Der Mikrokern als nationale Technologiekompetenz

Der Mikrokern als nationale Technologiekompetenz

Je komplexer, desto unübersichtlicher, desto angreifbarer – so das Bild vieler IT-Systeme heute. Mit Industrie 4.0 und dem "Internet of Everything" wird eine Lösung zu diesem Problem dringend benötigt. Denn hier spielt nicht nur Security, sondern auch Safety eine Rolle. Was Mikrokern-Technologie in diesem Zusammenhang leisten kann, erklärt Dr. Magnus Harlander, Geschäftsführer von genua.

Die Meldungen zu IT-Sicherheitsvorfällen überschlagen sich, verschiedenste Studien treiben Zahlen und Kosten von Cyberunsicherheit mehr und mehr in die Höhe. Die Politik reagiert, das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll mehr Personal bekommen, ein erstes IT-Sicherheitsgesetz zur Erhöhung des IT-Sicherheitsniveaus bei kritischen Infrastrukturen ist in den Startlöchern, viele Formate nehmen sich des Themas mit mehr oder weniger großem Output an.

Das grundsätzliche Problem, das der Unsicherheit unserer IT-Systeme zugrunde liegt, wird dabei meist nicht mehr thematisiert, es scheint allgemein bekannt oder als zu komplex eingestuft zu sein: Klassische IT-Sicherheitssysteme sind unsicher und in ihrer jetzigen Form nicht sicherer machbar. Virenscanner, IDS-Systeme oder auch Ansätze zur Deep Packet Inspection basieren auf dem Best-Effort-Ansatz, entweder sie finden etwas oder aber auch nicht, ganz abhängig vom Aktualisierungsstand, der Qualität der eingesetzten Software und auch der Ausgefeiltheit der Angriffe.

Komplexität vs. IT-Sicherheit

Neben der unzuverlässigen Überprüfung von Daten und Verbindungen sehen wir uns zusätzlich mit der Unzuverlässigkeit der beteiligten IT- und IT-Sicherheitssysteme konfrontiert. Dieses sind heute mit einer Vielzahl von Funktionalitäten überladen, die umfangreiche und komplexe Implementierungen zur Folge haben. Die Folge sind große, unübersichtliche Angriffsflächen und eine Vielzahl von mehr oder weniger kritischen Fehlern im System. Manche davon werden schon lange auf dem Markt der Zero Day-Attacken gehandelt, bevor sie bekannt werden und gefixt werden können. Belastbare Ausagen über die Zuverlässigkeit, Sicherheit und Integrität dieser komplexen monolithischen Plattformen sind nicht mehr möglich. Und das gilt für alle Plattformen, egal ob Windows, OS X, Linux, BSD, IOS, VxWorks oder andere: Sie alle haben viele Millionen Lines of Code, unterstützen zahllose Funktionen und sind schlichtweg nicht mehr überprüfbar. Kommt es dann zu einem Exploit aufgrund eines Fehlers in der Softwarearchitektur, bedeutet das fast immer die Übernahme des Gesamtsystems – der GAU für die IT-Sicherheit.

Industrie-IT stellt höchste Security-Anforderungen

Industrie 4.0Industrie 4.0: Vernetzung der Produktion erfordert nicht nur Security, sondern auch Safety

Ist dies für die normale IT-Welt, also eine handelsübliche Rechnerstruktur – egal ob in Unternehmen oder bei Privatpersonen – schon schlimm genug, zeigt sich die wahre Größenordnung des Problems in der Industrie-IT: Hier sprechen wir nicht mehr über reine Security, also der Funktionsfähigkeit des Systems selbst, sondern über Safety, nämlich dass das System auch für seine Umwelt sicher betrieben werden kann. Hier braucht es mehr als den Best Effort, Fehler müssen mit an Sicherheit grenzender Wahrscheinlichkeit ausgeschlossen werden, so wie es auch bei der mechanischen Maschinensicherheit der Fall ist. Und dafür müssen Anlagen und Maschinen umfangreiche Prüfungen durchlaufen.

Vor diesem Hintergrund ist eine totale Vernetzung auf Basis von klassischen IT-Systemen, auf die wir zusteuern, mehr als fahrlässig. Denken wir alleine an die mit Industrie 4.0 angestrebte Vernetzung der Industrie bis zum Produkt und Endkunden, an die Vernetzung von kritischen Infrastrukturen über Smart Grids aus dem Haushalt bis zum Energieversorger oder gar an die Vernetzung des Gesundheitswesens oder die anstehende Vernetzung von Fahrzeugen bis hin zum autonomen Fahren. Hier sind Fehler durch überkomplexe IT-Produkte, die direkte Auswirkungen auf die Betriebssicherheit haben, nicht hinnehmbar.

Minimalisiertes Betriebssystem als Lösung

Eine Lösung dieser grundsätzlichen Problematik liegt in der Schaffung einer sicheren Plattform auf Basis eines minimalisierten Betriebssystems. Dessen Mikrokern hat nur absolut notwendige Funktionen im Kernel verankert und kann sich so auf eine überschaubare Größe von ca. 30.000 Lines of Code beschränken. Die Verarbeitung von Daten wird dabei grundsätzlich nicht von der kritischen Code-Basis erledigt. Komplexe Funktionen können hier leicht gekapselt werden, Angriffskanäle wie der Internetzugang oder auch die Authentisierung werden z. B. vom Feldbus strikt getrennt und haben so keinen Einfluss auf die direkte Steuerungsebene einer Maschine oder Anlage.

Einsatzbereich für Mikrokern-Technologie

Über den Sicherheitsgewinn hinaus ist die Mikrokern-Technologie bereits jetzt eine Schlüsseltechnologie bei kritischen Systemen, die hochgradig vernetzt sind und hohe Safety-Anforderungen haben. Aus der Avionik für fliegende Systeme zum Beispiel sind Mikrokernel-Systeme heute bereits nicht mehr wegzudenken, und auch das staatliche Geheimschutzsystem macht sich die Vorteile kleiner Betriebssysteme zu Nutze. Auch Telefone für sicherheitskritische Anwender setzen auf separierende Mikrokern-Technologie.

Für die gerade von statten gehende vierte industrielle Revolution werden diese Systeme nicht mehr wegzudenken sein, denn klassische Betriebssysteme sind wie bereits gesagt erstens zu unsicher und zweitens schlichtweg zu groß, um in den winzigen Controllern von Industrieanlagen Verwendung zu finden.

Staatliches Engagement gefordert

Deutschland sieht aufgrund des starken Maschinen- und Anlagenbaus in Industrie 4.0 eine Chance, verlorenen Boden im Bereich der IT-Industrie wieder gut zu machen, Mikrokerne werden ein Schlüssel zur Beherrschung der hierfür nötigen Systeme sein. Wenn dieser Markt und die Fähigkeiten in diesem Bereich auch hart umkämpft sind, so ist hier im Gegensatz zu vielen anderen Bereichen der IT-Wirtschaft die Schlacht noch nicht für Deutschland verloren. Die weltweite Entwicklungskompetenz in diesem Technologiefeld liegt bei einigen wenigen Unternehmen, beispielhaft seien hier Windriver (Intel), Greenhills LynuxWorks und General Dynamics aus den USA genannt. Aber auch Deutschland verfügt sowohl über gute Unternehmen der Grundlagentechnologie wie Kernkonzept, als auch der Anwendungsoptimierung wie genua, infodas, genode oder auch die T-Systems. All diese Unternehmen setzen bei ihren Aktivitäten im Mikrokern-Bereich auf den Fiasco.OC, ein Mikrokern der dritten Generation, der speziell dafür entwickelt wurde, flexible Systeme mit harten Prioritäten zu betreiben, wie sie für künftige kritische Anwendungen benötigt werden.

Deutschland steht bei dieser Technologie und vor allem bei der industriellen Anwendung in direkter Konkurrenz mit den Vereinigten Staaten, die ebenfalls die Deutungshoheit für Normen und Standards bei Industrie 4.0 für sich beanspruchen. Der Kauf der Technologiefähigkeiten durch Großunternehmen wie Intel, Thales oder General Dynamics zeigt, welche Bedeutung der Mikrokernel-Technologie beigemessen wird. In Deutschland hingegen findet sich das Know-how bei kleinen Unternehmen und Universitäts-Spin-offs, die noch dazu ihre Erkenntnisse dem Open Source-Gedanken folgend relativ frei verfügbar machen. Es ist daher zu erwarten, dass ohne ein staatliches Engagement in diesem Bereich eine der Schlüsseltechnologien für die Absicherung von kritischen Technologien bald nicht mehr in Deutschland und auch nicht mehr frei vorgehalten wird.

Was ist zu tun?

Doch wie könnte ein solches staatliches Engagement aussehen? Die ersten Bemühungen sollten dahingehend ausgestaltet sein, dass zumindest die Kernkompetenz in diesem Technologiezweig in Deutschland erhalten bleibt. So könnte zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik den Fiasco Mikrokernel veröffentlichen und pflegen und damit den Open Source-Charakter wahren. Damit wird zumindest die Verfügbarkeit der Basistechnologie in Deutschland sichergestellt. In einem weiteren Schritt wird es dann nötig sein, die Basistechnologie in marktfähige Produkte zu überführen und in einem "Aktionsplan Mikrokernel made in Germany" den Markt zu aktivieren. Denkbar wären hier Förder- und Forschungsprojekte zur Anwendungsüberführung und Mikrokernel-basierte Separationssysteme als Mindeststandards in technischen Richtlinien zu Themen wie Smart-Meter Gateways, Fernwartung und Monitoring von kritischen Infrastrukturen.

Damit einher müsste eine Sensibilisierung der zukünftigen Anwenderbranchen über deren Verbände (z. B. vda, vdma, BDEW, VCI u. a.) gehen, da sie die Hauptnutzer für diese Zukunftstechnologie in sich vereinen. Auch die von der Bundesregierung in der digitalen Agenda geplante "Plattform vertrauenswürdige IT" wäre sicherlich ein gutes und richtiges Forum, um sich branchenübergreifend unter anderem mit dieser Technologie zu befassen.

Lesen Sie auch: Qualitätssicherung bei Open Source Software – im öffentlichen Interesse

 

Bildquelle: © Denis Junker, Mimi Potter - Fotolia.com


Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.

Kommentare

gernot 23.12.2014 06:38
Mikrokerne sind sicher der einzig derzeit machbare Weg zu sicherer IT-Infrastruktur. Allerdings scheint Fiasco.OC dafür das falsche Vehikel. Wie eine jüngst publizierte Arbeit der TU Berlin zeigt, hat Fiasco.OC signifikante sicherheitsrelevante Schwächen, die designinheränt scheinen: http://eprint.iacr.org/2014/984

Eine bessere Alternative ist seL4, das kürzlich under GPL open-sourced wurde (http://sel4.systems), es ist beweisbar frei von solchen Covert-Storage-Channels, wie sie die Berliner in Fiasco.OC gefunden hatten. Da auch die formalen Korrektheitsbeweise des seL4 open-source sind, gibt es eigentlich keinen Grund, den Kern nicht zu verwenden.
Als Gast antworten
gernot 23.12.2014 06:38
Mikrokerne sind sicher der einzig derzeit machbare Weg zu sicherer IT-Infrastruktur. Allerdings scheint Fiasco.OC dafür das falsche Vehikel. Wie eine jüngst publizierte Arbeit der TU Berlin zeigt, hat Fiasco.OC signifikante sicherheitsrelevante Schwächen, die designinheränt scheinen: http://eprint.iacr.org/2014/984

Eine bessere Alternative ist seL4, das kürzlich under GPL open-sourced wurde (http://sel4.systems), es ist beweisbar frei von solchen Covert-Storage-Channels, wie sie die Berliner in Fiasco.OC gefunden hatten. Da auch die formalen Korrektheitsbeweise des seL4 open-source sind, gibt es eigentlich keinen Grund, den Kern nicht zu verwenden.
Als Gast antworten
kai 07.01.2015 16:54
Hallo Gernot,

zunächst freut es mich, dass unser Blog sich so grosser
Beliebtheit erfreut und auch die seL4 Gemeinde erreicht.

Wir haben die Entwicklungen im Bereich L4.Fiasco und
seL4 aufmerksam verfolgt. seL4 ist unter dem reinen
Sicherheitsaspekt das bessere, weil einfachere System.
Allerdings fehlen in seL4 noch einige Funktionen,
die auf heutiger Hardware unverzichtbar sind,
um nicht nur sichere sondern auch akzeptabel
schnelle und benutzbare Systeme zu bauen.
Sowohl die 64bit Variante für Intel Prozessoren (x86_64)
als auch der Multiprozessor-Support (SMP) sind bisher
als 'experimentell' markiert.
Als Gast antworten
kai 07.01.2015 16:55
Das zitierte Paper kennen wir und sind uns der
Mechanismen bewusst. In Multiprozessor-Umgebungen
existieren aber noch weitere 'hidden channels',
z.B. gemeinsam genutzte CPU-Caches, messbares Timing
Verhalten anderer Kerne, etc.
Für die von uns erstellten Produkte vs-top/cyber-top
und vs-diode/cyber-diode haben wir eine Risikoanalyse
vorgenommen und stufen das Angriffspotential als
gering ein.
Wir werden weiterhin die Evolution der verschiedenen
L4 Varianten verfolgen und versuchen, das Beste
aus beiden Welten zusammenzuführen und zu nutzen.

Viele Grüsse,
Kai Dörnemann

(Leiter Entwicklung)
Als Gast antworten
kai 07.01.2015 17:03
P.S.: Für höhere Evaluierungslevel wie z.B. CC.EAL-5, 6 oder 7
ergeben sich aus der formalen Verifikation der seL4
Sourcen natürlich weitere Vorteile, die einen Einsatz
in sehr hoch eingestuften Umgebungen rechtfertigen.
Als Gast antworten
gernot 17.01.2015 05:01
Bitte beachtet, dass für seL4 "experimental" heisst, dass die Änderungen noch nicht nachverifiziert sind. D.h. die Zuverlässigkeit der "experimental" ist nur so hoch, wie die von anderen Systemen, aber es gibt keine Grund zur Annahme, dass der Code schlechter ist, als der von anderen Kernen (und guten Grund zur Annahme, dass er besser ist, da ja der Großteil des Codes verifiziert ist). "Experimental" heisst auch, dass der Code zur Nachverifizierung vorgesehen ist, ohne sich auf einen Zeitplan festzulegen.

Gernot
Als Gast antworten