Professional Articles


Cybersicherheit als Entwicklungsziel

Professional Articles


Cybersicherheit als Entwicklungsziel

Die zunehmende Digitalisierung bringt für die Streitkräfte eine ganze Reihe neuer Herausforderungen mit sich. Digitalisierte Fahrzeuge und Waffensysteme sind potentiell anfällig für Hackerangriffe, und das nicht nur, wenn sie tatsächlich mit dem Internet verbunden sind. Wie der Computerwurm Stuxnet bei den Angriffen auf das iranische Atomprogramm gezeigt hat, sind auch vermeintlich isolierte Systeme und Netzwerke gefährdet. Über Social Engineering lässt Schadsoftware sich auch ohne unmittelbare Netzwerkverbindung in solche Systeme einschleusen.

Hinzu kommt, dass auch in militärischen Systemen zunehmend Standardkomponenten eingesetzt werden, die nicht speziell für solche Systeme entwickelt wurden. War früher das Militär und insbesondere das Pentagon der wesentliche Treiber technischer Innovationen, werden heute für viele Anwendungen sogenannte COTS-Produkte eingesetzt (Commercial Off The Shelf), also Standardprodukte, die in großer Anzahl für zivile Zwecke hergestellt werden und entsprechend günstig zu beschaffen sind. Zudem gibt es für solche Produkte auch entsprechende Entwicklungssysteme und eine Vielzahl von Ingenieuren mit einschlägigem Know-how, so dass auch die Entwicklung militärischer IT-Systeme kostengünstiger und vor allem schneller erfolgen kann. Doch der Einsatz von COTS hat auch seine Schattenseiten, denn viele Produkte haben Schwachstellen, die zudem bekannt sind und so von Hackern leicht ausgenutzt werden können. Und anders als bei einem Bürocomputer können digitalisierte Fahrzeuge und Waffensysteme nicht jederzeit zur Basis zurückgerufen werden, um wieder einmal ein Sicherheitsupdate aufzuspielen. So hat das Department of Defence im Mai 2018 die Beschaffung und den Betrieb von COTS-Drohnen auf Grund von Sicherheitsproblemen nahezu komplett untersagt, worauf das Marine Corps 600 gerade erst angeschaffte Drohnen zumindest vorübergehend stilllegen musste.

Vermeidung relevanter Sicherheitslücken

Kritisch sind Sicherheitslücken vor allem in eingebetteten Systemen, die bestimmte Kontroll- und Steuerungsfunktionen wahrnehmen und sicherheitsrelevant sind - etwa im Automobil, in der Luft- und Raumfahrt, im Schienenverkehr, in industriellen oder medizinischen Anwendungen oder eben auch bei den Streitkräften. Stand bei solchen Anwendungen bisher vor allem die funktionale Sicherheit, also etwa die Vermeidung von Unfällen, im Vordergrund, hat die Cybersicherheit in den letzten Jahren ganz erheblich an Bedeutung gewonnen. Keinesfalls dürfen solche Systeme von Hackern beeinträchtigt oder gar übernommen werden, denn hier drohen gravierende Konsequenzen bis hin zu Schaden an Leib und Leben. Und wenngleich militärische Systeme für Hacker wirtschaftlich eher uninteressant sein dürften, stellen sie doch aus Imagegründen sehr vielversprechende Ziele dar. Hinzu kommt die Möglichkeit, dass elektronische Schwachstellen von Nationalstaaten ausgenutzt werden, die über erhebliche Ressourcen verfügen. Es sind daher höchste Standards erforderlich, wenn es um die Cybersicherheit militärischer Systeme geht. Dies wird umso wichtiger, je stärker die Streitkräfte auf autonome Systeme setzen. Bei solchen oder auch unbemannten, ferngesteuerten Fahrzeugen oder Waffensystemen ist jede einzelne Funktion softwaregesteuert, so dass sie eine immense Angriffsfläche und eine Vielzahl von Angriffsvektoren bieten.

Allerdings gibt es in puncto Security gerade bei eingebetteten Systemen noch erheblichen Nachholbedarf. Die Sicherstellung der funktionalen Sicherheit ist seit jeher ein Designprinzip kritischer Systeme, doch die IT-Sicherheit glaubt man noch zu oft in späteren Entwicklungszyklen ergänzen zu können. So hat beispielsweise das United States Army Tank Automotive Research, Development and Engineering Center im Frühjahr 2018 ein Intrusion Detection System für bestehende militärische Fahrzeuge ausgeschrieben. Damit sollen Angriffe auf solche Fahrzeuge abgewehrt und deren Auswirkungen gemildert werden. Doch ein solches System kann nur bereits erfolgreich durchgeführte Angriffe entdecken - verhindern kann es sie nicht. Und wenn die kanadischen Streitkräfte Trainer suchen, die die Besatzungen militärischer Fahrzeuge bei der Entdeckung und Bekämpfung von Cyberangriffen unterstützen sollen, ist dies zwar lobenswert, aber auch ein deutliches Signal dafür, dass deren Systeme offensichtlich angreifbar sind.

Schutz kritischer Systeme

Bei der Cybersicherheit geht es vor allem darum, kritische Systeme vor unerlaubten Zugriffen und vor allem vor Manipulation zu schützen. Dies kann aufgrund der Agilität und - im Falle von Angriffen von Nationalstaaten - auch der nahezu unbegrenzten Ressourcen von Hackern nur gelingen, wenn die Cybersicherheit schon in der Design- und Entwicklungsphase als elementares Ziel definiert wird. Ist ein technisches System einmal freigegeben, lässt sich Cybersicherheit nicht mehr nachträglich integrieren. In der Konzeptions- und Entwicklungsphase sind bezüglich der Cybersicherheit grundsätzlich mehrere Aspekte zu beachten:

  • Der erste betrifft die einzelnen elektronischen Baugruppen, die als sogenannte eingebettete Computer für alle möglichen Funktionen im Fahrzeug verantwortlich sind.
  • Dazu kommt die Kommunikation zwischen diesen einzelnen Komponenten, die das gesamte System und damit das Fahrzeug repräsentiert.
  • Drittens sind die zahlreichen Schnittstellen zwischen dem sicherheitskritischen Gesamtsystem - sei es nun ein hochgradig autonomes Fahrzeug oder ein Waffensystem - und der Außenwelt zu berücksichtigen.
  • Schließlich muss auch die Datenübertragung und -verarbeitung außerhalb des Systems, einschließlich der Cloud und des Backends, in die Sicherheitsbetrachtung einfließen.

Die Anforderung nach "Security by Design" wird umso wichtiger, je mehr sicherheitskritische und unkritische Anwendungen innerhalb des Fahrzeugs betrieben werden und miteinander logisch oder physisch verbunden sind. Sollte ein Angreifer Zugriff auf unkritische Systeme erlangen, ist das zwar lästig, aber nicht gefährlich – kann er über dieses Einfallstor aber auf sicherheitskritische Systeme zugreifen, ändert sich das sofort dramatisch. Es ist daher unabdingbar, solche Anwendungen mit unterschiedlichen Kritikalitäts-Levels strikt voneinander zu trennen. Dies ist relativ einfach, wenn man für jede Funktion einen dedizierten Computer einsetzt und die Kommunikation zwischen diesen auf das absolut notwendige reduziert und zudem über gesicherte Kommunikationskanäle abwickelt. Dies läuft allerdings dem Bestreben entgegen, COTS-Produkte einzusetzen, und führt zu sehr komplexen und potentiell fehleranfälligen Gesamtsystemen. Es wird also eine Möglichkeit benötigt, mehrere Anwendungen, die auf der gleichen Hardware betrieben werden, strikt und sicher voneinander zu separieren, so dass sie sich keinesfalls gegenseitig beeinflussen können. Zudem muss eine solche Architektur die Möglichkeit bieten, sowohl Echtzeit-Anwendungen - also solche, bei denen eine unmittelbare Reaktion auf ein Ereignis erforderlich ist - zu unterstützen als auch weniger zeitkritische.

PikeOS zur sicheren Trennung von Anwendungen

Mit PikeOS von SYSGO steht Entwicklern militärischer Systeme eine Umgebung zur Verfügung, die eine solche Trennung gewährleistet und sich bereits in der Flugzeugindustrie mit ihren extrem hohen Sicherheitsanforderungen bewährt hat. PikeOS stellt eine modulare Software-Architektur dar, die mehrere Embedded-Anwendungen auf einer einzigen Hardware-Plattform integriert. PikeOS bietet sowohl ein volles Echtzeit-Betriebssystem (Hard RTOS) als auch ein Virtualisierungs- und Partitionierungssystem, um die besonderen Anforderungen von Anwendungen in hochkritischen Umgebungen zu unterstützen. Die Basis der PikeOS-Plattform ist ein kleiner, zertifizierbarer Microkernel, der eine Virtualisierungs-Infrastruktur zur Verfügung stellt. Damit ist es möglich, verschiedene Anwendungen und Ressourcen in sicheren, individuellen Partitionen zu platzieren.

Der PikeOS Hypervisor selbst ist nach höchsten Industriestandards zertifiziert und damit eine geeignete Grundlage für kritische Systeme, in denen sowohl funktionale Sicherheit als auch IT-Sicherheit gewährleistet sein müssen. Die Schutzmechanismen basieren dabei im Wesentlichen auf zwei Grundsätzen strikte Trennung der Anwendungen durch Zeit- und Ressourcen-Partitionierung sowie Steuerung der Kommunikations-Kanäle. Die einzelnen Anwendungen innerhalb des Gesamtsystems können dabei unterschiedliche Kritikalitäts-LevelS besitzen.

Aufgrund dieser Schutzmechanismen von PikeOS kann die Zertifizierung nach branchenspezifischen Safety- und Security-Standards für jede Anwendung separat durchgeführt werden - ein wesentliches Merkmal, um die Kosten unter Kontrolle zu halten. Zudem war PikeOS die erste Plattform, die auch eine SIL 4-Zertifizierung in Multicore-Umgebungen erhielt.

PikeOS ein europäisches System und unterliegt daher keinerlei Beschränkungen. Es wird von der SYSGO AG ständig weiterentwickelt und an neue Anforderungen angepasst. SYSGO ist ein Unternehmen der französischen Thales-Gruppe, was auch die Unterstützung sehr langlebiger Systeme über den gesamten Lebenszyklus hinweg gewährleistet.

SYSGO AG
Am Pfaffenstein 14
D-55270 Klein-Winternheim
TEL.: +49 6136 99480
FAX: +49 6136 994810
E-Mail: office( at )sysgo.com
www.sysgo.com