Militär- und KRITIS-Anwendungen
iesy: »Security muss im Systemkern verankert sein«
Für Anwendungen in Militär und kritischer Infrastruktur (KRITIS) ist Cybersecurity besonders wichtig. Doch wo genau liegen die Herausforderungen, wie lässt sich ihnen begegnen, und welche Normen und Regularien gibt es hierzu? Dennis Nejdrowski, Geschäftsführer und CCO der iesy GmbH, informiert.
it-sa Magazine: Welche Herausforderungen für die Cybersecurity in militärischen und KRITIS-Anwendungen gibt es derzeit?
Dennis Nejdrowski: Generell hat sich das Angriffsrisiko wegen der Zunahme auch staatlich gesteuerter Angriffe auf militärische und KRITIS-Lokalitäten durch Sabotage oder Spionage erhöht. Die Komplexität der Angriffsflächen ist ebenfalls gewachsen: Durch verstärkte Vernetzung unterschiedlicher Systeme, etwa Data Center, mobile Endgeräte und Clouds, entstehen mehr potenzielle Einfallstore. Viele kritische Systeme sind zudem veraltet und halten gängigen Angriffsszenarien nicht ohne weiteres Stand. Unter physischen Angriffen sind Manipulation, Side-Channel-Angriffe und Firmware-Tampering zu verstehen.
Hinzu kommen Risiken in der Supply Chain, und zwar die Manipulation von Hardware- und Software-Komponenten entlang globaler Lieferketten sowie geopolitische Abhängigkeiten wie etwa der schwelende China-Taiwan-Konflikt oder bestehende Exportkontrollen. Hohe regulatorische Anforderungen vor allem auf nationaler Ebene führen ferner dazu, dass Commercial-off-the-shelf-Lösungen (COTS) oft nicht ohne Weiteres einsetzbar sind. Folglich müssen Full- oder Semi-Custom-Solutions entwickelt werden, was zu einem zeitlichen Verzug führen kann.
Welche Herausforderungen sind in absehbarer Zukunft zu erwarten?
Zukünftige Herausforderungen entstehen beispielsweise aus Quantencomputing und Post-Quanten-Kryptographie: Bestehende Verschlüsselungs-Mechanismen müssen stets weiterentwickelt werden. Auch autonome Systeme und KI eröffnen potenziell mehr Angriffsflächen – man denke an autonome Drohnen, Fahrzeuge und Entscheidungsunterstützungs-Systeme. Mehr noch: KI kann auch direkt Cyberangriffe unterstützen, und automatisierte Angriffe mit Hilfe von KI sind schwer erkennbar. Ein immer wichtigeres Szenario sind Cyber-Physical Attacks, also die zunehmende Kombination physischer und digitaler Angriffe auf KRITIS.
Mit welchen technologischen, organisatorischen oder strategischen Ansätzen lässt sich diesen Herausforderungen wirksam begegnen?
Zu den technologischen Ansätzen gehört Security by Design: Eine auf Security ausgerichtete Architektur mit Merkmalen wie zum Beispiel Trusted Boot, Secure Enclaves und Hardware-Root-of-Trust ist von Beginn an einzuplanen. Wichtig ist auch die Härtung von Embedded-Systemen, also deren Schutz vor Manipulation unter anderem mittels Secure Firmware, kryptografisch signierter Updates und physischen Schutzes. Ein weiterer wesentlicher Aspekt ist Monitoring und Anomalie-Erkennung – hier können meines Erachtens KI-basierte Systeme künftig zur Angriffserkennung entscheidende Unterstützung leisten.
Auf organisatorischer Ebene spielen die Schulung und Sensibilisierung der Mitarbeiter eine zentrale Rolle. Alle Beschäftigten sollten regelmäßig zu Cyber-Bedrohungen, typischen Angriffsmethoden (z.B. Phishing) und sicherem Verhalten im Arbeitsalltag geschult werden. Ziel ist es, ein hohes Sicherheitsbewusstsein in der gesamten Organisation zu verankern, damit potenzielle Gefahren frühzeitig erkannt und gemeldet werden können.
Zu den strategischen Ansätzen gehört Resilienz statt nur Prävention: Systeme sind so zu designen, dass sie Angriffe erkennen, abmildern und proaktiv abwehren können. Als bedeutsam erweisen sich stets auch Kooperationen und Partnerschaften mit nationalen und internationalen Partnern, die unterschiedliche Schwerpunkte setzen.
Welche regulatorischen Vorgaben, Normen und Standards sind im Bereich Cybersecurity für Defense- und KRITIS-Anwendungen aktuell maßgeblich? Wie entwickeln sie sich derzeit weiter?
Aus Sicht unserer Kunden und somit in Bezug auf unsere Produktlösungen maßgeblich sind der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte IT-Grundschutz und die BSI-KRITIS-Verordnung, die festlegt, welche Anlagen und Dienste in Deutschland als »Kritische Infrastrukturen« gelten. Sie beide bilden ein Rahmenwerk für die IT-Sicherheit. Auf der internationalen Ebene grundlegend sind die ISO/IEC-Normen 27001 und 62443 für Informationssicherheits-Management und industrielle Automatisierung. Für spezifische militärische Anforderungen etwa an Verschlüsselung und Interoperabilität sind die NATO-STANAGs (Standardization Agreements) und MIL-Standards entscheidend.
In Zukunft werden aus meiner Sicht die NIS-2-Richtlinie und der Cyber Resilience Act (CRA) der EU verbindlich anzuwenden sein. Die Post-Quanten-Kryptographie wird vermutlich von der Standardisierung des National Institute of Standards and Technology (NIST) in den USA abgedeckt werden – für die Zukunft ist also auch eine Anpassung von Krypto-Standards zu erwarten.
Welche Lösungen bietet iesy zur Absicherung sicherheitskritischer Systeme an? Was kann das Unternehmen diesbezüglich für seine Kunden tun?
Wir entwickeln kundenspezifische sichere Systemlösungen: ein Hardware-Root-of-Trust und Trusted Platform Module (TPM), physischen und logischen Manipulationsschutz sowie eine kryptografische Sicherung für Informationen. Als Teil unseres Entwicklungsprozesses bieten wir Unterstützung bei der Einhaltung von Standards entlang der Systemlösung sowie Langzeit-Support und Management der globalen Supply Chain an. Letztlich erstellen und produzieren wir sicherheitskritische Systemlösungen Made in Germany.
Warum ist es aus Sicht von iesy entscheidend, Sicherheit bereits im Systemkern mitzudenken und nicht erst im Nachgang zu implementieren?
Nachträgliche Sicherheit ist teuer und ineffizient, weil spätere Anpassungen oft zu mehr Systemkomplexität und höheren Kosten führen. Zudem beeinflusst die Systemarchitektur die Sicherheit maßgeblich: Nur wenn Sicherheit im Systemkern verankert ist – über Bootprozess, Kryptografie und Hardware-Schutz -, ist sie wirklich robust. Eine wesentliche Rolle spielen auch regulatorische Anforderungen: Viele Standards fordern Security by Design. Und ganz entscheidend sind auch Vertrauen und Verifizierbarkeit, denn nur so lassen sich militärische und KRITIS-Systeme langfristig verlässlich zertifizieren.
Welche Produkte und Lösungen präsentiert iesy auf der it-sa 2025, und wo ist das Unternehmen dort zu finden?
iesy ist auf der it-sa 2025 als Unteraussteller bei Computacenter (Halle 9, Stand 518) vertreten. Dort stehen die Geschäftsführung und unser Sales-Team für persönliche Gespräche bereit. Zudem sind ausgewählte Lösungen wie »COMP-LAND«, eine robuste Computing-Plattform für militärische Landfahrzeuge, und »SDoT«, eine hochsichere Cross-Domain-Solution zur kontrollierten Datenübertragung zwischen Netzwerken unterschiedlicher Sicherheitsstufen, am Stand unseres Partners Infodas (Halle 8, Stand 215) zu sehen. Auch weitere kundenspezifische Systemlösungen von iesy finden Besucher auf den Ständen anderer namhafter Partner.
iesy, Halle 8, Stand 215
Jobangebote+ passend zum Thema
Lesen Sie mehr zum Thema
