Durch die Nutzung von smarten Geräten werden maschinelle und persönliche Daten immer umfangreicher erfasst, gesammelt und ausgewertet. Der damit verbundene Funktionsumfang ist komfortabel und ermöglicht neuartige Produkte und Dienstleistungen.

Doch neben illegaler Software werden immer wieder manipulierte elektronische Baugruppen entdeckt, die in sicherheitskritischen Systemen verbaut werden. So wurden beispielsweise im Jahr 2015 auf Servermainboards Halbleiterchips entdeckt, durch die diese illegal ferngesteuert werden konnten [1]. Zwischenzeitlich standen digitale Kommunikationseinrichtungen unter Verdacht, im Ernstfall nicht mehr funktionsfähig zu sein. Aktuell fallen Wechselrichter für PV-Anlagen und Energiespeicher in systemkritischen Anwendungen mit undefinierten Kommunikationseinrichtungen auf [2].

Anfangs wurden in kompromittierten Fertigungsbetrieben bei der Bestückung noch kleine, unerlaubte und schwer zu identifizierende Halbleiterchips auf den Leiterplatten platziert [1]. Heute können es in die Leiterplatte integrierte Siliziumchips sein, die unter Lötpads platziert werden. Leiterplatten, die mit solchen eingebetteten Chips bestückt sind, lassen sich nur mit großem Aufwand durch Röntgenuntersuchungen aufdecken. Ein weiteres Einfallstor für manipulierte Hardware sind System-in-Package-Systeme (SiP). Darüber lassen sich zusätzliche, unerwünschte Funktionalitäten implementieren, die erst im Fehlerfall bemerkt werden [3].

Neben dem realen Risiko manipulierter elektronischer Baugruppen kann bereits während der Prototypenentwicklung wertvolles Wissen abfließen, wenn nicht achtsam genug gehandelt wird. Denn mithilfe von Big Data und Large Language Models können interessierte Parteien das Layout und die Bestückung in ausreichender Qualität auswerten und sehr schnell und kostengünstig Reengineering betreiben. Um zu verhindern, dass Geschäftsgeheimnisse bei der Entwicklung, beim Prototypenbau und in der Serienfertigung abfließen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter anderem [3, 4], die Fertigungs- und Produktionsdaten bei vertrauenswürdigen und sensibilisierten Produzenten und Lieferanten wie der P&R Gerätetechnik zu platzieren.

Bei smarten, vernetzten Geräten ist insbesondere die Herstellung der Leiterplatten und die Fertigung der elektronischen Baugruppen sicherheitskritisch. Durch zusätzliche Kontrollen mittels AOI oder XRay können potenzielle Risiken durch wechselnde Leiterplattenlieferanten reduziert werden. Bei lebenswichtigen, vernetzten Geräten der Medizin-, Verteidigungs- oder Feuerwehrtechnik sowie bei kritischer, ferngesteuerter Infrastruktur in den Bereichen Wasser, Transport, Energie und Kommunikation muss auf vertrauenswürdige Lieferanten geachtet werden. So lassen sich potenzielle Risiken durch Datenabfluss bei der Materialbeschaffung und Fertigung minimieren.

[1] Robertson, Jordan; Riley, Michael: The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies. 2018. In Bloomberg Businessweek, Feature. https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies.

[2] Mcfarlane, Sarah: Rogue communication devices found in Chinese solar power inverters. 2025. In Reuters. https://www.reuters.com/sustainability/climate-energy/ghost-machine-rogue-communication-devices-found-chinese-inverters-2025-05-14. 

[3] Prüfung von Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen (PANDA). 2021. Federal Office for Information Security, Bonn. https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Studies/PANDA/PANDA.pdf?__blob=publicationFile&v=4.

[4] Harrison, Jacob et al.: On Malicious Implants in PCBs throughout the Supply Chain. 2021. Elsevier, Integration, 79. S. 12-22.