Sicherheit auf allen Systemschichten durch Vertrauensketten und Isolierung

Es ist eine Binse, dass IT-gestützte Systeme immer komplexer werden und all unsere Lebensbereiche fortschreitend bestimmen. Was unter Digitalisierung bekannt ist, hat jedoch reale Auswirkungen, die weiterreichen als es den meisten Menschen bewusst ist…

Ein Beispiel verdeutlicht das Dilemma der heutigen Digitalisierung: Unsichere Router, die keine Security-Patches erhalten, sind heute die Norm, nicht die Ausnahme. Ein Hacker, der viele Jahre alte Schwachstellen für einen Angriff nutzt, hat in der Regel wenige Probleme einzubrechen. Bei vielen anderen Digitalgeräten und Softwaren sieht es nicht besser aus. Ein vielleicht greifbareres Beispiel: Jemand, der jungen Eltern abhören möchte, braucht in der Regel einfach nur das passende Babyphone. Eine Verschlüsselung ist hier nicht vorgesehen. In der Industrie sieht es – wenn überhaupt – nur ein wenig besser aus. Verschlüsselte Kommunikation zwischen Maschinen ist trotz Technologien wie OPC UA noch immer Neuland. Dieser unhaltbare Zustand, der sich durch alle Bereiche des digitalen Lebens zieht, öffnet Hackern, die zunehmend professionalisiert handeln, Tür und Tor. Auch die vulnerable Infrastruktur ist unter diesem Gesichtspunkt bisher nur unzureichend geschützt.

Riskante Abhängigkeiten

Auf strategischer Ebene ist Europa auf ökonomischer und politischer Seite von wenigen Anbietern abhängig, die nicht nur ihre Marktmacht frei ausspielen können. Die Abhängigkeit von bestimmter Hardware und bestimmter IT-infrastruktur ist ein politisches Risiko. Als Ausweg aus dieser Abhängigkeit hat sich in den letzten Jahren die RISC-V-Architektur aufgetan, die als Open-Source-Plattform die technologische und rechtliche Sicherheit bietet um künftige Entwicklungen auf ihr aufzubauen. Das Potenzial ist noch nicht in Gänze gehoben, aber da nicht nur erkannt wurde, dass die Architektur durch kluge Weiterentwicklung performant genug wird und sie es in Teilen bereits ist für nahezu alle IoT-Anwendungen und auch von den US-amerikanischen Techriesen wie Alphabet nun Unterstützung kommt, bietet es sich an, sie als Grundlage für sichere Systeme zu nutzen.

Langsam setzt sich auf politischer Ebene die Erkenntnis durch, dass IT-Produkte einerseits von Grund auf sicher gebaut werden müssen und andererseits über ihre Lebensdauer hinweg mit Sicherheitspatches, die kritische Schwachstellen schließen, versorgt werden müssen. In diesem Sinne sind Produktfeatures, die durch Updates hinzukommen ein nettes Beiwerk, wirklich notwendig sind aber Sicherheitsupdates, die auf einer belastbaren Security-Architektur fußen, damit Datenschutz nicht ein Feigenblatt auf Unternehmenswebseiten bleibt und ein wohlfeiler Anspruch des Gesetzgebers.

Die Politik stellt die richtigen Hebel

Die Verwaltung ist deswegen auf europäischer wie auf nationaler Ebene mittlerweile aktiv geworden und macht nun Vorgaben, wie Softwaren und digitale Systeme gebaut und geprüft werden müssen, damit sie Mindestanforderungen an die Cybersicherheit erfüllen. 2019 wurde der Cybersecurity Act vom Europäischen Parlament verabschiedet, Ende 2022 wurde – wenn auch noch nicht ratifiziert – der Cyber Resilience Act auf den Weg gebracht. Die Initiativen sehen vor, dass digitale Produkte grundlegende Securityfeatures erhalten. Im Wesentlichen sollen Kunden befähigt werden sicher zu handeln, indem sie informiert werden und darüber hinaus sollen Produkte mit digitalen Komponenten in Sicherheitslevel eingestuft und zertifiziert sowie mit Updates versorgt werden. Eben jene Produkte sollen außerdem auf einem verlässlichen Security-Framework fußen.

Die Bundesregierung stellte deswegen bereits vor einigen Jahren auf nationaler Ebene in Deutschland mit dem Forschungsrahmenprogramm „Selbstbestimmt und sicher in der digitalen Welt 2015-2020“ eine Initiative vor, die Grundlagenforschung zu diesem Thema fördert. Eines der Forschungsvorhaben dieser Initiative ist der Teilbereich „Sicherheit auf allen IT-Systemschichten.“ Im Rahmen dieses Programms werden Projekte gefördert, die wesentlich zur Cybersicherheit beitragen, weit über den derzeitigen Stand der Technik hinaus Technologie sowie deren Blaupausen hervorbringen, die dann just den Anforderungen der Gesetzgeber genügt.

SASVI: Vertrauensketten halten Systeme zusammen

SYSGO ist nun eine der Firmen und Institutionen, die an dem Forschungsvorhaben beteiligt sind und SASVI entwickelt. SYSGOs SASVI steht für Sicherheit auf allen Systemschichten durch Vertrauensketten und Isolierung. Das Vorhaben sieht ein Modell für vertrauenswürdige IT-Systeme vor. Dabei werden folgende Problemstellungen adressiert, die die Forschenden beantworten möchten:

• Wachsende Angriffsoberfläche von (I)IoT-Systemen durch die fortschreitende Vernetzung von hochintegrierten Geräten
• fehlende Entwicklungsunterstützung
• Analyse- und Konfigurationsmöglichkeiten von sicheren Vertrauensketten wie z.B. für die Umsetzung von Zonierungskonzepten aus der IEC 62443 in industriellen Anwendungen
• die Schwierigkeit Schnittstellen wie die für RISC-V so zu entwerfen, dass eine Implementierung im Produkt gegen Hardware- und Softwareattacken gesichert werden kann.

Diese Problemstellungen werden in SASVI durch Vertrauensketten mit durchgängiger Isolation gelöst, welche aus sicheren RISC-V-basierten Prozessorarchitekturen, hardwarenahen Betriebssystemkomponenten, hardwarebasierten Root-of-Trust-Komponenten und vertrauenswürdigen Laufzeitumgebungen (Trusted Execution Environment, TEE) bestehen. Darüber hinaus wird ein besonderer Fokus auf die sichere und durchgängige Integration der Komponenten zu einem vertrauenswürdigen Gesamtsystem gelegt, das für industrielle Anwendungen geeignet ist.

Dieses Verfahren zielt direkt auf die folgenden Zielstellungen hin:

• effiziente Verfahren zur formalen Verifikation oder für statistische Garantien sowie zur Validierung und Zertifizierung der Sicherheit von Komponenten und Systemen;
• sichere Spezifikationen und ableitbare Sicherheitsgarantien für offene Befehlssätze wie zum Beispiel RISC-V;
• Methoden und Werkzeuge zur Bildung und Überprüfung von Vertrauensketten in zusammen-gesetzten IT-Systemen.

Durch neue Produkte werden die entwickelten Technologien von Industriepartnern einerseits wirtschaftlich verwertet, andererseits werden die Ergebnisse der Forschungsarbeit durch Publikationen, Konferenzen und Einbindung in den Lehrkontext durch die Universitäten besondere Hebelwirkung erlangen und das Vertrauen in europäische High-Tech-Produkte stärken und so nachhaltig und breitenwirksam die Technologiesouveränität in Europa sichern.

Das Teilprojekt zielt auf die Betriebssystem-Schicht (OS-Schicht), und ihre Integration in die Hardware-Schicht (HW-Schicht) sowie Industrial-Internet-of-Things-Schicht (IIoT-Schicht). Die Forschenden implementieren HW-Mechanismen zur Security wie Root-of-Trust und Secure Boot, Hypervisor-Erweiterungen und Kontrolle der Nebenläufigkeit, die für die Echtzeitbetriebssystemproduktlinie von SYSGO verwendet werden sollen.

„Für SYSGO werden im Forschungsvorhaben SASVI essentielle Technologien im Bereich Hypervisor basierte Chain-of-Trust mit OS-Isolierung erforscht und umgesetzt. Dies wird auf allen Systemebenen betrachtet und basierend auf RISC-V haben wir Zugang zu offenen Komponeneten (z.B TEEs, Hypervisor-Extensions) um dies mit einem ‚Hardware-Software-co-design‘-Ansatz enger mit Verbundpartner zu entwickeln. In diesem Schlüsselprojekt ergeben sich für unser EAL-5+ Common Criteria zertifiziertes PikeOS neue Ansätze, die auch auf RISC-V Platformen effizient umsetzbar sind“, sagt Mario Brotz, Direktor Research and Technology bei SYSGO.

Getrieben wird die Anforderungsentwicklung zunächst aus bestimmten Use Cases, für die OS-Anforderungen integriert werden. Die Systemsicht verbindet dabei Anforderungen an Vertrauensketten und Isolierung, die bei der Implementierung geschaffen bzw. erhalten werden müssen. In Hinblick auf die Implementierung dient technisch auf OS-Ebene die Root-of-Trust sowie Secure Boot zur Schaffung von Vertrauensketten; modulare TEEs, Hypervisor-Extensions, Ressourcenbudgetierung werden von Software zur Isolierung benutzt. Das wird begleitet von Analysen der Nebenläufigkeit, um etwaige Interferenzen zu minimieren. Im Projekt wenden die Forschenden eine iterative Methodologie zum Hardware-Software-Codesign an, die auf Software-Seite inkrementell entwickelt und z.B. mit Codesnippets frühes Feedback an die Hardware-Entwicklung gibt. Das geschieht bevor diese in höhere Systemfunktionen integriert werden und auf Hardware-Ebene durch geeignete Analyse (z.B. von Zeiteigenschaften) ein intensives Augenmerk auf die (nicht-funktionalen, und damit leicht aus dem Blick verlierbaren) Isolierungseigenschaften entwickelter Komponenten erhält, einschließlich der Komponenten, die für Vertrauensketten verwendet werden.

Wissenschaftliche und technische Arbeitsziele

Das Ziel dieses Vorhabens ist es, ein Systemschichten übergreifendes Konzept für Vertrauensketten mit durchgängiger Isolation zu entwickeln. Dies umfasst auf allen Schichten Hardware- und Softwarekomponenten, das Betriebssystem, Anwendungen, Cloudaspekte ausgehend von sicheren Prozessorarchitekturen, hardwarenahen Betriebssystemkomponenten, hardware-basierten Root-of-Trust-Komponenten und TEE. Darüber hinaus wird ein besonderer Fokus auf die sichere und durchgängige Integration der Komponenten zu einem vertrauenswürdigen Gesamtsystem gelegt, das für industrielle Anwendungen geeignet ist. Um eine möglichst große Breitenwirkung der entwickelten Sicherheitstechnologien zu erreichen, setzt SASVI bei Hardwarekomponenten auf die offene RISC-V-Architektur.

Die technischen Ziele des Projekts, aufgezählt von Hardware bis hin zur Systemschicht, sind die Entwicklung von

• flexibler RoT-Komponenten für Vertrauensketten in RISC-V-Systemen,
• konsistenter HW-Primitive für erweitertes TEE in RISC-V-Architektur,
• Hypervisoren als Managementsystem für Chain-of-Trust und OS-Isolierung/TEE,
• Einer Betrachtung der Isolierung der Vertrauenskette auf Systemebene,
• Unterstützung von Anwendungen in IIoT-Diensten Fernwartung, Fernüberwachung und Over-the-Air-Updates am Beispiel von intelligenten Pumpanwendungen.

Letzten Endes wird SASVI dazu beitragen die digitalisierte Welt ein Stück weit sicherer zu machen, indem es auf neue als auch bewährte Security-Ansätze setzt und gleichermaßen auf frei zugängliche Hardware-Architektur. Somit profitiert nicht nur die Industrie, sondern die Gesellschaft als Ganzes, indem robuste Systeme einerseits gesetzliche Anforderungen erfüllen und darüber hinaus wegweisend für den Bau von eingebetteten Systemen als Ganzes sind.