Sichere IT ohne Schwachstellen und Hintertüren

Sichere IT ohne Schwachstellen und Hintertüren

09/2020

 

Auf der Suche nach der eierlegenden Wollmilchsau

 

Probleme

Die Abhängigkeit der Industriegesellschaft von Informationstechnik führt zu hohen Anforderungen an den sicheren Betrieb dieser Technik – sowohl im Sinne der funktionellen Verlässlichkeit (Safety) als auch der IT‑Sicherheit im Sinne von Vertrauenswürdigkeit, Integrität, Verfügbarkeit (confidentiality, integrity, availability, CIA). Beide Anforderungen können, insbesondere in Kombination, durch derzeit produzierte IT‑Systeme nur bedingt sichergestellt werden. Infolgedessen können Infrastrukturen ausfallen, Betriebsgeheimnisse entwendet, Autos ferngesteuert, Vermögensschäden verursacht und politische Institutionen ausgespäht werden.

Wesentliche Ursache für die Angriffsmöglichkeiten sind vielfältige Schwächen in Hard- und Software. Sie beginnen bei einfachen Fehlern in der Anwendungssoftware wie etwa dem Heartbleed- Bug innerhalb einer Komponente, die zur Verschlüsselung im World Wide Web genutzt wurde. Sie setzen sich fort in Angriffen wie durch die Erpressersoftware WannaCry, die den Geheimdiensten bekannte, aber nicht beseitigte Schwächen in Betriebssystemen ausnutzte. Neueren Datums sind Hardware-Trojaner, deren Existenz in elektronischen Halbleiterbauelementen, z. B. FPGA-Chips, und militärischen Radaranlagen in Syrien bereits behauptet wurde. Von zunehmender Bedeutung ist auch die Möglichkeit von Angriffen auf IT‑Lieferketten.

Eine substanzielle Verbesserung der Situation im Bereich IT‑Sicherheit konnte in den letzten Jahren nicht erreicht werden, wie die Statistik der Computer Vulnerabilities and Exposures zeigt. Spätestens seit den Snowden-Veröffentlichungen im Jahr 2013 muss davon ausgegangen werden, dass nationale Nachrichtendienste Schwachstellen gezielt herstellen oder ankaufen. Offenkundig betrifft dies nicht nur die Dienste der USA: Auch Russland ist stark im Cyberspace aktiv, gleiches gilt für China. Offiziere der chinesischen Volksbefreiungsarmee haben bereits vor zwei Jahrzehnten die Herstellung „logischer Bomben“ für Computernetzwerke vorgeschlagen. Die aus strategischer Motivation geheim gehaltenen Hintertüren können unter Umständen von Kriminellen ausgenutzt werden, wie das Beispiel WannaCry belegt.

Nahezu täglich werden neue Schwachstellen entdeckt, die von Fehlern in der Programmierung bis zu ausnutzbaren Seiteneffekten spekulativer Programmausführung in der Hardware reichen (Spectre und Meltdown). Inzwischen muss selbst die Möglichkeit einer aktiven Einschleusung von Schwachstellen durch die verwendeten Entwicklungswerkzeuge in Erwägung gezogen werden. Die meisten Komponenten für Computer, einschließlich Softwaremodule und Chips, werden inzwischen in einer komplexen weltweiten Arbeitsteilung erstellt. Dabei sind viele Details der Implementierungen selbst für große industrielle Kunden intransparent. Dies gilt für integrierte komplexe Softwaremodule ebenso wie für einzelne Hardwarekomponenten. Daraus ergeben sich vielfältige Angriffsmöglichkeiten.

Angesichts der Abhängigkeit von digitalen Systemen und den Auseinandersetzungen im Cyberraum erscheint es unzureichend, das Risiko von schwerwiegenden Sicherheitsverletzungen ausschließlich mit Methoden des Risikomanagements und inkrementellen Updates anzugehen. In Ergänzung hierzu ist es erforderlich, einen grundlegenden Wandel in die Wege zu leiten, der informationstechnische Sicherheit mittels ökonomisch vertretbarer Verfahren fundamental verbessert und zwar unter Berücksichtigung der weltweit steigenden Konzentration von Kompetenzen und Wertschöpfung.

Entwicklungsoptionen

Die grundsätzliche Vermeidung von Schwachstellen in Hardware und Software wird im Allgemeinen als nahezu unlösbares Problem angesehen. So wird geltend gemacht, Soft- und Hardware seien zu kompliziert, verifizierte Lösungen teuer und unflexibel und hundertprozentige Sicherheit ohnehin nicht erreichbar. Obwohl aus empirischer und historischer Sicht einiges für diese Einschätzungen spricht, bleibt es Aufgabe der Forschung, die Prämissen dieser Argumente zu ermitteln, sie infrage zu stellen und nach realisierbaren Ansätzen zu suchen.

Herkömmliche Ansätze wie umfangreicheres Testen und Patching haben sich bisher als nicht ausreichend erwiesen. So helfen gegen mögliche Systemschwächen und durch finanzstarke Akteure gesponserte Angriffe graduelle Verbesserungen, wie Updates oder neue Systemschichten, bestenfalls graduell. Auch zusätzliche eingeführte Kontrollkomponenten bieten nur begrenzte Möglichkeiten, weil sie ihrerseits für Angriffe ausgenutzt oder umgangen werden können und zudem selbst mit unterminierten Werkzeugen entwickelt worden sein könnten.

Auf europäischer Ebene wird derzeit diskutiert, ob IT‑Sicherheit durch Regulierung der Hard- und Software verbessert werden kann, etwa indem Zertifizierungen nach den Common Criteria oder dem EU Cybersecurity Act von 2019 vorgeschrieben werden. Derartige Zertifizierungen haben bislang lediglich begrenzte Aussagekraft, zumal bestehende Verfahren die Korrektheit der Implementierung meist nur mit Tests prüfen. Selbst wenn alle zertifizierten Software-Komponenten bewiesenermaßen sicher wären, besteht die Frage nach möglichen Hard‑ware-Schwächen fort, etwa wenn das Design oder der Produktionsprozess geändert wird. Überprüfungen werden z. B. dort kompliziert, wo Hardware-Hersteller Teile des Designs geheim halten, um Angriffe zu erschweren oder sie durch Prozessfestlegungen dazu verpflichtet sind. Hierdurch wird die Sicherheit tendenziell reduziert, da diese Komponenten nicht unabhängig nachprüfbar sind. Ein Kunde kann ein solches Produkt nicht selbst beurteilen. Hinzu kommt, dass die Durchführung der anspruchsvolleren Zertifizierungsstufen sehr kostenintensiv ist.

Ehrgeiziger sind Versuche, die Kontrolle der IT Produktion auf nationaler Ebene sicherzustellen und kritische Systeme ausschließlich im Inland zu produzieren. So verfügt z. B. China über Durchgriffsmöglichkeiten, mit denen im Prinzip die gesamte Wertschöpfungskette kontrolliert werden kann. Vollständige Autonomie ist bei IT‑Systemen allerdings schwer zu erreichen, sobald Hersteller für den Weltmarkt produzieren und Komponenten anderer Anbieter beziehen, deren Designfehler oder absichtlich eingefügte Hintertüren jedes IT‑System beeinflussen können, in das sie verbaut sind.

Option offene, verifizierte Lieferketten

Der im Folgenden vorgestellte Ansatz kombiniert offene Produktion, verifizierte Hard- und Software und sichere Lieferketten. Wir schlagen vor, offene Produktionsverfahren über die gesamte Lieferkette einzuführen, die Inputs und Werkzeuge ebenso wie die Produkte selbst umfasst. Hierzu ist zunächst die Schlüsselfrage zu beantworten: Wie können Schwächen und Hintertüren tatsächlich eliminiert werden? Danach ist zu fragen, wie der Ansatz zu finanzieren und mit der privatwirtschaftlichen Amortisation von Entwicklungsaufwänden für neue Produkte vereinbaren wäre.

Offenheit

Aus Sicherheitsperspektive haben offene Systeme einige grundsätzliche Vorteile gegenüber vertraulichen Systemen. So konstatiert das US Department of Defence im Rahmen einer Ausschreibung für Projekte zur Cybersicherheit: „Current commodity computer hardware and software are proprietary. A thorough security review cannot be performed on systems with undisclosed components.“ Beispiele für offene Systeme sind das Betriebssystem Linux und das davon abgeleitete Android, die sich erfolgreich am Markt etabliert haben.

Eine ähnliche Entwicklung könnte sich im Hardware-Bereich hinsichtlich des RISC-V Prozessor-Designs anbahnen. Diese offene Prozessorarchitektur, die an der Universität Berkeley unter Förderung durch die Defense Advanced Research Projects Agency (DARPA) und in Kooperation mit der Industrie entwickelt wurde, ermöglicht freie Inspektion und lizenzkostenfreie Weiterentwicklung. Open source ist per se nicht mit Fehlerfreiheit gleichzusetzen. Dies belegt z. B. der bereits angesprochene Heartbleed-Bug, der auf einem jahrelang unentdeckten Implementierungsfehler beruhte. Hier sind Verbesserungen bei der Kontrolle von Spezifikationen und Designs etwa durch Intensivierung automatischer statischer und dynamischer Analyse von Programmen und Testen durch unabhängig arbeitende Gruppen denkbar. Durch diesen Mehraufwand könnte die Sicherheit von Open-Source-Komponenten erheblich verbessert werden, doch intensiveres Testen allein kann nie ausschließen, dass unentdeckte Fehler verbleiben.

Formale Verifikation

Gegen unentdeckte Schwächen können offene Systeme Abhilfe schaffen, deren korrektes Funktionieren in Bezug auf Vertraulichkeit und Integrität der verarbeiteten Nutzerdaten mathematisch bewiesen ist („formal verifiziert“). Ein Vorreiter bei der praktischen Realisierung solcher Systeme ist seL4, ein Mitglied der L4-Familie von Betriebssystem-Mikrokernen.

Ausgelöst vom Gleitkomma-Divisions-Fehler in Intel-Prozessoren im Jahr 1994 wird seit Jahrzehnten eine formale Verifikation von Teilen der CPU-Designs durchgeführt. Entsprechende Bestrebungen existieren zur Überprüfung kompletter RISC-V Prozessoren. Die zugrundeliegenden formalen Spezifikationen und Beweise sind jedoch aufwändig und verlieren i. d. R. ihre Gültigkeit, sobald am verifizierten Objekt auch nur geringfügige Änderungen vorgenommen werden.

Eine Herausforderung für die Forschung besteht deshalb darin, Verfahren zu entwickeln, die komplexere Systeme kostengünstig verifizieren können. Die Schwierigkeiten für Korrektheitsbeweise komplexer Prozessoren steigen mit der Anzahl der Transistoren, Prozessorkerne, etc. jedoch stark an. Bislang ist unklar, ob man angesichts der wachsenden Integrationsdichte und Transistoranzahl der neuesten Prozessorgenerationen deren Design je zu vertretbaren Kosten beweisen können wird oder ob der Beweisaufwand durch grundsätzliche Änderungen des CPU und Rechnerdesigns radikal gesenkt werden kann.

Sicherung der Lieferkette

Die Lieferkette für IT kann an nahezu jedem Punkt erfolgreich angegriffen werden – Modifikation des Designs und Beeinflussung des Produktionsprozesses sind ebenso möglich wie die Subversion von Test- und Validierungsverfahren oder Austausch von Systemelementen während der Auslieferung. Es ist damit zu rechnen, dass die Sicherung einiger Komponenten, wie etwa Betriebssysteme oder Prozessoren, dazu führt, dass andere Komponenten angegriffen werden, z. B. Kommunikationschips oder verwendete Softwarewerkzeuge. Ein umfassender Ansatz hätte demzufolge möglichst große Teile dieser Kette zu sichern. Dort, wo auf geschlossene, nicht verifizierte Anwendungen, z. B. traditionelle Betriebssysteme, zurückgegriffen werden muss, sollten diese durch Mechanismen gekapselt werden, die sie vom vertrauenswürdigen Teil des Systems trennen.

Eine zentrale Herausforderung betrifft die Sicherung der Produktion der Halbleiter in den Fabs genannten Produktionsanlagen. Diese erfordern Milliardeninvestitionen und sind, neben den USA und Israel, auf wenige fernöstliche Länder konzentriert. Eine Strategie zur besseren Absicherung der Chip-Produktion kann sich unter anderem folgender Optionen bedienen:

 

  • Lokale Fertigung durch als vertrauenswürdig betrachtete Betreiber und Mitarbeiter (Trusted Fab), eventuell auf eine Reihe kritischer Schritte am Schluss der Fertigung beschränkt.
  • Kontrolle der Chips durch mathematische Verfahren, wie Verschlüsselung oder zusätzliche Leiterbahnen.
  • Stichprobenartige Inspektion von Chips durch optische Prüfung. Aus praktischer Sicht funktioniert dies am besten bei einfachen Chips mit vergleichsweise großen Strukturen, deren Herstellung für Enthusiasten aus dem Open-Source-Umfeld machbar ist, wie durch das Libre Silicon-Projekt angestrebt.

Die genannten Optionen müssen teils erst noch entwickelt und erprobt werden. Gleiches gilt für Ansätze zur Absicherung von Softwarewerkzeugen, die in der Herstellung von Hard- oder Software verwendet werden. Die drei zu untersuchenden Hauptoptionen sind hier:

 

  • entweder ein offenes System von Werkzeugen zu schaffen und durch intensive Überprüfung die Gefahr von Schwachstellen oder Hintertüren zu minimieren
  • oder den Output eines offenen Werkzeugs formal zu verifizieren
  • oder den Output mit jenen proprietärer Werkzeuge auf funktionale Äquivalenz zu vergleichen.

Natürlich muss in allen Fällen die Integrität der Prüfumgebung sichergestellt werden, was evtl. nur langfristig geschehen kann. Der Vollständigkeit halber sei noch darauf hingewiesen, dass die Mathematik dabei helfen kann, die Authentizität von Chips sicherzustellen, z. B. durch Verwendung von physically unclonable functions, die physikalische Implementierungscharakteristika nutzen.

Kosten

Ein wichtiger Faktor für die Realisierung eines offenen Ansatzes ist die Finanzierbarkeit. Derzeit kommen die vorgeschlagenen formalen Verfahren aus Aufwandsgründen zumeist nicht in Betracht. Die Open-Source-Community beispielsweise setzt derzeit selten Instrumente zur formalen Spezifikation oder Verifikation ein. Einerseits wird dies als zu aufwändig angesehen, andererseits schränkt eine formal orientierte Vorgehensweise die Flexibilität bei der Weiterentwicklung erheblich ein. Es besteht also Forschungs- und Handlungsbedarf, um formale Beweise leichter und kostengünstiger durchführen zu können.

Die Stückkosten für formal verifizierte, offene Komponenten könnten verringert werden, wenn man höhere Losgrößen erreicht, die Entwicklungskosten global auf die Forschungsetats mehrerer Länder und Unternehmen verteilt, dem Beispiel der Kooperation von US‑Firmen mit der DARPA folgend, und geringere Lizenzkosten als für proprietäre Tools einbezieht. Durch formal verifizierte Systeme entstehen zudem niedrigere Kosten für Sicherheitsmaßnahmen und für Schadensbehebung. Zudem könnten solche Komponenten wegen der hohen Qualität einen Vorteil im Wettbewerb darstellen und regulatorischen Anforderungen leichter gerecht werden. Eine belastbare Schätzung der Kosten ist wegen der Vielzahl von Variablen derzeit schwer möglich.

Stand des Übergangs zu offenen, bewiesenen Systemen

Eine strategische Initiative für offene, formal bewiesene Komponenten und Systeme könnte auf einer Reihe von Vorarbeiten aufbauen, die seit längerem u. a. von der DARPA gefördert werden. Angesichts der wachsenden Abhängigkeit der US‑amerikanischen IT‑Wirtschaft von internationalen IT‑Zulieferern folgerte die Agentur bereits 2017: „The Open-Source community needs to develop a complete infrastructure“. Inzwischen hat auch die Industrie in den USA, Asien und Europa begonnen, sich intensiver mit dieser Thematik auseinanderzusetzen und bspw. hochleistungsfähige Multicore-CPUs auf RISC-V Basis zu entwickeln oder auf Softwareseite auf das verifizierte Mikrokernel-Betriebssystem seL4 zurückzugreifen.

Durch diese Initiativen werden bereits heute öffentliche und private Gelder in Beweis-basierte, offene Architekturen investiert, die etwa im Bereich von Grafikkarten, Speichermedien oder eingebetteten Systemen zur Anwendung kommen sollen. Wie im Falle von Linux/Android in der Vergangenheit bereits beobachtbar, kann eine solche Entwicklung bewirken, dass sich der Einsatz derartiger Systeme von ihren ursprünglichen Einsatzfeldern (hochsichere Anwendungen, wie Luftfahrt, Verteidigung und IT‑Sicherheitsmodule) auf andere Geräteklassen ausweitet.

Fazit zur globalen Implementierung offener Verifizierung

Im Sinne eines constructive technology assessment lassen sich Risiken für den deutschen, europäischen und letztlich globalen Raum nur dann substanziell verringern, wenn Mechanismen entwickelt werden, die die Anzahl von Schwachstellen, Fehlern und Hintertüren nachweislich reduzieren, idealerweise auf null: Secure IT statt IT security. Eine beträchtliche Zahl technischer Grundlagen für die Entwicklung offener, verifizierter Systeme ist bereits gelegt. Um diesen Ansatz jedoch systematisch auszubauen, bedarf es erheblicher Investitionsmittel. Nötig wären hier forschungs- und industriepolitische Programme zur Frage, wie komplette Wertschöpfungsketten von IT‑Systemen offen und sicher gestaltet und verbreitet werden können. In den USA hat die DARPA hierzu einen Investitions- und Forschungsplan entwickelt (Electronic Resurgence Initiative), der die lokale, sichere Produktion von IT‑Komponenten zum Ziel hat. Dieser ist jedoch stark auf den militärischen Bereich fokussiert und bezieht US‑Hersteller mit vertraulichen Produkten und Prozessen ein. Für den zivilen Bereich, gerade auch außerhalb der USA, sind folgende Programmelemente vonnöten:

 

  1. Initiierung von Pilotprojekten und Prototypen, die die gesamte Wertschöpfungskette umfassen,
  2. Weiterentwicklung und Tooling von Methoden der formalen Verifikation mit dem Ziel leichterer Anwendbarkeit sowie Ausweitung der Forschung zur formalen Analyse auf komplexere Systeme,
  3. Techniken zur redundanten formalen Verifizierung durch geografisch verteilte, unabhängig arbeitende Teams, insbesondere zur Aufgabenverteilung und Zusammenführung der Ergebnisse,
  4. Untersuchung von Techniken zur Zertifizierung, die nicht auf der Vertraulichkeit der Produktion und der Verifizierungstechniken beruhen,
  5. Training einer ausreichenden Anzahl von fachlich qualifiziertem Personal sowie
  6. Entwicklung und Erprobung von Methoden zur Kontrolle geografisch entfernter Fabs und weltweiter Lieferwege.

 

Parallel hierzu müssten Geschäftsmodelle mit dem Ziel erarbeitet werden, die anfänglichen Kosten möglichst global zu verteilen. Ähnlich der Förderung von RISC-V wäre hier eine Kostenteilung zwischen privaten und öffentlichen Trägern naheliegend. Preiswerte, verifizierte Werkzeuge und Komponenten könnten Innovationen in vielen Branchen erleichtern und für viele Länder die „Souveränität“ im IT‑Bereich stärken.

Ferner sollte untersucht werden, ob und wie eine derartige Zielstellung effizient durch politische oder durch regulatorische Maßnahmen flankiert werden sollte. Die Koordination des beschriebenen Vorhabens könnte dabei in Deutschland z. B. durch zwei in neuerer Zeit gegründete Regierungsinstitutionen gefördert werden: die Agentur für Innovation in der Cybersicherheit und die Agentur zur Förderung von Sprunginnovationen.

Der vorgeschlagene Ansatz hat die Absicherung der gesamten Produktions- und Lieferkette zum Ziel und erfordert deshalb abgestimmte Anstrengungen über eine Vielzahl von Arbeitsgebieten. Die Komplexität eines solchen Vorhabens dürfte jener der derzeitigen Pilot-Initiativen zur Etablierung europäischer Cyber Competence Networks nicht nachstehen. Deren Finanzierungsrahmen liegt zwischen 10 und 20 Millionen Euro und ein entsprechender Aufwand sollte auch für die Entwicklung eines technischen und organisatorischen Rahmens veranschlagt werden. Echte Produktentwicklung für den zivilen Bereich würden allerdings deutlich höhere Aufwendungen erfordern (die DARPA hat hierfür derzeit für fünf Jahre ca. US-$ 1,5 Mrd. eingeplant). Die Umsetzung würde ein umfangreiches Public-Private- Partnership-Programm mit vielen Akteuren oder auch den Aufbau eines nationalen oder europäischen „Champions“ unter Mobilisierung von Risikokapital erfordern, ggf. in Kooperation mit Akteuren aus anderen Ländern.

Aus politischer und ökonomischer Perspektive sollten parallele und alternative Entwicklungen auf globaler Ebene beobachtet und deren Ansätze und Risiken weiter analysiert werden. Hierzu gehören etwa Versuche, Lieferketten auf rein nationaler Ebene zu etablieren (USA, China, Indien) oder die Entwicklung und der Einsatz offener, aber bislang unbewiesener Hardware- Komponenten durch etablierte IT‑Unternehmen.

 

Tatup.de; Weber, Arnd; Heiser, Gernot; Kuhlmann, Dirk; Schallbruch, Martin; Chattopadhyay, Anupam; Guilley, Sylvain; Kasper, Michael; Krauß, Christoph; Krüger, Philipp S.; Reith, Steffen; Seifert, Jean-Pierre; 04.04.2020

https://www.tatup.de/index.php/tatup/article/view/6792/11460t

https://creativecommons.org/licenses/by/4.0/

 

 

IT-Sicherheit

 

IT-Sicherheit

 

IT-Sicherheit


Mehr als Technik

Gewährleistete Vertraulichkeit, Verfügbarkeit und Integrität: Schützen Sie Ihre Informationen, Systeme und Netzwerke mit durchdachter IT-Sicherheit..

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere IT-Sicherheitsspezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Mehr lesen