Startseite > Halbleiter > Verschärft sich die Bedrohungslage?

Cybersecurity

Verschärft sich die Bedrohungslage?

30. Oktober 2023, 15:30 Uhr | Iris Stroh

Thomas Rosteck, Infineon Technologies: »Es ist ermutigend, dass bereits einige Länder ihr eigenes Cybersecurity-Label haben. Zusätzlich wäre es gut, wenn es länderübergreifende Initiativen gäbe, denn dann müssten die Gerätehersteller nicht in jedem Land andere Richtlinien erfüllen.«

Markt&Technik hatte sich bereits 2019 mit Thomas Rosteck, Division President Connected Secure Systems bei Infineon Technologies, über das Thema Cybersecurity unterhalten; heute stellen wir die Frage: »Hat sich die Bedrohungslage verschärft?«

▶ Diesen Artikel anhören

Markt&Technik: Gefühlt würde ich sagen, dass Hacker-Angriffe deutlich zugenommen haben, und das zum Teil mit enormem Erfolg. Entspricht das Gefühl der Realität oder liegt es eher daran, dass heute solche Vorfälle einfach leichter den Weg in die Presse finden?

Thomas Rosteck: Das Gefühl entspricht der Realität. Die Vernetzung von Geräten hat seit unserem letzten Gespräch deutlich zugenommen. Dadurch haben sich neue Möglichkeiten ergeben, Hacker-Angriffe durchzuführen, und auch die Effekte eines Angriffs sind größer. Hinzu kommt, dass Angreifer sich kontinuierlich weiterentwickeln und neue Methoden erfinden.

Das ist ein grundlegendes Problem. Während eine Bremse heute gegen die gleiche Physik wie in zehn Jahren kämpft, werden sich die Fähigkeiten der Angreifer beim Thema Cybersecurity bis dahin deutlich verändert haben. Und genau das ist eine der größten Herausforderungen: Wir müssen die zukünftigen Fähigkeiten der Angreifer antizipieren.

Aber woher wissen Sie, wie sich die Fähigkeiten verändern? Das lässt sich ja wohl kaum vorhersagen.

Es gibt Probleme, die mit Ansage auf uns zukommen. So wird Quantum-Computing bestimmte bisherige Verschlüsselungsverfahren aushebeln. Auch mit künstlicher Intelligenz werden neue Angriffe kreiert werden. Denken Sie nur an den »Enkeltrick«, bei dem mittels KI schon jetzt Stimmen von Personen perfekt imitiert werden.

Gleichzeitig haben sich neue Einfallstore durch die Weiterentwicklung im Halbleitersegment ergeben. Früher konnte ein physikalischer Angriff nur stattfinden, wenn der Angreifer den Chip in der Hand hatte. Heute ist es möglich, den Chip immer wieder aus der Ferne anzusteuern und damit in Nachbartransistoren Fehler zu induzieren. All das zeigt, dass die Entwicklung neuer Angriffsmöglichkeiten voranschreitet.

In der Vergangenheit konnten wir stets gut antizipieren, was passiert, aber das ist natürlich keine Garantie, dass dies auch künftig möglich ist. Aus diesem Grund investieren wir sehr viele Ressourcen, auch in die Forschung, um mögliche neue Angriffe vorherzusehen.

Wir hatten beim letzten Mal schon darüber geredet, dass das IoT hier besonders anfällig ist, wobei ich nur Geräte mitzähle, die beispielsweise im Smart Home zum Einsatz kommen; Sie fassen den Begriff ja deutlich größer. Aber bereits damals haben Sie bemängelt, dass die Security bei vielen IoT-Geräten keine Rolle spielt, sondern dass es häufig erst einmal darum ging, die Features des Produktes zu entwickeln. Hat sich daran nichts geändert?

Zunächst zum IoT im Smart-Home-Bereich. Die Anzahl der vernetzten Geräte ist deutlich gestiegen. Zudem haben Userinnen und User die Möglichkeit, mit dem Smartphone auf vernetzte Geräte im Smart Home zuzugreifen. Das eröffnet neue Möglichkeiten für Angriffe.

Inwieweit sich das Security-Bewusstsein in diesem IoT-Segment geändert hat, lässt sich pauschal nicht sagen. Auf regulatorischer Ebene und auf Regierungsseite sehen wir ein deutliches Bestreben, sich ernsthaft damit auseinanderzusetzen und Regulierungen zu schaffen, die entweder verpflichtend oder freiwillig sind.

Darüber hinaus gibt es eine ganze Reihe von Firmen, insbesondere große Unternehmen, die schon lange auf dem Markt sind. Diese nehmen das Thema ebenfalls sehr ernst, weil sie bereits Erfahrungen bezüglich der Bedeutung von Sicherheit für ihre Produkte gemacht haben. Sie beschäftigen eigene Sicherheitsabteilungen und werben mit ihrer Expertise.

Im IoT-Segment entstehen aber kontinuierlich neue Unternehmen. Die Anzahl unserer IoT-Kunden ist in den letzten Jahren exponentiell gewachsen. Das zeigt, dass hier eine starke Verbreiterung stattgefunden hat, die sich in der stark gestiegenen Anzahl der IoT-Geräte widerspiegelt.

Ich würde sagen: Es gibt generell zwei unterschiedliche Arten von IoT-Geräten beziehungsweise Hersteller mit unterschiedlichen Kompetenzen. Hersteller von Wearables beispielsweise haben oft einen Elektronik- oder Connectivity-Hintergrund. Je nach Erfahrung spielt für diese Unternehmen Cybersecurity bereits eine große Rolle. Für meinen Kaffeemaschinenhersteller ist aber vorrangig wichtig, guten Kaffee zu machen. Für diese Unternehmen ist das Thema Cybersecurity ein neues Gebiet, da die Kaffeemaschine in der Vergangenheit nicht vernetzt war. Deshalb war es schon immer unser Ansatz, Sicherheit möglichst einfach integrierbar zu machen. Und hier sehen wir auch einen riesigen Bedarf.

Wenn man IoT ein bisschen größer fasst, sprich: auch die Industrie mitzählt, wie sieht da das Bewusstsein aus?

Sicherheit in der Industrie ist ein Führungsthema. Zudem gibt es auch immer noch einen Unterschied zwischen theoretischem Sicherheitsbewusstsein oder einer sicheren Implementierung in der Praxis.

Was heißt das?

Nehmen Sie eine Chipkarte mit PIN: Bei einer einfachen Implementierung wird der PIN auf der Karte gespeichert und der eingegebene PIN mit dem gespeicherten abgeglichen. Bei Eingabe des falschen PIN startet ein Zähler und nach drei Fehlversuchen wird abgebrochen.

Diese Implementierung hat einen Nachteil: Die Antwort auf einen falschen PIN kommt etwas zeitverzögert verglichen mit der Antwort auf einen richtigen PIN, und eine Smartcard hat keine Batterie. Sind diese zwei Zeitpunkte bekannt, kann der Karte nach dem ersten Zeitpunkt, an dem die richtige Antwort kommen müsste, der Strom abgedreht werden. So kann der Zähler nie erhöht werden und unendlich viele Eingabeversuche sind möglich.

Eine bessere Implementierung wäre, dass der Zähler nach Eingabe des falschen PIN erhöht wird und erst dann die Antwort gegeben wird. So nützt es nichts mehr, den Strom abzuschalten, denn der Zähler ist bereits erhöht.
Das sind Erfahrungen, die wir in unseren Produkten abbilden. Optiga Trust ist hierfür ein gutes Beispiel: Die Implementierung ist sicher und zudem zertifiziert.