Cyber-Security IT-Sicherheit neu überdenken

In Krisenzeiten sind IT, vernetzte Anlagen in der Industrie und das IoT besonders gefährdet. Hacker nutzen die Chance, die ihnen ungesicherte Heim-Netzwerke und Rechner bieten. Hensoldt Cyber will das Eindringen von Cyber-Kriminellen verhindern.

In vielen Unternehmen führte das rasche Ausbreiten von Sars-CoV-2 zu einem eiligen Aufbruch ganzer Abteilungen ins Home Office. Das bringt Sicherheitsprobleme mit sich: Statt über gesicherte interne Firmennetzwerke wird über das offene Internet kommuniziert. Viele Übertragungswege sind ungesichert, nicht auf die notwendige Bandbreite ausgelegt und Server sind überlastet. Verschärft wird das mit der Verwendung privater Geräte, deren Betriebssysteme, Anwenderprogramme und Sicherheits-Software oft nicht auf dem aktuellen Stand sind.

So warnen Dienstleister wie Sophos vor »Myriaden von Bedrohungen« durch Trittbrettfahrer. Ebenso sieht das Bundesamt für Sicherheit in der Informationstechnologie (BSI) eine »exponentielle Zunahme von Registrierungen von Webseiten mit Sars-CoV-2- oder COVID-19-Bezug«, die Hacker für das Verbreiten von Schadsoftware nutzen. Betrügerische E-Mails und originalgetreu replizierte Seiten zur Beantragung von Soforthilfen zeigen, dass Cyber-Kriminelle bereits aktiv sind, um Daten abzugreifen.

Betroffen sind jedoch nicht allein die klassische Informationstechnik (IT) sowie Geräte im Home Office, sondern ebenfalls die Betriebstechnik (OT), also vernetzte Produktionsanlagen und Maschinen in der Industrie, genauso das Internet der Dinge (IoT). Solche Geräte sind gefährdet, da Software-Aktualisierungen oft nicht verfügbar sind und Standardpasswörter von Herstellern einfach weiterbenutzt werden. Gerade in produktionsnahen Bereichen können durch Angriffe schnell Schäden in Millionenhöhe entstehen. Unternehmen müssen also ihre IT-Sicherheit neu überdenken. Nicht allein, um auf die aktuelle Gefahrenlage zu reagieren, sondern ebenfalls, um sich für die Zukunft zu wappnen.

Sicheres Betriebssystem

Um Anlagen und Geräte vor Angriffen zu schützen, stellt das in Taufkirchen bei München ansässige Start-up Hensoldt Cyber zwei Entwicklungen bereit. Sie folgen dem Ansatz »Sichere IT statt IT-Sicherheit«.

Eine Entwicklung ist »Trentos«, ein Betriebssystem, das auf einem sicheren und kleinen Mikrokernel basiert, bei dem die Sicherheit der kritischen Komponenten durchgängig mathematisch verifiziert ist. Der seL4-Mikrokernel wurde von akademischen Partnern in Sydney entwickelt und für die offene Befehlssatzarchitektur RISC-V angepasst. Eines der wichtigsten Sicherheitsprinzipien des Kerns ist das strikte Trennen der einzelnen Software-Komponenten, welche auf diesem betrieben werden. Sie können ausschließlich dann untereinander interagieren, wenn sie speziell dafür konfiguriert sind. Somit behält der Administrator die volle Kontrolle über sein IoT-Netzwerk.

Das Design von Trentos bietet Sicherheit basierend auf bewiesenen Integritätseigenschaften. Hierfür wurde der Kernel mathematisch formuliert und anschließend mittels eines halbautomatischen Theorem-Beweises die Korrektheit belegt. So können Angreifer nicht über eine kompromittierte Komponente weiter ins System vordringen. Verfügbar ist das Betriebssystem in zwei Varianten: Trentos-M für den Einsatz in Embedded-Systemen mit höchstem Schutzbedarf, sowie Trentos-G für den Einsatz in komplexeren Systemen. Trentos-M bietet dabei speziell auf Sicherheit ausgelegte Betriebssystemservices: sicheres Booten und sichere Updates, Zertifikatsparser, Schlüsselspeicher, einen Konfigurationsserver sowie ein TLS- und ein Kryptomodul.

Prozessor mit eigener Verschlüsselung

Als zweiten Baustein für eine sichere IT bietet Hensoldt mit dem »MiG-V« einen universellen, logisch verschlüsselten Prozessor an, der auf Hochsicherheitsanwendungen ausgerichtet ist. Eine logische Verschlüsselung verhindert das nachträgliche Einfügen von Hardware-Trojanern in die Architektur während des Fertigungsprozesses und gibt Hensoldt die volle Kontrolle über die Design- und Produktionskette. Die CPU basiert auf der quelloffenen Befehlssatzarchitektur RISC-V und wurde als RV64IMAC mit 64-Bit-Integer-CPU und den Erweiterungen für Integer-Multiplikation/Division (M), atomische Speicheroperationen (A) und verkürzte Befehle (C) implementiert.

Zusammen mit dem im internen ROM-Speicher des Prozessors abgelegten Mikrokernel garantiert Hensoldt mit dem MiG-V für sichere IoT-Anwendungen. Außerdem verfügt der MiG-V über 1 MByte SRAM, 2 MByte Flash-Speicher und einen 100 MHz SDRAM-Controller. Verschiedene Schnittstellen zur externen Kommunikation wie 10/100 MBit/s Ethernet, QSPI- und SPI mit bis zu 30 MHz sowie drei UART- und ein I2C-Controller runden die Ausstattung des Prozessors ab.