Die neue Funkrichtlinie der EU (2014/53/EU) wird möglicherweise das Internet of Things und weite Teile von Industrie 4.0 in der EU beenden, bevor sie zu einem Wirtschaftsfaktor werden können. Bisher wurde in erster Linie befürchtet, dass Open Source Projekte wie z. B. die Initiative Freifunk durch diese Funkrichtlinie betroffen sind – die Auswirkungen gehen jedoch deutlich weiter. Wird umgesetzt, was offensichtlich geplant ist, können in Europa Maschinenbau und Elektronikindustrie den größten Teil der drahtlos betriebenen Produkte nicht mehr herstellen.
Was sieht die Richtlinie vor?
In der Richtlinie ist vorgesehen, dass Funksysteme verhindern müssen, dass auf ihnen eine Software geladen werden kann, die ein nicht standardkonformes Verhalten verursacht. Es soll sichergestellt werden, dass Funksysteme nicht gehackt werden können, um z. B. unzulässige Frequenzen zu benutzen.
Was sich im ersten Moment harmlos anhört, wird zu einem echten Problem, wenn man sich ansieht, was es an technischen Möglichkeiten gibt.
Da einer Software nicht von außen anzusehen ist, wie sie sich verhalten wird, muss die Information, ob die Software akzeptiert werden kann, von außen kommen.
(1) Das Funksystem muss also einen Zugang zum Internet haben, um von einem Server die Konformitätsbestätigung zu holen. Außerdem muss das Funksystem über ausreichend Rechenleistung und Speicher verfügen, um die notwendigen Protokolle zu bedienen.
Eine Internetverbindung ist für viele Systeme nicht möglich, da sie entweder nicht über die technischen Voraussetzungen verfügen oder aus Sicherheitsgründen vom Internet isoliert sind.
(2) Auch die notwendige Rechenleistung ist bei vielen Funksystemen nicht vorhanden. Viele Geräte für stromsparenden Betrieb sind nur mit wenig Speicher und Rechenleistung ausgerüstet. Diese sind nicht in der Lage, verschlüsselte Zertifikate und Software zu prüfen. (3)
Wie ist das bei Funkmodulen?
Besonders problematisch ist so eine Vorgabe für den weitverbreiteten Einsatz von Funkmodulen (4). Für Firmen, die Funkmodule einsetzen, wird durch so eine Regelung eine unüberwindbare Hürde aufgebaut. Die zwingend notwendige Installation von Software auf den Modulen während der Entwicklung und Fertigung von Produkten ist unter solchen Anforderungen nicht mehr möglich. Das Funkmodul selber müsste in der Lage sein, eine Internetverbindung herzustellen, um ein Konformitätszertifikat abzurufen. Während der Entwicklung ist es zudem unmöglich, Software zu testen, weil sie nicht zertifiziert ist und damit nicht installiert werden kann.
An dieser Stelle einen Mechanismus zu schaffen, mit dem eine einfache Zertifizierung oder Signierung für den Softwareentwickler möglich wäre, würde die gesamte Vorgabe ad absurdum führen. Dieser Weg stünde dann jedermann zur Installation von beliebiger Software offen.
Ist es sinnvoll, nach Produktkategorien zu trennen?
Ebenfalls wenig hilfreich ist es, dass die Funkrichtlinie erlaubt, dass die Vorgaben nach Produktkategorien getrennt werden können.
Die Trennung zwischen den Produkten ist nicht immer eindeutig und es passiert nicht selten, dass Produkte anders eingesetzt werden als es ursprünglich vorgesehen war.
Eine Beschränkung auf z. B. WLAN-Geräte würde ganz massive Einschränkungen für viele Anwendungen bedeuten. WLAN wird im industriellen Umfeld für viele Verbindungen eingesetzt, inklusive WLAN-Routern in robusten Ausführungen. Diese Systeme sind häufig aus Sicherheitsgründen vom Internet isoliert.
Es gibt also drei mögliche Optionen:
– Eine Regelung treffen, die einen großen Produktbereich unmöglich macht, der massive Wachstumsaussichten hat
– Komplizierte, aber wirkungslose Regeln erlassen, die problemlos umgangen werden können, aber hohe Kosten produzieren
– Es sein lassen und die Entwicklung neuer Ideen und Produkte nicht behindern
Hintergrundinformation
(1) Wahrscheinlich wird für eine Regelung u. a. ein Entwurf des ETSI für rekonfigurierbare Funksysteme verwendet. ETSI TR 102967 beschreibt Vorgehensweisen für die Sicherstellung der Konformität einer zu installierenden Software.
Das Konzept geht so weit, einen Mechanismus zu empfehlen, mit dem eine Aufsichtsbehörde per Fernsteuerung Geräte stilllegen kann, die nicht konform arbeiten. Da fragt man sich, ob das Satire sein soll. Ein solcher Mechanismus setzt nicht nur voraus, dass das Gerät einen Internetzugang haben muss, sondern auch, dass sein Installationsort überprüft werden kann – also ob es sich überhaupt in der Jurisdiktion der Aufsichtsbehörde befindet. Dazu kommt, dass sich Hacker aller Art über so eine fest eingebaute Sicherheitslücke freuen werden.
(2) Ein solches System entspricht dem aus dem Bereich digitaler Medien bekannten Digital Rights Management (DRM). Negative Erfahrungen mit dem damit verbundenen Aufwand, Fehleranfälligkeit und fehlender Benutzerfreundlichkeit führen dazu, dass diese Verfahren auf dem Rückzug sind.
Warum gerade für einen so wichtigen Bereich wie dem oft sicherheitsrelevanten Softwareupdate ein solcher Mechanismus eingeführt werden soll, ist schwer zu begreifen. Mit der damit verbundenen Komplexität würde nur erreicht werden, dass viele Systeme gar keine Möglichkeit zum Softwareupdate mehr haben. Oder die Softwareupdates werden vom Hersteller aus Kostengründen selten zur Verfügung gestellt und vom Anwender wegen der Umstände bei der Installation noch viel seltener installiert.
(3) ETSI beschreibt in EN 303095 ein Referenzmodell für eine rekonfigurierbare Funkarchitektur. Dabei wird ein System vorausgesetzt, dass den Umfang eines Smartphones oder Tablets hat, welches sehr weit entfernt von z. B. einem per WLAN betriebenen Sensor wäre.
Wenn Regelungen von diesem Konzept ausgehen, werden ganz weite Produktbereiche unmöglich.
(4) Funkmodule werden von sehr vielen Firmen eingesetzt, um einen erheblichen Teil des Aufwands bei der Entwicklung von Funksystemen einzusparen. Die Funkmodule sind von den Herstellern bereits geprüft und haben häufig Zulassungen für mehrere Regionen. Wenn bei der Integration eines Funkmoduls in ein Produkt die Funkeigenschaften nicht verändert werden, entfällt damit die Funk-Zulassungsprüfung weitgehend oder sogar vollständig.
Funkmodule gibt es für verschiedenste Protokolle, z. B. WLAN, Bluetooth, Zigbee. Der Gerätehersteller, der ein Funkmodul in sein Produkt integriert, muss die Software für diese Protokolle nicht mehr entwickeln, da sie vom Hersteller des Moduls geliefert wird. Beim Gerätehersteller wird aber in vielen Fällen die Software des Funkmoduls in der gewünschten Konfiguration und ggf. mit zusätzlicher eigener Software auf dem Modul installiert.
Moderne Funkkomponenten sind häufig sogenannte “Reconfigurable Radios” oder “Software Defined Radios”. Deren Funkeigenschaften werden von der verwendeten Software bestimmt oder zumindest beeinflusst. Damit ist es prinzipiell möglich, ein nicht standardkonformes Verhalten durch Aufspielen einer Software zu erzielen. Der Vorteil solcher Systeme ist, leichter Änderungen am Standard nachzurüsten, Varianten an regionale Anforderungen anzupassen und produktspezifische Eigenschaften leichter realisieren zu können.
Funkmodule sind mittlerweile ein sehr wichtiger Faktor in Produkten von kleinen und mittelständischen Herstellern von Maschinen, Sensoren, Steuerung, Gebäudeautomatisierung und vielen anderen Bereichen. Diese Unternehmen werden erst durch die programmierbaren und flexiblen Funkmodule in die Lage versetzt, Produkte mit Funktechnik herzustellen.
Quellen:
EU Regulation threatens Internet of Things
The new EU radio equipment directive (2014/53/EU) has the potential to end the Internet of Things and much of Industry 4.0 in the EU before they can take off economically. So far the main concern was that open source projects and initiatives like the “Freifunk” wireless community network will be damaged by the RED (Radio Equipment Directive). But the actual consequences go way farther. If it gets implemented in the way that seems to be planned it will end most of the wireless products made by the European electronics and automation industry.
What is in the directive?
According to the directive radio equipment has to have a mechanism that prevents installing software on them that can lead to non regulation compliant behaviour. Hacking systems for example to make them work in non authorized frequency bands has to be prevented by the manufacturer.
At first glance this may seem harmless. But it is a real problem since there are few options to technically implement such a barrier.
There is no way to tell from outside how a software will behave. So the information if the software to install on the radio system is compliant has to come from an external source. (1)
This means the radio system has to have access to the internet to get a certificate from a server. Also it has to have sufficient processing power and memory to run the necessary protocols.
An internet connection is not possible for many systems. They don’t necessarily have the technical ability to connect to the internet, or they may have to be isolated from the internet for security reasons. (2)
Many wireless systems are optimized for low energy requirements. They have limited processing power and memory and are most likely not able to run the necessary encryption algorithms to verify certificates and software. (3)
What about radio modules?
Such requirements are especially problematic for radio modules. (4) Testing software on radio modules during development would become impossible. The radio module would need to be able to somehow get a certificate for the software to install but during development a software can not be certified. So developing software for radio modules would become impossible since it can not be installed for testing prior to ceritfying it.
Allowing a mechanism for software developers to circumvent the certification would invalidate the whole effort since this mechanism could be sued to install arbitrary software.
Does restricting the requirements to certain product types help?
The directive allows to address definitive product types and define specific requirements for them. But this does not work in the real world.
Boundaries between products are not always sharp and well defined. In addition many products get used in multiple roles or for applications they are not intentionally designed for.
Even restricting the rules to WLAN products would cause major problems in the industry. WLAN is a major backbone for the Internet of Things, including robust routers for industrial applications. Such systems are quite often isolated from the internet for cyber security.
Three realistic options:
– Define rules that will make a lot of products impossible, essentially kicking Europe out of emerging markets like Internet of Things and Industry 4.0
– Define complexand expensive rules that are useless and can be eaily circumvented.
– Forget about the whole thing and don’t hinder the development of new ideas and products.
Background information
(1) ETSI draft paper TR 102967 describes a system to ensure the conformity of software to be installed. Most likely this will be used as a blueprint for a regulation.
The concept recommends a function that allows a market surveillance body to remotely shut down systems that are not behaving compliant. Makes you wonder if this is an April Fools edition. Such a mechanism not only requires the radio device to always be online on the internet but also have some way to detect its geolocation so the market surveillance body can check if the equipment is within its jurisdiction. Hackers will love this huge and legally required security hole.
ETSI TR 102967
http://www.etsi.org/deliver/etsi_tr/102900_102999/102967/01.02.01_60/tr_102967v010201p.pdf
(2) Such a system is essentially a Digital Rights Management like what is in use for digital media. Negative experience with complexity, bad user experience, and a tendency to not work in situations that are not 100% standard have lead to a retreat of DRM for digital media.
Adopting such a mechanism for a security relevant issue like software updates is bad advice. The added complexity and cost will only lead to fewer software updates suplied by the manufacturers and even fewer installed by the users, or none at all due to technical impossibility.
(3) ETSI EN 303095 describes a reference model for reconfigurable radio architectures. It assumes a system with the complexity of a smartphone or tablet computer. This is very far from the hardware of for instance a WLAN connected sensor.
Rules based on such a complex reference model would kill many product ranges.
ETSI EN 303095
http://www.etsi.org/deliver/etsi_en/303000_303099/303095/01.02.01_20/en_303095v010201a.pdf
(4) Radio modules are in wide use in the industry today. They allow companies to use wireless technology in their products without large investments. The modules are usually tested and approved for multiple regions by their manufacturers. If the radio module hardware is not modified and the software used as defined by the module manufacturer the radio frequency approval is minimized.
There are modules for all kinds of protocols on the market: WLAN, Bluetooth, Zigbee…
A company integrating a radio module into a product does not need to develop the protocol software. The module manufacturer provides the necessary software and tools to customize the protocol. Tailored protocol and application specific software are then installed into the module by the device manufacturer.
Modern radio electronics usually is “recofigurable radio” or “software defined radio”. Their radio properties are controlled or modified by software. In some cases this allows install software that causes behaviour outside the standards and regulations. The advantage of such modern radio systems is that changes to the standards are easier to add and variants for regional differences in reguations can be easily implemented.
Radio modules are already a major factor for products especially from small and medium companies in machine building, automation, sensors, smart buildings, and many more sectors. The radio modules allow those companies to make wireless products which would otherwise not be possible for them.
Reference:
Radio Equipment Directive
http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32014L0053&from=DE
Es sollte zumindest eine Ausnahme geben für Funkamateure -> Modifikation von Sendeanlagen ist in dem Kontext explizit gesetzlich erlaubt. Dies wird wohl unmöglich werden, sollten die Geräte so verdongelt werden…
Stichwort: Hamnet
Zu befürchten ist, dass diese Mechanismen auf Chipebene verankert werden müssten. Das wird dann Ähnlichkeiten mit dem Umgang mit Chipkarten haben.