Einfache Computerchips können gehackt werden. Deshalb entwickeln die Hersteller Schutzmaßnahmen, aber eine faire Bewertung der Abwehrmittel ist eine komplexe Angelegenheit.

Digitale Wirtschaft

Sicherheit

Bei den sogenannten eingebetteten Systemen handelt es sich um einfache Computerchips, die für eine einzige Funktion ausgelegt und in weitverbreitete Produkte eingebaut sind. Beispiele hierfür sind intelligente Mikrochips in Kreditkarten oder der Chip in Autoschlüsseln, mit dem ein bestimmtes Fahrzeugs aus der Ferne entriegelt werden kann. Auch wenn diese Systeme mit Verschlüsselung arbeiten, sind sie dennoch für Hacking anfällig. Konventionelle Entschlüsselung (beispielsweise über abgefangene E-Mails) beruht auf der Analyse gesendeter und empfangener Nachrichten, was eine direkte Ableitung des Verschlüsselungscodes erschwert. Über einen eingebetteten Chip kann jedoch der physische Zugang zum System gehackt werden. Bei bestimmten Ein- und Ausgängen kann anhand der Messung der während der Verarbeitung verbrauchten Energie im Endeffekt der kryptografische Schlüssel aufgedeckt werden. Diese Angriffe werden als Seitenkanalangriffe bezeichnet. Bereits seit den 1990er Jahren hat der Bankensektor in Bezug auf die Chipkarten zahlreiche Gegenmaßnahmen entwickelt, die den kryptografischen Schlüssel schützen. Das Problem besteht jedoch darin, dass diese Gegenmaßnahmen nur schwer zu beurteilen sind. Es besteht kein Konsens über die am besten geeigneten Methoden. Bis heute war es nicht möglich, verschiedene Bewertungen miteinander zu vergleichen. Im Allgemeinen sind die Bewertungen komplex (da die Angriffe immer raffinierter werden) und rechenintensiv, und das bedeutet teuer.

Besser schützen

Das EU-finanzierte Projekt REASSURE entwickelte verbesserte Methoden zur Bewertung von Maßnahmen gegen das Hacken eingebetteter Systeme. Heute sind zum Internet der Dinge zählende Geräte primäre Angriffsziele; den Herstellern der für das Internet der Dinge bestimmten Systeme fehlt es jedoch an Fachwissen und Ausrüstung zur Evaluierung von Gegenmaßnahmen. Um den Fertigungssektor zu unterstützen, entwickelte das Projekt automatisierte Code-Prüfinstrumente für die Entwicklung im Bereich des Internets der Dinge. Die Forschung stellte außerdem, unterstützt durch Schulungen, eine Reihe zusätzlicher Softwareinstrumente bereit. In der technischen Ausführung wurden die Instrumente speziell für Unternehmen ausgelegt, die eingebettete Systeme und Gegenmaßnahmen entwickeln. Die Unternehmen müssen die Wirksamkeit ihrer Gegenmaßnahmen dann intern bewerten. Als nächstes wendet sich das Unternehmen an ein Evaluierungslabor, das die Widerstandsfähigkeit des Systems gegenüber Seitenkanalangriffen auf unabhängige Weise bewertet. Projektkoordinator Dr. Francois Koeune erklärt: „Da diese externe Evaluierung teuer ist, , liegt es im Interesse beider Parteien, sie so effizient wie nur möglich zu gestalten.“ Die neuen Instrumente sind zuverlässiger als bisherige Evaluierungsmethoden und finden die Schwachstellen mit größerer Wahrscheinlichkeit. Zudem unterstützen die Instrumente das unabhängige Labor dabei, seine Zertifizierung für die Durchführung derartiger Bewertungen zu behalten.

Mehr leisten

Die Industriepartner integrierten die im Rahmen des Projekts entwickelten Instrumente, was oftmals erhebliche Verbesserungen nach sich zog. Bestenfalls reduzierten die Instrumente die Anzahl der für die Analyse nötigen Spuren um den Faktor 10 und die notwendige Rechenleistung um das 16-fache. Die neuen Werkzeuge unterstützten außerdem die nach jeder erkannten Sicherheitsschwachstelle notwendigen Produktneubewertungen. Mithilfe der Instrumente konnte ein Partner die Hälfte der üblichen Tests ohne jeglichen Verlust an Sicherheit überspringen. Im Endeffekt erwiesen sich die Instrumente als sehr umfassend; in 10 % der internen Validierungsfälle entdeckten sie Sicherheitslücken, die zu diesem Zeitpunkt noch nicht feststellbar waren. „Außerdem gibt es in diesem Bereich eine ISO-Norm, die innerhalb unseres Projekts in eine Revisionsphase eintrat“, fügt Koeune hinzu. „Wir haben Dokumente erstellt, in denen wir die unserer Meinung nach erheblichen Schwächen dieser Norm hervorgehoben haben. Die Internationale Organisation für Normung hat dies anerkannt und wird die Norm zur Überarbeitung freigeben. Die Instrumente von REASSURE sowie die Schulung in ihrem Einsatz stellen eine wichtige Entwicklung in der Absicherung dieser allgegenwärtigen Systeme dar.

Schlüsselbegriffe

REASSURE, Instrumente, Werkzeuge, Gegenmaßnahmen, eingebettete Systeme, Sicherheit, Bewertung, Hacking, Seitenkanalangriff