Die Fakten über IoT-Module und wie sie bei der Entwicklung von Geräten verwendet sowie auf dem Markt eingesetzt werden Quectel widerlegt Bedenken, die hinsichtlich der Sicherheit seiner Module geäußert werden.

Quectel Wireless Solutions, ein globaler Anbieter von IoT-Lösungen, hat sich heute zu dem kürzlich veröffentlichten Schreiben und der Antwort der FCC und des Sonderausschusses des US-Kongresses geäußert, in denen es um die Frage ging, ob die IoT-Module von Quectel ein potenzielles Sicherheitsrisiko darstellen.

"Wir freuen uns über die Gelegenheit, mit der FCC und anderen US-Behörden zusammenzuarbeiten, um unsere Konformität und unseren Best-Practice-Ansatz zur Gerätesicherheit zu demonstrieren", sagt Norbert Muhrer, President und CSO von Quectel Wireless Solutions. "Wir sind bestrebt, durch die Bereitstellung von erstklassigen und sicheren Produkten einen Beitrag zur Entwicklung einer intelligenteren Welt zu leisten. Dieses Engagement zeigt sich in unserem umfangreichen OEM-Kundenstamm und in unserem ständigen Bestreben, unseren Kunden die besten und sichersten Module der Branche zu liefern."

Das Schreiben des Sonderausschusses des US-Kongresses an die FCC enthielt mehrere Missverständnisse über die Funktionsweise der Quectel-Module. Quectel stellt die in dem Schreiben gemachten Aussagen wie folgt klar:

Schreiben des Komitees: "Konnektivitätsmodule werden in der Regel aus der Ferne gesteuert und sind die notwendige Verbindung zwischen dem Gerät und dem Internet."

Das Geräte- und Datenmanagement wird ausschließlich von Quectel-Kunden in den USA oder von Drittanbietern/Dienstleistern ihrer Kunden übernommen. Firmware-Updates werden vom Originalgerätehersteller (OEM) des Geräts verwaltet und kontrolliert, nicht von Quectel.

Schreiben des Komitees: "Als Bindeglied zwischen dem Gerät und dem Internet sind diese Module in der Lage, sowohl das Gerät funktionsunfähig zu machen als auch auf die Daten zuzugreifen, die vom Gerät zu dem Webserver fließen, der jedes Gerät betreibt."

Die Steuerung der Quectel-Module erfolgt durch die im Kundengerät eingebettete Mikrocontrollereinheit (MCU) oder Zentraleinheit (CPU). Quectel selbst hat keine Kontrolle über das Gerät, diese liegt allein beim OEM dem Unternehmen, das für die Entwicklung des Geräts verantwortlich ist. Die Fernverwaltung des Geräts ist ausschließlich über die Geräteverwaltungsplattform des OEMs möglich. Ein eindeutiges Beispiel, auf das in dem Schreiben Bezug genommen wird, ist der weit verbreitete Fall von John Deere Landwirtschaftsmaschinen, bei dem nur der OEM die Maschine durch Zugriff auf seine eigenen MCUs, die die Maschine steuern, deaktivieren und abschalten kann.

Schreiben des Komitees: "Wenn der CCP das Modul kontrollieren kann, ist er möglicherweise in der Lage, Daten zu exfiltrieren oder das IoT-Gerät abzuschalten."

Sobald die Quectel-Module das Werk verlassen und an die Kunden ausgeliefert werden, sind die Kunden von Quectel Eigentümer der Daten, und Quectel hat keinen Zugriff auf die gesammelten Daten. Das Eigentum, die Kontrolle, die Speicherung und die Änderung der Daten, die von IoT-Geräten auf dem Markt erzeugt werden, liegen unveränderlich bei den OEM-Geräteherstellern und ihren Kunden. Selbst in den seltenen Fällen außerhalb der USA, in denen Quectel den Konnektivitätsservice eines Mobilfunkanbieters weiterverkauft, hat Quectel keinen Zugriff auf die Gerätedaten.

Schreiben des Komitees: "Dies ist besonders bedenklich im Zusammenhang mit kritischen Infrastrukturen und sensiblen Daten aller Art."

Anwendungen, die hohe Sicherheitsanforderungen stellen, wie z. B. kritische Infrastrukturen, verwenden in der Regel private Zugangspunktnamen (APNs) und andere Methoden, die den Netzzugang streng kontrollieren und überwachen. Damit lassen sich alle Daten, die zu und von dem Gerät fließen, steuern und überwachen. Kritische Infrastrukturen werden sorgfältig mit einem mehrstufigen Sicherheitsmechanismus gestaltet, der ausschließlich vom Gerätehersteller definiert und implementiert wird, nicht von Quectel.

Die Mobilfunkbranche ist stark reguliert und erfordert intensive Tests und Akkreditierungen. Zertifizierungen durch Betreiber und Aufsichtsbehörden werden von vertrauenswürdigen Dritt- und Betreiberlabors durchgeführt, um sicherzustellen, dass das Modul die strengen technischen Anforderungen erfüllt. Die Quectel-Module wurden von der FCC, dem PCS Type Certification Review Board (PTCRB) und den großen Netzbetreibern weltweit zertifiziert, was Quectels Engagement für die Einhaltung strenger Industriestandards unterstreicht.

Neben den Mobilfunkmodulen bietet Quectel auch Wi-Fi-, Bluetooth- und GNSS-Module sowie -Antennen an. Als GSMA-Mitglied halten Quectel und seine Betreiberpartner alle Vorschriften der Mobilfunkbranche und die geltenden Standards ein, um sicherzustellen, dass die Daten der Endkunden sicher zwischen Kundengerät und Mobilfunkbetreiber übertragen werden. Quectel hat keinerlei Zugriff auf die Gerätedaten.

Quectel ist bestrebt, qualitativ hochwertige, sichere Module zu liefern, und geht mit der Durchführung von Cybersicherheitsprüfungen durch unabhängige Dritte weit über den Industriestandard hinaus. Erst kürzlich verpflichtete Quectel das Sicherheitsunternehmen Finite State, das die Sicherheit seiner Module durch strenge Sicherheitstests, eine verbesserte Transparenz der Software-Lieferkette und ein umfassendes Software-Risikomanagement prüft und Penetrationstests durchführt. Quectel beteiligt sich außerdem an der Formulierung neuer Sicherheitszertifizierungsstandards in der Branche, wie z. B. der CTIA Cybersecurity Certification Working Group, und bemüht sich um zusätzliche Cybersicherheitszertifizierungen von verschiedenen US-Einrichtungen, sobald neue Standards formuliert und verabschiedet sind.

Qualcomm stellt die Chipsätze und Softwareplattformen her, die das Herzstück der Quectel-Module bilden. "Unsere Partnerschaft mit Qualcomm unterstreicht die Bedeutung, die wir der Zusammenarbeit mit vertrauenswürdigen und sicheren Partnern aus dem gesamten Ökosystem beimessen, um weltweit hochwertige Lösungen bereitzustellen", so Muhrer weiter. "Quectel hat einen beachtlichen Einfluss auf die IoT-Branche. Wir haben Millionen von Zellmodulen geliefert, um den Vertrieb von Covid-19-Impfstoffen für führende US-amerikanische und globale Unternehmen wie Pfizer, Johnson Johnson und andere führende Impfstoffhersteller zu unterstützen. Dies unterstreicht unser Engagement, eine zentrale Rolle bei wichtigen globalen Initiativen zu spielen."

