Suchen

Forschung für mehr Security im IIoT Industrie 4.0 Sicherheit wird updatefähig

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Gerade in der Industrie stellen Updates ein großes Problem dar. Das gilt auch für IT-Sicherheitsverfahren, die aktualisiert werden müssen. Das Projekt ALESSIO hat untersucht, wie sich Anwendungen mit hoher Lebensdauer durch updatefähige Lösungen schützen lassen. Wir haben einen der Forscher von Fraunhofer AISEC zu den Ergebnissen und ihrer Anwendung in der Praxis befragt.

Firmen zum Thema

Das vom BMBF geförderte Projekt ALESSIO soll helfen, kritische Infrastrukturen flexibel auf neue Angriffsverfahren reagieren zu lassen und dabei einen Zeitraum von deutlich mehr als 10 Jahren abdecken.
Das vom BMBF geförderte Projekt ALESSIO soll helfen, kritische Infrastrukturen flexibel auf neue Angriffsverfahren reagieren zu lassen und dabei einen Zeitraum von deutlich mehr als 10 Jahren abdecken.
(© Infineon Technologies AG)

Täglich zeigen Meldungen zu Sicherheitsvorfällen in Unternehmen und Behörden, dass dringender Handlungsbedarf zur Verbesserung der IT-Sicherheit besteht, erklärt der Bundesverband IT-Sicherheit TeleTrusT. Gesetzliche Vorgaben wie das IT-Sicherheitsgesetz und die Datenschutz-Grundverordnung (DSGVO) enthalten zudem die Forderung nach IT-Sicherheit nach dem Stand der Technik.

Der TeleTrusT bietet einen hilfreichen Überblick dazu, was denn Stand der Technik in der IT-Sicherheit ist. Dieser wird regelmäßig aktualisiert. Das bedeutet aber auch, dass die implementierte IT-Sicherheit womöglich aktualisiert werden müsste.

In Bereichen wie der industriellen IT und bei anderen langlebigen IT-Infrastrukturen muss man damit rechnen, dass es mehrfach den Bedarf geben würde, die IT-Sicherheitsverfahren zu aktualisieren. Das Problem ist nur, Updates sind dort ein großes Problem, auch für Security-Lösungen.

Die Security braucht Updates

Den Bedarf für updatefähige Sicherheit in Industrie 4.0 und langlebigen IKT-Strukturen haben Forscher bereits vor Jahren gesehen. Unter Führung der Infineon Technologies AG entwickelte das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC, die Giesecke+Devrient Mobile Security GmbH, die Siemens AG, die Technische Universität München sowie die WIBU-SYSTEMS AG seit 2016 im Projekt ALESSIO chipbasierte Lösungen und Prototypen für vernetzte Rechneranwendungen und eingebettete Systeme.

ALESSIO wurde mit rund 3,9 Millionen Euro vom Bundesministerium für Bildung und Forschung (BMBF) gefördert und endete am 31. Dezember 2019. Im Sommer 2020 wird der Abschlussbericht erscheinen. Wir konnten aber bereits erste Einblicke in die Ergebnisse bekommen und haben Dr. Johann Heyszl, zuständig für Hardware Security bei Fraunhofer AISEC dazu befragt.

Ergebnisse des Projektes ALESSIO

Security-Insider: Welche technischen / rechtlichen Voraussetzungen bestehen für die Umsetzung Ihrer Projektergebnisse?

Dr. Johann Heyszl: Im Zuge des IT-Sicherheitsgesetzes (IT-SiG) in Deutschland und der Netzwerk- und Informationssicherheits-Verordnung (NIS) der Europäischen Kommission wurden verpflichtende Maßnahmen zur Erhöhung der Sicherheit informationstechnischer Systeme für die Betreiber von kritischen Infrastrukturen (KRITIS) erforderlich.

In der Regel handelt es sich bei KRITIS-Systemen und -Komponenten um langlebige Investitionsgüter, die über eine Sicherheitsfunktionalität verfügen sollten, die flexibel auf neue und/oder intelligentere Angriffsverfahren reagieren und einen Zeitraum von deutlich mehr als 10 bzw. 20 Jahren abdecken kann. Genau diese Herausforderung haben wir mit ALESSIO adressiert.

Security-Insider: Wo sehen Sie konkret mögliche Anwendungen für Ihre Projektergebnisse?

Dr. Johann Heyszl: Für eingebettete Systeme in Anwendungen wie Industriesteuerung, Automobiltechnik, Medizintechnik und in mobilen Endgeräten ist Informationssicherheit ein zentraler Bestandteil. Ziel von ALESSIO war es, zu untersuchen, wie man langfristig sichere eingebettete Systeme für eben solche Anwendungen erreichen kann, indem man ein Update-fähiges Sicherheitselement integriert.

Im Projekt wurden dafür zwei Ansätze verfolgt: zum einen wurden normale Smartcards mit einer zusätzlichen Update-Funktion ausgestattet und zum anderen wurden FPGA-basierte Systeme (programmierbare logische Schaltungen) entwickelt, bei denen der Sicherheitsanker in der konfigurierbaren Hardware liegt. Die zweite Lösung eignet sich insbesondere für Anwendungen, in denen bereits FPGA-basierte Systeme eingesetzt werden.

Security-Insider: Ist es bereits geplant, Ihre Ergebnisse in Produkten (z.B. der Projektpartner) umzusetzen? Oder ist dies schon geschehen?

Langlebige Anwendungen erfordern zuverlässige, updatefähige Sicherheitslösungen meint Dr. Johann Heyszl vom Fraunhofer AISEC.
Langlebige Anwendungen erfordern zuverlässige, updatefähige Sicherheitslösungen meint Dr. Johann Heyszl vom Fraunhofer AISEC.
(© Andreas Heddergott / TU Muenchen)

Dr. Johann Heyszl: Der letzte Meilenstein des Projekts war es, umfassende Sicherheitsanalysen der verschiedenen Systeme abzuschließen und entsprechende Demonstratoren zu implementieren. Dabei haben wir unter anderem ein FPGA-basiertes Secure Element in einem industriellen Szenario integriert: in Kooperation mit der Siemens AG und der TU München hat das Fraunhofer AISEC eine FPGA-basierte System-on-Chip-Plattform entwickelt, die die sichere Update-Fähigkeit von

Teilen der Hardware während der Laufzeit demonstriert. Dabei wurde besonders auf den Schutz vor Seitenkanalangriffen Wert gelegt. Die Ergebnisse aus Alessio nun tatsächlich in die Realität zu übertragen, ist ein nächster Schritt.

Security-Insider: Wie kann ein Anbieter aus dem Bereich Industrie 4.0, der nicht Projektpartner war, von Ihren Ergebnissen profitieren? Wie kann man sie konkret nutzen, um die eigene IT-Sicherheit in den Produkten zu verbessern?

Dr. Johann Heyszl: Im Rahmen von ALESSIO wurden Methoden und Werkzeuge erarbeitet, die Entwickler von sicherheitskritischen Komponenten, wie z.B. Implementierungen von kryptografischen Algorithmen, bei der Arbeit unterstützen. Die Ergebnisse des Projekts wurden in mehreren Konferenzbeiträgen veröffentlicht.

Ein direkter Austausch mit Unternehmen war während der Abschlussveranstaltung von ALESSIO möglich. Hier waren zahlreiche Vertreter aus Industrie und Wirtschaft anwesend, um sich über die Ergebnisse zu informieren. Natürlich stehen das Fraunhofer AISEC und alle Projektpartner als Ansprechpartner zur Verfügung. Der offizielle Projektbericht wird dann im Sommer 2020 veröffentlicht.

(ID:46481448)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research