Kriminalpolitischer Kreis: Härtung von IoT-Geräten für Sicherheit

Von /

Stell Dir vor, Dein Zuhause, Dein Auto oder Deine Stadt wäre ein kleines Ökosystem aus smarten Helfern, das leise und zuverlässig im Hintergrund arbeitet. Klingt gut? Es wird noch besser – wenn diese Geräte nicht nur clever, sondern auch konsequent gehärtet sind. Genau hier setzen wir an: mit einem Blick durch die kriminalpolitische Brille und einem Fokus auf Prävention, Alltagsschutz und verantwortungsvolle Innovation. Die Härtung von IoT-Geräten ist kein optionales Upgrade mehr, sondern ein Sicherheitsgurt für die vernetzte Welt. Wenn Du das Maximum an Sicherheit, Datenschutz und Stabilität aus Deinen Systemen holen willst, bist Du hier richtig. Lass uns gemeinsam dafür sorgen, dass Deine Geräte Dir nützen – und nicht Angreifern.

Wenn Du tiefer in die Verbindung von digitaler und physischer Welt eintauchen willst, lohnt sich ein Blick auf Cyber-physische Sicherheit und IoT. Dort wird greifbar, warum Härtung von IoT-Geräten nicht nur Software betrifft, sondern auch Prozesse, Menschen und die physische Umgebung. Gerade diese Schnittstellen sind oft die Achillesferse: Ein kompromittierter Sensor kann eine Tür öffnen oder eine Anlage stoppen. Wer versteht, wie sich Cyberangriffe in der realen Welt auswirken, härtet ganzheitlicher – und verhindert echte Schäden.

Für Betreiber in Industrie und kritischen Infrastrukturen ist die Netzarchitektur der erste Hebel. Ein praxisnaher Einstieg ist Netzwerksegmentierung für OT-Umgebungen. Das Thema klingt trocken, ist aber Gold wert: Segmentierung begrenzt Bewegungsradius, reduziert Angriffsflächen und stützt Zero-Trust-Strategien. Kombiniert mit klaren Richtlinien und MUD-Profilen wird aus einer heterogenen Geräteflotte ein beherrschbares System. Kurz: Ohne Segmentierung bleibt Härtung von IoT-Geräten Stückwerk – mit ihr wird sie belastbar.

Auch zu Hause gilt: Architektur schlägt Bauchgefühl. In den Smart-Home Sicherheitsarchitektur Grundlagen findest Du kompakte Leitplanken, wie Du WLANs trennst, Geräte sicher onboardest und sinnvolle Standards auswählst. Das zahlt direkt auf die Härtung von IoT-Geräten ein: separate Netze für Kameras und Sprachassistenten, starke Identitäten, automatische Updates, klare Berechtigungen. So wird Dein Smart Home nicht nur smarter, sondern vor allem sicherer – ohne Komfort einzubüßen.

Im Fokus des Kriminalpolitischen Kreises: Warum die Härtung von IoT-Geräten für Prävention und Alltagsschutz zentral ist

Die Härtung von IoT-Geräten bedeutet, Angriffsflächen zu reduzieren, robuste Standards durchzusetzen und den gesamten Lebenszyklus eines Geräts so zu gestalten, dass Risiken minimiert und Schäden verhindert werden. Dabei geht es nicht nur um Technik. Es geht um Vertrauen in digitale Systeme, um Resilienz im Alltag und um klare Verantwortlichkeiten – von der Herstellung über den Betrieb bis zur Ausmusterung.

Warum das so essenziell ist? Weil IoT heute überall steckt: in Türschlössern, Kameras, Heizungen, Aufzügen, in Verkehrs- und Energiesystemen, in Krankenhäusern und Fabriken. Wenn hier etwas schiefgeht, hat das reale Folgen. Die Härtung von IoT-Geräten ist damit eine der wirksamsten Präventionsstrategien – sie nimmt Tätern die Gelegenheit und begrenzt den Schaden, bevor Repression überhaupt nötig wird.

  • Sie schützt Dein Zuhause und Dein Unternehmen vor opportunistischen Angriffen wie Botnetzen oder Credential-Stuffing.
  • Sie bewahrt Privatsphäre: Kamerafeeds, Standortdaten, Gesundheitswerte bleiben, wo sie hingehören.
  • Sie stärkt die Betriebssicherheit – gerade in kritischen Infrastrukturen wie Energie, Verkehr, Wasser.
  • Sie schafft forensische Nachvollziehbarkeit durch manipulationssichere Logs und klare Ketten der Beweissicherung.
  • Sie fördert Innovation, weil Vertrauen die Voraussetzung für Akzeptanz und Skalierung ist.

Kriminalpolitisch betrachtet reduziert die Härtung von IoT-Geräten Tatgelegenheiten, senkt Folgekosten und erleichtert die Zusammenarbeit von Herstellern, Betreibern, Aufsicht und Strafverfolgung. Kurz: Wer härtet, schützt nicht nur sich selbst – er schützt das Ganze.

IoT-Angriffsvektoren im Alltag: Risiken und Trends aus Sicht des Kriminalpolitischen Kreises

Angreifer suchen nicht das exotische Einhorn, sondern den leicht erreichbaren Türspalt. Genau dort setzt die Härtung von IoT-Geräten an. Die häufigsten Einfallstore sind bekannt – und lösbar:

  • Standardpasswörter und unsichere Voreinstellungen (offene Ports, unnötige Dienste).
  • Fehlende oder unsichere Updates (keine Signaturen, kein Anti-Rollback, unklare Supportzeiträume).
  • Schwächen in Funk- und Netzprotokollen (Wi‑Fi, Zigbee, Z‑Wave, Bluetooth LE, TCP/IP-Stacks).
  • Unsichere Cloud-/App-APIs (fehlerhafte Authentisierung und Autorisierung, fehlendes Rate-Limiting).
  • Lieferkettenrisiken (manipulierte Bibliotheken, fehlende SBOM, unkontrollierte Abhängigkeiten).
  • Physische Angriffe (offene Debug-Interfaces, auslesbare Flash-Speicher, fehlende Secure Elements).
  • Seitwärtsbewegung im Netz (kompromittiertes Gerät als Sprungbrett ins Home- oder Firmennetz).
  • Schwache Schlüssel und Zertifikate (Shared Secrets, abgelaufene oder nie rotierte Zertifikate).
  • Unsichere Companion-Apps (hart kodierte Schlüssel, ignorierte TLS-Fehler, unsichere Speicherung).
  • Datenschutzlücken (exzessive Telemetrie, Third-Party-Tracking, unklare Einwilligungen).

Spannend – und ehrlich gesagt auch ein bisschen beunruhigend – sind diese Trends:

  • Automatisierte Scans finden in Minuten tausende schlecht gehärtete Geräte.
  • Ransomware zielt auf IoT/OT, kombiniert Datendiebstahl und Funktionssabotage.
  • Missbrauch legitimer Cloud-Funktionen (bösartige Workflows, Rechteausweitung).
  • Angriffe auf ML-Modelle in Edge-Kameras (Adversarial Samples, Model Poisoning).
  • Supply-Chain-Exploits über Firmware-Updates oder Drittpakete.
Angriffsvektor Auswirkung Härtungsmaßnahme
Standardpasswörter Geräteübernahme, Botnetze, Datenschutzvorfälle Einzigartige Credentials, Passkeys/PAKE, kein Universal-Admin
Unsichere Updates Persistente Kompromittierung, Supply-Chain-Risiken Signierte OTA, A/B-Partition, Anti-Rollback, Staged Rollout
Schwache Schlüssel Identitätsdiebstahl, Datenabfluss Hardware-Root-of-Trust, mTLS, Rotation, Just-in-Time-Provisioning
Seitwärtsbewegung Netzwerkausbreitung, OT-Eskalation Segmentierung, MUD-Profile, Zero-Trust-Gateways
Physischer Zugriff Firmware-Extraktion, Manipulation Gesperrte Debug-Ports, Secure Boot, verschlüsselte Storage

Die gute Nachricht: All diese Vektoren lassen sich systematisch schließen. Die Härtung von IoT-Geräten ist kein Geheimnis – sie ist Handwerk, Disziplin und gelebter Standard.

Technische Härtungsmaßnahmen: Secure Boot, Schlüsselmanagement und Zero Trust für vernetzte Geräte

Secure Boot und eine belastbare Vertrauenskette

Secure Boot stellt sicher, dass nur authentische, signierte Firmware startet. Der Startvorgang ist damit kein „Blindflug“, sondern ein kontrollierter Prozess mit klaren Regeln. Eine starke Vertrauenskette umfasst:

  • Hardware Root of Trust (TPM, TEE/TrustZone, Secure Element), die Schlüsselmaterial vor Extraktion schützt.
  • Verified Boot und optional Measured Boot, dessen Messwerte sich per Remote Attestation prüfen lassen.
  • Anti-Rollback, um Downgrades auf verwundbare Versionen zu verhindern.
  • Einen minimalen, geprüften Bootloader, der nur das Nötigste tut – und das zuverlässig.

Sicheres Schlüssel- und Identitätsmanagement

Ohne starke Identitäten bleibt jede Härtung Flickwerk. Die Härtung von IoT-Geräten steht und fällt mit sauberem Schlüsselmanagement:

  • Individuelle Geräteidentitäten (X.509-Zertifikate) statt geteilter Geheimnisse.
  • Schlüsselerzeugung im Secure Element, Just-in-Time-Zertifikatsausstellung, kein Klartext im Werk.
  • mTLS für jede relevante Verbindung, Certificate Pinning, zeitgemäße Cipher-Suites.
  • Automatisierte Rotation, kurze Laufzeiten, Widerrufspfade, die im Feld funktionieren.

Update- und Schwachstellenmanagement

Kein Update, kein Frieden. Die Härtung von IoT-Geräten braucht ein Update-Ökosystem, das so zuverlässig ist wie die Geräte selbst:

  • Signierte OTA-Updates mit Fallback (A/B), Canary-Rollouts, Throttling und Telemetrie zu Erfolgsraten.
  • Transparente Supportzeiträume und Sicherheits-SLAs – öffentlich und vertraglich.
  • SBOM auf Komponentenebene, kontinuierlicher Abgleich gegen CVE-Datenbanken.
  • Koordinierte Schwachstellenmeldung (CVD), klarer Security-Kontakt, PGP-Schlüssel, definierte Fristen.

Angriffsoberfläche reduzieren

Weniger ist mehr. Geräte werden robuster, wenn sie nur das Nötigste freigeben:

  • Unnötige Dienste abschalten, strikte Allow-Lists, harte Firewall-Regeln.
  • Least Privilege per Design: Prozessisolierung, Sandboxen, SELinux/AppArmor, seccomp.
  • Speicherschutz (ASLR, DEP, Stack Canaries, CFI) und sichere Standardkonfigurationen.
  • Sichere Authentisierung: keine Default-Creds, Passkeys, FIDO2-Optionen, 2FA in Apps.
  • Verschlüsselte Ablage sensibler Daten (z. B. Credentials, Schlüssel, Logs) mit Hardwareunterstützung.

Zero Trust für IoT

Zero Trust heißt: niemand bekommt Vertrauensvorschuss – auch Geräte nicht. Jeder Zugriff wird geprüft, jede Kommunikation begrenzt auf das Notwendige. Praktisch sieht das so aus:

  • Identitätsbasierte Richtlinien statt IP-Vertrauen; jede Anfrage wird authentisiert und autorisiert.
  • Mikrosegmentierung, VLANs und Policy-Enforcement an Gateways.
  • MUD-Profile (RFC 8520) zur Definition erlaubter Kommunikationsmuster und deren Durchsetzung.
  • Kontinuierliche Attestierung von Zustand und Firmware-Version, sonst kein Zugang.
  • Anomalieerkennung auf Edge/Gateway-Ebene, um Abweichungen früh zu erkennen.

App, Cloud und Edge sicher integrieren

Die Härtung von IoT-Geräten endet nicht am Gehäuse. App, Cloud und Edge müssen zusammenspielen – sicher, nachvollziehbar, datensparsam:

  • Harte APIs: OAuth2/OIDC, mTLS, Rate-Limiting, Input-Validierung, Audit-Logs.
  • Mandantentrennung in Cloud-Plattformen, Geheimnisspeicher (KMS/HSM), Schlüsselzugriffe nach dem Need-to-Know-Prinzip.
  • Edge-Gateways als Policy-Enforcer, Puffer bei Cloud-Ausfällen und Attestierungsanker.
  • Privacy by Design: Datensparsamkeit, lokal statt Cloud, klare Einwilligungen, Löschkonzepte.

Sichere Entwicklung und Qualitätssicherung

Security ist ein Prozess. Wer die Härtung von IoT-Geräten ernst nimmt, baut Sicherheit in die Entwicklung ein:

  • Threat Modeling pro Use Case, Architektur-Reviews, Red-Teaming an kritischen Schnittstellen.
  • Automatisierte Tests: SAST, DAST, Fuzzing, Dependency-Scanning, reproduzierbare Builds.
  • Security-Gates in der CI/CD, Vier-Augen-Reviews, signierte Artefakte.
  • Dokumentation, sichere Default-Einstellungen und gut verständliche Nutzerhinweise.

Regulatorik und Standards: EU Cyber Resilience Act, NIS2 und ETSI EN 303 645 richtig umsetzen

EU Cyber Resilience Act (CRA)

Der CRA setzt horizontale Mindestanforderungen an Produkte mit digitalen Elementen – von der Risikoanalyse über sichere Entwicklung bis zu Updates und Schwachstellenmanagement. Für die Härtung von IoT-Geräten ist das ein Rückenwind, denn er verlangt nachweisbare Security-by-Design- und Security-by-Default-Praktiken.

  • Dokumentierte Risikoanalysen, SBOM und technische Unterlagen als Teil der Konformitätsbewertung.
  • Pflichten für Schwachstellen-Management und Nutzerinformation bei Sicherheitsproblemen.
  • CE-Kennzeichnung auf Basis nachgewiesener Sicherheitsanforderungen über den gesamten Lebenszyklus.

Praxis-Tipp: Richte Dein QMS/ISMS auf Secure SDLC aus, definiere klare Supportzeiträume und stelle Prozesse für CVD, Patching und Kommunikation auf belastbare Füße.

NIS2-Richtlinie

NIS2 richtet sich an „wesentliche“ und „wichtige“ Einrichtungen – etwa Energie, Verkehr, Gesundheit, Verwaltung. Sie verlangt ein stringentes Risikomanagement, Vorfallsbehandlung und Meldewege. IoT ist dabei häufig Teil der Betriebsumgebung. Die Härtung von IoT-Geräten zahlt direkt auf NIS2-Compliance ein:

  • Asset-Management für Geräte und deren Firmware-/Zertifikatsstatus.
  • Technisch-organisatorische Maßnahmen: Segmentierung, Zugriffskontrollen, Kryptografie, Logging.
  • Lieferkettensicherheit: vertragliche Security-Anforderungen, Auditrechte, Nachweise.
  • Vorfallsreaktion, Übungen, Business-Continuity-Planung – auch mit Blick auf OT/IoT.

ETSI EN 303 645 und ergänzende Baselines

ETSI EN 303 645 ist die praxistaugliche Basis für Consumer-IoT, zunehmend auch als Orientierung in professionellen Umgebungen. Sie deckt zentrale Aspekte der Härtung von IoT-Geräten ab:

  • Keine universellen Standardpasswörter, sichere Onboarding-Verfahren.
  • Verantwortungsvolles Schwachstellen-Handling, regelmäßige Sicherheitsupdates.
  • Sichere Kommunikation, Datenschutz, robuste Standardeinstellungen.

Je nach Einsatzfeld kommen weitere Standards ins Spiel: IEC 62443 (OT/Industrie), ISO/IEC 27001/27002 (Managementsysteme), ISO/IEC 27400 (IoT Trustworthiness) und GSMA-Profile für Mobilfunk-IoT. Zusammen bilden sie ein solides Fundament.

Beschaffung, Zertifizierung und Lebenszyklus: Praxisleitfaden für Behörden, Unternehmen und Bürger

Checkliste für die sichere Beschaffung

Gute Härtung beginnt auf dem Bestellzettel. Wenn Du die richtigen Anforderungen verankerst, bekommst Du Geräte, die im Feld halten, was das Datenblatt verspricht. Folgende Punkte gehören in jede Ausschreibung, jeden Kaufvertrag, jede interne Richtlinie:

  • Update- und Supportgarantie mit klaren Zeiträumen (Sicherheitsupdates kostenfrei, verbindliche Fristen).
  • SBOM pro Firmware-Release und proaktive Benachrichtigung bei kritischen CVEs.
  • Nachweis von Secure Boot, Anti-Rollback, individueller Geräteidentität und mTLS.
  • Kein Einsatz von Standardpasswörtern; sichere, dokumentierte Onboarding-Verfahren.
  • Unterstützung für Netzwerksegmentierung und MUD-Profile; Rollen- und Rechtekonzepte.
  • Konformität mit ETSI EN 303 645 plus Bezug zu CRA/NIS2-Anforderungen je nach Branche.
  • Logging- und Exportfunktionen (SIEM-Integration), Zeitstempel-Synchronisation, Manipulationsschutz.
  • Datenschutz: Datensparsamkeit, Löschkonzepte, Edge-Verarbeitung, AV-/DPA-Verträge.
  • Reaktionszeiten für Vulnerability-Response, inkl. Workflows und Eskalationsstufen.
  • End-of-Life-Prozesse: sichere Datenlöschung, Deprovisionierung, nachhaltiges Recycling.

Zertifizierung als Vertrauenssignal

Zertifizierungen sind kein Allheilmittel, aber sie machen Reife sichtbar. Für die Härtung von IoT-Geräten bieten sich an:

  • ETSI EN 303 645-konforme Tests (z. B. ETSI TS 103 701) für Consumer-IoT.
  • Common Criteria/EUCC für sicherheitskritische Komponenten wie Secure Elements.
  • IEC 62443-Pfade für industrielle Steuerungen und Systemintegratoren.
  • Nachweise eines gelebten Secure SDLC, flankiert von ISO/IEC 27001/27002.

Lebenszyklusmanagement in der Praxis

Das Leben eines Geräts endet nicht beim Auspacken. Ein stimmiger Lebenszyklus macht die Härtung von IoT-Geräten wirksam – Tag für Tag:

  1. Inventarisierung: Gerätetyp, Seriennummer, Firmware-Version, Zertifikatsstatus, Netzwerkzone.
  2. Onboarding: Starke Authentisierung, Zuweisung zu Segmenten, Aktivierung von MUD-Policies.
  3. Betrieb: Monitoring, Anomalieerkennung, geplante Updates, Compliance-Checks.
  4. Vorfall: Playbooks, Quarantäne, Notfall-Images, Forensik-Export mit manipulationssicheren Logs.
  5. Ausmusterung: Sichere Löschung, Widerruf/Deprovisionierung von Schlüsseln und Zertifikaten, Recycling.

Rollenbasierte Leitlinien

Akteur Prioritäten für die Härtung von IoT-Geräten
Behörden/Kommunen Sicherheitsanforderungen in Vergaben verankern, Segmentierung kommunaler Netze, zentrale Update-Orchestrierung, Notfallübungen mit Blaulichtorganisationen.
Unternehmen/Betreiber Asset-Discovery, Zero-Trust-Netzwerk, SBOM-gestütztes Patch-Management, Lieferantenaudits, SIEM/XDR-Integration.
Bürger/Privathaushalte Standardpasswörter ersetzen, automatische Updates aktivieren, IoT in eigenes WLAN/VLAN isolieren, unnötige Cloud-Funktionen deaktivieren.

Beispielklauseln für Ausschreibungen

„Der Anbieter stellt für die Vertragslaufzeit und mindestens die erwartete Nutzungsdauer kostenfreie Sicherheitsupdates bereit. Pro Firmware-Release wird eine SBOM geliefert. Geräte implementieren Secure Boot, Anti-Rollback, individualisierte Zertifikate und mTLS. Standardpasswörter sind unzulässig. Die Lösung unterstützt MUD-Profile und ermöglicht den Export strukturierter Logs (z. B. CEF/JSON) an das zentrale SIEM. Ein koordinierter Schwachstellenmeldeprozess inklusive Kontaktstelle ist nachzuweisen.“

Kriminalpolitische Einordnung: Sicherheit, Datenschutz und Innovation im Gleichgewicht halten

Die Härtung von IoT-Geräten ist mehr als Technik. Sie berührt Grundfragen von Freiheit, Sicherheit und wirtschaftlicher Entwicklung. Wieviel Logging ist nötig – und wieviel wäre zu viel? Wie bleibt starke Verschlüsselung stark, ohne Ermittlungen unmöglich zu machen? Wie sichern wir das Recht auf Reparatur, ohne Geräte zu öffnen wie ein Scheunentor?

Aus Sicht des Kriminalpolitischen Kreises heißt die Antwort: Balance durch klare Prinzipien.

  • Prävention vor Repression: Gut gehärtete Systeme reduzieren Tatgelegenheiten und Schäden – bevor Strafverfolgung greifen muss.
  • Datenschutz und Zweckbindung: Logs ja, aber nur so lange und so detailliert wie nötig – mit klarem Zugriffskonzept.
  • Transparenz und Verantwortung: Hersteller tragen die Pflicht für Updates; Nutzer verdienen verständliche Informationen und sichere Defaults.
  • Innovationsfreundlichkeit: Klare Regeln (CRA, NIS2, EN 303 645) schaffen Planungssicherheit und Wettbewerb über Qualität statt über Nachlässigkeit.
  • Digitale Souveränität: Offene Standards, Interoperabilität und Portabilität verringern Lock-in und erleichtern sichere Migrationen.
  • Recht auf Reparatur vs. Integrität: Wartungsfreundlich, aber signiert und dokumentiert – so bleibt Sicherheit intakt.

Wichtig für Ermittlungen: Härtung und starke Kryptografie schließen rechtsstaatliche Strafverfolgung nicht aus. Nötig sind saubere, manipulationssichere Metadaten, forensische Exportpfade und rechtlich abgesicherte Zugriffe – keine Hintertüren. So bleibt der gesellschaftliche Auftrag klar: schützen, was Menschen nutzen.

FAQ zur Härtung von IoT-Geräten

Was ist der Kernunterschied zwischen Secure Boot und Measured Boot?

Secure Boot verhindert das Starten unsignierter Firmware. Measured Boot dokumentiert zusätzlich Prüfsummenwerte in vertrauenswürdiger Hardware (z. B. TPM/TEE). Zusammen mit Remote Attestation lässt sich damit aus der Ferne belegen, dass genau die erwartete Software läuft.

Wie lange sollten Hersteller Sicherheitsupdates liefern?

Mindestens für die erwartete Nutzungsdauer des Produkts. Transparente Supportzeiträume sind essenziell – idealerweise vertraglich zugesichert und öffentlich dokumentiert. Regulatorisch verlangt der CRA einen angemessenen Lifecycle-Support.

Sind Cloud-abhängige IoT-Produkte per se riskant?

Sie können sicher sein – wenn Identitäten stark sind, Kommunikation über mTLS läuft, Mandanten sauber getrennt sind, Datensparsamkeit gilt und Offline-Fallbacks existieren. Cloud-Features sind kein Risiko, unsaubere Implementierungen schon.

Welche Rolle spielen Gateways im Smart Home und im Unternehmen?

Gateways setzen Policies durch, segmentieren Verkehr, übersetzen Protokolle, sammeln Telemetrie und dienen als Attestierungsanker. In Zero-Trust-Architekturen sind sie der Türsteher mit Adressbuch – freundlich, aber strikt.

Fazit und nächste Schritte

Die Härtung von IoT-Geräten ist ein gemeinsamer Auftrag: Hersteller liefern sichere Grundlagen, Betreiber gestalten Prozesse, Nutzer treffen kluge Entscheidungen. Technische Maßnahmen wie Secure Boot, starkes Schlüsselmanagement, regelmäßige Updates, Segmentierung, MUD-Profile und Zero Trust sind heute Standard – und zwar aus gutem Grund. Regulatorik wie der Cyber Resilience Act und NIS2 sorgt dafür, dass diese Standards verbindlich werden. Und die kriminalpolitische Perspektive erinnert uns: Sicherheit ist kein Selbstzweck, sondern Schutzraum für Freiheit, Innovation und Alltag.

Wenn Du nach dem Lesen nur einen Schritt gehst, dann diesen: Inventarisiere Deine Geräte und aktiviere Updates. Danach folgen Netzwerksegmentierung, starke Identitäten und klare Prozesse. Und wenn Du tiefer einsteigen willst, begleitet Dich der Kriminalpolitische Kreis mit Analysen, Leitfäden und Praxisbeispielen – damit Deine vernetzte Welt nicht nur smart ist, sondern auch sicher.

Related Posts

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen