

Sicherheitsplattformen

Spezialisierte Plattformen für Firmware-Sicherheit ermöglichen eine automatisierte Analyse zur Erkennung von Schwachstellen, auch ohne Zugriff auf den Quellcode. Sie unterstützen den Aufbau und die Überwachung von Software-Bill of Materials (SBOM) auf Firmware-Ebene und bieten systematische Bedrohungsmodellierung potenzieller Angriffsvektoren. Ein kontinuierliches Compliance-Monitoring sorgt für die Einhaltung von Standards wie CRA, IEC 62443 und weiteren.

Die ONEKEY Cybersecurity-Plattform vereint diese Funktionen und verknüpft Firmware-Risiken mit Produkt- und Schwachstellenmanagement über den gesamten Lebenszyklus.

Code-Signierung

Robuste Zertifikats- und Schlüsselinfrastrukturen sind entscheidend für die Integrität der Firmware:

• Asymmetrische Kryptographie: Private Schlüssel verbleiben beim Hersteller, öffentliche Schlüssel sind im Gerät hinterlegt

• Hardware-gestützte Schlüsselspeicherung: Signaturschlüssel werden in Hardware-Sicherheitsmodulen (HSM) geschützt

• Strikte Schlüsseltrennung: Entwicklungs-, Test- und Produktionsschlüssel werden niemals vermischt

Fehler im Key-Management, wie etwa das Leaken oder Wiederverwenden von Testschlüsseln, haben in der Vergangenheit ganze Geräteserien verwundbar gemacht.

Sichere Entwicklungspraktiken

Security by Design beginnt bereits in der Firmware-Entwicklung. Threat Modeling identifiziert Bedrohungen speziell auf Hardware- und Firmware-Ebene. Verbindliche Secure-Coding-Richtlinien und regelmäßige Code-Reviews, sowohl manuell als auch automatisiert, decken Sicherheitsprobleme frühzeitig auf.

Fuzzing testet Boot- und Update-Komponenten automatisiert auf unerwartetes Verhalten. Penetrationstests durch externe Experten validieren die Sicherheit unter realen Angriffsbedingungen. So lassen sich Fehler früh erkennen und Risiken in der Lieferkette reduzieren.

Häufig gestellte Fragen zur Firmware-Sicherheit (FAQ)

Was sind derzeit die größten Risiken für die Firmware-Sicherheit?

Zu den größten Risiken zählen veraltete Firmware, die in Geräten mit langen Lebenszyklen nie aktualisiert wird, sowie unsichere Update-Mechanismen ohne Signaturprüfung oder Schutz vor Rücksetzungen.

Ein weiteres Problem ist ein schlecht geschütztes Key-Management, bei dem Schlüssel geleakt oder wiederverwendet werden. Offene Debug-Schnittstellen wie JTAG oder UART in Produktionsgeräten erhöhen ebenfalls die Gefahr. In IoT-Umgebungen kommt hinzu, dass viele Geräte jahrelang ohne strukturiertes Patch- oder Monitoring-Konzept im Einsatz sind.

Wie schützt Secure Boot Geräte?

Secure Boot überprüft beim Start mithilfe kryptografischer Signaturen, ob Firmware und Boot-Komponenten unverändert und von vertrauenswürdigen Quellen stammen. Nur wenn diese Verifikation erfolgreich ist, wird der Bootprozess fortgesetzt. Manipulierte oder nicht signierte Images werden blockiert. Die Vertrauenskette reicht vom Hardware-Root-of-Trust über den Bootloader bis zur Firmware und verhindert so, dass Bootkits oder manipulierte Firmware geladen werden – selbst bei physischem Zugriff auf das Gerät.

Kann Firmware sicher aus der Ferne aktualisiert werden?

Ja, wenn Updates verschlüsselt übertragen, strikt signaturgeprüft und gegen Downgrade-Angriffe abgesichert sind. Sichere Over-the-Air-Mechanismen (OTA) kombinieren Authentifizierung, Integritätsprüfung, Schutz vor Rücksetzungen und Fallback-Optionen. Richtig umgesetzt sind OTA-Updates sogar sicherer als manuelle Updates, da sie schneller und flächendeckend ausgerollt werden können.

Welche Branchen sind am anfälligsten für Firmware-Angriffe?

Besonders betroffen sind Branchen mit vielen vernetzten Geräten und langen Lebenszyklen. Dazu gehören die Industrie (OT/ICS) mit SCADA-Systemen und Steuerungen, die Medizintechnik mit vernetzten medizinischen Geräten, die Automobilbranche mit Steuergeräten und Infotainment-Systemen, die Energieversorgung mit Smart Grids und Zählern sowie der Consumer-IoT-Bereich mit Smart-Home-Produkten. In diesen Bereichen treffen hohe Verfügbarkeitsanforderungen auf große, oft heterogene Gerätelandschaften mit teilweise veralteter Firmware.

Welche Tools oder Standards können dazu beitragen, die Integrität der Firmware sicherzustellen?

Wichtige Standards sind NIST SP 800-193 für Plattform-Firmware-Resilienz, IEC 62443 für industrielle Cybersecurity, der EU Cyber Resilience Act (CRA) mit verbindlichen Anforderungen sowie die UEFI-Spezifikationen für Secure Boot.

Ergänzend unterstützen Software Bill of Materials (SBOMs) auf Firmware-Ebene und spezialisierte Sicherheitsplattformen die durchgängige Überwachung von Integrität, Schwachstellen und Compliance. Die ONEKEY Compliance Wizard bietet diese Funktionen speziell für die Firmware vernetzter Geräte an.