Search Icon
Elektroniknet Logo
Search Icon
Startseite > Embedded > Software > Zertifizierte Sicherheit

Embedded-Betriebssysteme

Zertifizierte Sicherheit

1. Juni 2023, 6:00 Uhr | Harry Schubert
Etienne Butery, CEO von Sysgo: »Das für ein eingebettetes System erforderliche Sicherheitsniveau hängt in hohem Maße von der gesamten Sicherheitsarchitektur ab.«
© Sysgo

Mit PikeOS bietet Sysgo ein Embedded-Betriebssystem, dessen Sicherheit nach internationalem Standard – Common Criteria – zertifiziert ist. Im Interview erklärt Etienne Butery, was die Sicherheitszertifizierung der Stufe EAL5+ bedeutet und welche Vorteile sie Embedded-Entwicklern bietet.

Diesen Artikel anhören

Markt&Technik: Welchen Aufwand musste Sysgo betreiben, um die EAL5+-Sicherheitszertifizierung für PikeOS zu erhalten?

Etienne Butery: Der Zeitrahmen einer Common-Criteria-Evaluierung hängt stark vom Umfang des zu evaluierenden Systems, den Bedrohungen für dieses System und dem zu erreichenden Sicherheitsniveau ab. Die Common-Criteria-Sicherheitszertifizierung auf Stufe EAL5+ des PikeOS-Separationskernels Version 5.1.3 war ein Prozess, der mehrere Jahre Arbeit in Zusammenarbeit mit der unabhängigen IT-Sicherheitsevaluierungseinrichtung und der Zertifizierungsstelle erforderte.

Die EAL5+-Bewertung umfasst den PikeOS-Separationskernel Version 5.1.3 sowie das gesamte PikeOS-Produkt einschließlich aller zugänglichen PikeOS-APIs und aller PikeOS-Dienste. Die Bewertung schließt alle sicherheitsrelevanten Prozesse ein, von der IT-Infrastruktur des Unternehmens, den Entwicklungs- und Konfigurationsmanagement-Tools bis hin zu den Produkten, die im Rahmen der Entwicklungs-, Test- und Wartungsprozesse entstehen. Das bewertende Sicherheitslabor erstellt seine eigenen unabhängigen Tests und übernimmt dann die Rolle eines Angreifers, führt Penetrationstests durch, um die Widerstandsfähigkeit des PikeOS-Separationskernels zu bewerten.

Nehmen wir das physische System: Man schaut sich genau an, was passieren könnte, wenn sich jemand, also ein Threat-Agent, physischen Zugang zu dem zertifizierten Produkt verschafft. Dann werden alle offensichtlichen und denkbaren Möglichkeiten durchgespielt und Gegenmaßnahmen aufgezeigt. Auch die Sicherheitsfunktionen werden beschrieben, benannt und bewertet.

Dies ist wichtig, weil hier erörtert wird, wie mit einem Sicherheitsvorfall umgegangen werden soll und wie Schaden abgewendet werden kann. Im Falle von PikeOS beispielsweise ist es Angreifern, die es trotz größter Herausforderungen geschafft haben, in das System einzudringen, nicht möglich, sicherheitskritische Bereiche zu manipulieren. Dies ist ein typischer Anwendungsfall, der im Rahmen der Evaluierung betrachtet wurde. Entwickler können daher die Sicherheitseigenschaften von PikeOS nutzen, um innovative Architekturen zu entwerfen und die reichhaltigen Funktionen von PikeOS mit der Gewissheit zu nutzen, dass sie auch zertifiziert sind.

Was bedeutet EAL5+ im Vergleich zu EAL5?

Erlauben Sie mir dazu einen kurzen Exkurs: Um Produkte nach Common Criteria zu zertifizieren, werden Anforderungen in zusammenhängenden Klassen gebündelt, und für jede dieser Klassen gibt es spezifische Anforderungen, um eine Stufe von EAL1 bis 7 zu erreichen (Anmerkung der Redaktion: siehe Kasten »Common Criteria«). Das Pluszeichen zeigt nun an, dass einige Klassen der Common Criteria optional für eine höhere Stufe zertifiziert werden (Bild).

Im Falle der PikeOS-Zertifizierung sind die hinzugefügten Vertrauenswürdigkeitsklassen die des Fehlerbehebungsprozesses (ALC_FLR) und die der Schwachstellenanalyse (AVA_VAN) sowie deren Abhängigkeiten. ALC_FLR.3, die höchste Stufe, deckt alle Prozesse für die Wartung ab, von der Erkennung von Schwachstellen und ihrer Analyse über das Sicherheitsbulletin bis hin zur Bereitstellung der Sicherheitsbehebungen. Die Klasse AVA_VAN.5, ebenfalls die höchste Stufe, bietet die Gewähr, dass nur Angreifer mit dem Potenzial von »Beyond High« eine verbleibende Schwachstelle ausnutzen können.

Das überdurchschnittlich hohe Gefahren-Potenzial von Beyond High basiert auf einer Kombination aus der vorhandenen Zeit, die für die Identifizierung und Ausnutzung benötigt wird, dem erforderlichen technischen Fachwissen, der Kenntnis des Entwurfs und der Funktionsweise des Target of Evaluation (TOE), dem Zeitfenster und der für die Ausnutzung erforderlichen IT-Hardware/Software oder sonstiger Ausrüstung. Mehr ist hier nicht möglich, und kein anderer Hersteller von Betriebssystemen oder Separationkernels bietet derzeit auf dem Markt eine solche Funktion auf diesem hohen Niveau an.

passend zum Thema

MACNICA ATD Europe GmbH, Ingolstadt
Alle Jobangebote im Elektroniknet Karrierebereich anzeigen
Sysgo
Übersicht der Evaluation-Assurance-Levels (EAL) von PikeOS
© Sysgo

Welche Vorteile bietet ein solch hohes Maß an Sicherheit für Ihre Kunden?

PikeOS war schon immer auf kritische Systeme in Bezug auf funktionale Sicherheit und Cybersicherheit ausgerichtet. Der PikeOS-Kernel bietet den Kundenanwendungen wie bereits erläutert bewährte Sicherheitseigenschaften. Diese Eigenschaften sind unter anderem die Vertraulichkeit, die Integrität und die Verfügbarkeit der Kundenanwendungen und von PikeOS selbst. PikeOS schützt die Assets auf eine Weise, dass Angreifer kritische Bereiche eines Systems nicht verändern können. Ressourcen, Anwendungen und Threads werden so getrennt, isoliert und reguliert, dass das System von vornherein gegen Anwendungsfehlverhalten – ob beabsichtigt oder nicht – geschützt ist, das zu Sicherheitslücken führen könnte.

Unsere Kunden können von diesen PikeOS-Eigenschaften profitieren, um auf dieser Basis ein Produkt zu entwickeln, das sowohl Safety- als auch Security-relevante Anwendungen im Kontext einer zunehmenden Bedrohungslage sicher hostet. Für die Dauer der Einsatzphase erhält der Kunde Sicherheitsbulletins und wird regelmäßig über die neuesten Angriffsvektoren und die möglichen Schwachstellen, die sein Projekt betreffen könnten, informiert. Dies ist für IoT-verbundene Anwendungen äußerst wichtig.

Zusätzlich zur Common-Criteria-Zertifizierung unterstützt PikeOS viele Sicherheitsfunktionen – entweder nativ oder über Erweiterungen – wie Secure Boot, Trusted-Platform-Module oder SSL/TLS-Verschlüsselung. Es basiert auf der MILS-Architektur (Multiple independent Levels of Security) und kann beispielsweise als cybersicheres Gateway oder als sicheres Software-Update-System eingesetzt werden. Die Kombination aus Cybersecurity- und Safety-Produkt in einem ist offensichtlich eine sehr kompakte und kostengünstige Lösung für die anspruchsvollen Embedded-Märkte.

Wir versorgen unsere Kunden sowohl bei der Security- als auch bei der Safety-Zertifizierung mit allen notwendigen Artefakten und bieten langfristigen Support, was unsere Kunden in der letzten Kundenbefragung besonders gelobt haben.

  1. Zertifizierte Sicherheit
  2. Aus Sicht des Kunden ist PikeOS eine COTS-Software (Commercial Off-the-Shelf)

Lesen Sie mehr zum Thema

SYSGO AG Echtzeit-/Embedded Software
Jetzt kostenfreie Newsletter bestellen!