Professional Articles

Security Certification

Cyber-Sicherheit als Entwicklungsziel

Die zunehmende Digitalisierung stellt die Streitkräfte vor eine ganze Reihe neuer Herausforderungen. Digitalisierte Fahrzeuge und Waffensysteme sind potenziell anfällig für Cyberangriffe - und das nicht nur, wenn sie mit dem Internet verbunden sind. Wie der Computerwurm Stuxnet bei den Angriffen auf das iranische Atomprogramm gezeigt hat, sind auch vermeintlich isolierte Systeme und Netzwerke gefährdet. Durch Social Engineering kann Schadsoftware auch ohne direkte Netzwerkverbindung in solche Systeme eindringen.

Darüber hinaus werden zunehmend Standardkomponenten auch in militärischen Systemen eingesetzt, ohne dass sie speziell für diese Systeme entwickelt wurden. Während früher das Militär und insbesondere das Pentagon als Haupttreiber der technologischen Innovation fungierte, werden heute viele Anwendungen mit COTS-Produkten (Commercial-Off-The-Shelf) bereitgestellt, d.h. mit Standardprodukten, die in großen Mengen für zivile Zwecke hergestellt werden und entsprechend kostengünstig zu beschaffen sind. Hinzu kommt, dass für solche Produkte entsprechende Entwicklungssysteme und eine Vielzahl von Ingenieuren mit entsprechendem Fachwissen zur Verfügung stehen, so dass militärische IT-Systeme kostengünstiger und vor allem schneller entwickelt werden können. Der Einsatz von COTS-Produkten hat aber auch seine Schattenseiten, denn viele Produkte weisen Schwachstellen auf - Schwachstellen, die bekannt sind und daher von Hackern leicht ausgenutzt werden können. Und im Gegensatz zu einem Bürocomputer können digitalisierte Fahrzeuge und Waffensysteme nicht einfach jederzeit zur Basis zurückgerufen werden, um die neuesten Sicherheitsupdates aufzuspielen. So hat das US-Verteidigungsministerium im Mai 2018 die Beschaffung und den Betrieb von COTS-Drohnen aufgrund von Sicherheitsproblemen fast vollständig untersagt, woraufhin dem Marine Corps nichts anderes übrig blieb, als 600 gerade erst beschaffte Drohnen zumindest vorübergehend außer Dienst zu stellen.


Vermeidung relevanter Sicherheitsschwachstellen

Besonders kritisch sind Sicherheitsschwachstellen bei sicherheitsrelevanten eingebetteten Systemen, die für bestimmte Überwachungs- und Steuerungsfunktionen zuständig sind, z. B. in der Automobilindustrie, der Luft- und Raumfahrt, im Schienenverkehr, in industriellen oder medizinischen Anwendungen sowie bei den Streitkräften. Während bei solchen Anwendungen bisher die funktionale Sicherheit - also die Vermeidung von Pannen - im Vordergrund stand, hat in den letzten Jahren die Cybersicherheit deutlich an Bedeutung gewonnen. Derartige Systeme dürfen unter keinen Umständen kompromittiert, geschweige denn von Hackern übernommen werden, da dies schwerwiegende Folgen hätte, bis hin zu Verletzungen oder dem Verlust von Menschenleben. Und auch wenn militärische Systeme aus wirtschaftlicher Sicht für Hacker weniger interessant sein mögen, so sind sie doch aus Imagegründen ein vielversprechendes Ziel. Es besteht auch die Möglichkeit, dass elektronische Schwachstellen von Nationalstaaten ausgenutzt werden, die über erhebliche Ressourcen verfügen. Das bedeutet, dass an die Cybersicherheit militärischer Systeme unglaublich hohe Anforderungen gestellt werden müssen. Je mehr die Streitkräfte auf autonome Systeme setzen, desto wichtiger wird dies. In solchen autonomen Systemen oder in unbemannten, ferngesteuerten Fahrzeugen oder Waffensystemen wird jede einzelne Funktion durch Software gesteuert, was potenziellen Hackern ein riesiges Ziel und zahlreiche Angriffsvektoren bietet.

Dennoch haben gerade eingebettete Systeme in puncto Sicherheit noch großen Nachholbedarf. Während die Gewährleistung der funktionalen Sicherheit bei kritischen Systemen schon immer ein Konstruktionsprinzip war, wird IT-Sicherheit noch zu oft als etwas angesehen, das in späteren Entwicklungszyklen ergänzt werden kann. So hat beispielsweise das United States Army Tank Automotive Research, Development and Engineering Center bereits im Frühjahr 2018 ein Intrusion Detection System (System zur Erkennung von Attacken oder Angriffen) für bestehende Militärfahrzeuge ausgeschrieben. Ziel ist es, solche Fahrzeuge gegen Angriffe zu verteidigen und deren Auswirkungen abzumildern. Allerdings kann ein solches System nur erfolgreiche Angriffe erkennen, die bereits stattgefunden haben - verhindern kann es sie nicht. Die kanadischen Streitkräfte suchen derweil nach Ausbildern, die die Besatzungen von Militärfahrzeugen bei der Erkennung und Bekämpfung von Cyberangriffen unterstützen - zweifellos ein lobenswertes Ziel, aber auch ein klares Signal, dass ihre Systeme offensichtlich verwundbar sind.

Schutz kritischer Systeme
Bei der Cybersicherheit geht es in erster Linie darum, insbesondere kritische Systeme vor unberechtigtem Zugriff und Manipulation zu schützen. Aufgrund der Agilität und der - im Falle von Angriffen durch Nationalstaaten - praktisch unbegrenzten Ressourcen von Hackern kann dies nur funktionieren, wenn Cybersicherheit von Anfang an in der Design- und Entwicklungsphase als grundlegendes Ziel definiert wird. Ist ein technisches System erst einmal freigegeben, ist es nicht mehr möglich, nachträglich Cybersicherheit zu integrieren. Grundsätzlich sind in der Konzeptions- und Entwicklungsphase eine Reihe von Aspekten im Hinblick auf die Cybersicherheit zu berücksichtigen:

  • Der erste betrifft die einzelnen elektronischen Baugruppen, die sogenannten Embedded Computer, die für alle im Fahrzeug verfügbaren Funktionen verantwortlich sind.
  • Der zweite ist die Kommunikation zwischen den einzelnen Komponenten, die das Gesamtsystem und damit das Fahrzeug selbst ausmachen.
  • Drittens die zahlreichen Schnittstellen zwischen dem sicherheitskritischen Gesamtsystem - etwa einem hochautonomen Fahrzeug oder Waffensystem - und der Außenwelt.
  • Schließlich muss auch die Datenübertragung und -verarbeitung außerhalb des Systems, einschließlich in der Cloud und im Backend, in die Sicherheitsüberlegungen einbezogen werden.

Die Forderung nach "Security by Design" wird besonders wichtig, da immer mehr sicherheitskritische und nicht sicherheitskritische Anwendungen innerhalb des Fahrzeugs betrieben werden und logisch oder physisch miteinander verbunden sind. Es ist zwar nicht wünschenswert, dass sich ein Angreifer Zugang zu nicht-kritischen Systemen verschafft, aber es ist nicht gefährlich; wenn es ihm jedoch gelingt, über dieses Tor auf sicherheitskritische Systeme zuzugreifen, ändert sich die Situation sofort - und zwar dramatisch. Es ist daher unerlässlich, Anwendungen mit unterschiedlichen Kritikalitätsstufen strikt voneinander zu trennen. Dies ist relativ einfach, wenn für jede Funktion ein eigener Rechner verwendet wird und die Kommunikation zwischen den einzelnen Rechnern auf das Notwendigste beschränkt ist und über gesicherte Kommunikationskanäle erfolgt. Dies erschwert jedoch den Einsatz von COTS-Produkten und führt zu sehr komplexen und potenziell fehleranfälligen Gesamtsystemen. Gefordert ist daher die Möglichkeit, Anwendungen, die auf der gleichen Hardware betrieben werden, strikt und sicher voneinander zu trennen, so dass sie sich unter keinen Umständen gegenseitig beeinflussen können. Darüber hinaus muss eine solche Architektur die Möglichkeit bieten, sowohl Anwendungen zu unterstützen, die in Echtzeit ablaufen - also solche, bei denen eine unmittelbare Reaktion auf ein Ereignis erforderlich ist - als auch Anwendungen, die weniger zeitkritisch sind.


PikeOS für die sichere Isolierung von Anwendungen

Mit PikeOS bietet SYSGO den Entwicklern von militärischen Systemen eine Umgebung, die die Isolierung von Anwendungen gewährleistet und sich in der Luftfahrtindustrie bewährt hat, um den extrem hohen Sicherheitsanforderungen gerecht zu werden. PikeOS ist eine modulare Software-Architektur, die mehrere eingebettete Anwendungen auf einer einzigen Hardware-Plattform integriert. PikeOS bietet sowohl ein vollständiges Echtzeitbetriebssystem (Hard RTOS) als auch ein Virtualisierungs- und Partitionierungssystem, um die spezifischen Anforderungen von Anwendungen in hochkritischen Umgebungen zu unterstützen. Die PikeOS-Plattform basiert auf einem kleinen, zertifizierbaren Mikrokernel, der eine Virtualisierungsinfrastruktur bereitstellt. Dadurch können verschiedene Anwendungen und Ressourcen in sicheren, individuellen Partitionen untergebracht werden.

Der PikeOS-Hypervisor selbst ist nach den höchsten Industriestandards zertifiziert und damit eine geeignete Grundlage für kritische Systeme, bei denen die Gewährleistung der funktionalen Sicherheit ebenso wichtig ist wie die Gewährleistung der IT-Sicherheit. Die Sicherheitsmechanismen beruhen im Wesentlichen auf zwei Prinzipien: Der strikten Isolierung von Anwendungen durch Zeit- und Ressourcenpartitionierung und der Kontrolle der Kommunikationskanäle. In dieser Umgebung können die einzelnen Anwendungen innerhalb des Gesamtsystems unterschiedliche Kritikalitätsstufen haben.

Dank der PikeOS-Sicherheitsmechanismen kann die Zertifizierung nach branchenspezifischen Safety- und Security-Standards für jede Anwendung separat durchgeführt werden - ein wesentliches Merkmal, um die Kosten unter Kontrolle zu halten. Darüber hinaus war PikeOS die erste Plattform, die eine SIL 4-Zertifizierung in Multicore-Umgebungen erhielt.

PikeOS ist ein europäisches System und unterliegt daher keinen Beschränkungen. Es wird von SYSGO kontinuierlich weiterentwickelt und an neue Anforderungen angepasst. SYSGO ist ein Unternehmen der französischen Thales-Gruppe, die auch den Support für Systeme mit einem sehr langen Lebenszyklus über den gesamten Zyklus hinweg gewährleistet.

More information at www.sysgo.com/pikeos

PikeOS for MPU

PikeOS for MPU

Learn more

Need more Information?


Contact us