Im Folgenden soll ein äußerst interessantes und relevantes Dokument zur IT-Sicherheit vorgestellt werden: die „Prüfung von Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen“ (PANDA). Dieses Dokument wurde im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) erstellt und analysiert die Risiken von Hardware-Manipulationen in globalen Lieferketten.
Dabei geht es auch um die neue Thematik der „Hardware-Trojaner“: Das PANDA-Dokument bietet wertvolle Einblicke und praktische Empfehlungen zur Verbesserung der Sicherheit von Hardware. Es unterstreicht die Notwendigkeit, in fortschrittliche Detektionsfähigkeiten zu investieren und vertrauenswürdige Lieferketten aufzubauen, um die Risiken von Hardware-Trojanern zu minimieren.
Worum geht es?
Das PANDA-Dokument untersucht die Risiken und Bedrohungen, die durch Manipulationen in der Hardwareentwicklung und -produktion entstehen können. In Zeiten, in denen die Entwicklung komplexer IT-Systeme oft in arbeitsteiligen, global verteilten Prozessen erfolgt, sind die Risiken für Manipulationen und Angriffe deutlich gestiegen.
Das Dokument analysiert detailliert die verschiedenen Schritte von der ersten Idee bis hin zum fertigen Produkt und identifiziert potenzielle Schwachstellen und Angriffsszenarien. Dabei geht man konkret auf Hardware-Trojaner ein.
Erkenntnisse
Das Dokument kommt zu mehreren wichtigen Erkenntnissen:
- Verteilte Prozesse erhöhen die Angriffsfläche: Durch die Arbeitsteilung und die Einbeziehung mehrerer externer Dienstleister entstehen zahlreiche Schnittstellen, die potenzielle Angriffspunkte darstellen.
- Vielschichtige Angriffsvektoren: Die Bedrohungen reichen von einfachen Fehlern bis hin zu gezielten Manipulationen, wie das Einfügen von Hardware-Trojans oder das Ersetzen von Bauteilen durch manipulative Komponenten.
- Schwierige Nachweisbarkeit: Viele Manipulationen sind schwer zu entdecken, insbesondere wenn sie gezielt und mit entsprechendem Know-how durchgeführt werden.
Empfehlungen
Das PANDA-Dokument gibt umfassende Empfehlungen, um die Risiken zu minimieren:
- Strenge Kontrolle und Zertifizierung: Implementierung strenger Kontrollen und Zertifizierungen für alle beteiligten Akteure in der Lieferkette.
- Verwendung vertrauenswürdiger IP-Blöcke: Bevorzugung von IP-Blöcken aus verlässlichen und geprüften Quellen, um das Risiko von Manipulationen zu reduzieren.
- Regelmäßige Sicherheitsüberprüfungen: Durchführung regelmäßiger Sicherheitsüberprüfungen und Tests, um potenzielle Manipulationen frühzeitig zu erkennen.
- Sensibilisierung und Schulung: Sensibilisierung der Mitarbeiter und Schulung im Umgang mit Sicherheitsrisiken und Erkennung von Anomalien.
Praktische Hinweise für Geschäftsleitungen
Für die Geschäftsleitungen gibt das PANDA-Dokument praktische Hinweise, um die Sicherheit in ihren Fertigungsprozessen zu erhöhen:
- Transparente Lieferkette: Aufbau einer transparenten und nachvollziehbaren Lieferkette, in der jeder Schritt dokumentiert und überprüft wird.
- Partnerschaft mit vertrauenswürdigen Dienstleistern: Auswahl von Partnern und Dienstleistern, die nachweislich hohe Sicherheitsstandards einhalten.
- Etablierung eines Sicherheitsmanagements: Implementierung eines umfassenden Sicherheitsmanagementsystems, das regelmäßig überprüft und angepasst wird.
- Notfallpläne: Entwicklung und Bereitstellung von Notfallplänen für den Fall von Sicherheitsvorfällen, um schnell und effektiv reagieren zu können.
Hardware-Trojaner
Das PANDA-Dokument bietet eine detaillierte Analyse zu den Risiken und Herausforderungen, die durch Hardware-Trojaner entstehen. Diese Manipulationen können schwerwiegende Sicherheitslücken in IT-Systemen verursachen, insbesondere in komplexen, verteilten Fertigungsprozessen.
Was sind Hardware-Trojaner?
Hardware-Trojaner sind bösartige Modifikationen an Hardware-Komponenten, die oft während des Fertigungsprozesses eingeführt werden. Sie können vielfältige Formen annehmen und verschiedene Funktionen erfüllen, von der Datendiebstahl bis hin zur Sabotage. Ihre Entdeckung und Verhinderung stellt eine erhebliche technische Herausforderung dar.
Ideen zur Detektion von Hardware-Trojanern
- Komplexität der Detektion: Die Erkennung von Hardware-Trojanern ist technisch anspruchsvoll und erfordert in der Regel ein „goldenes“ Referenzgerät oder mindestens eine „goldene“ Simulation. Diese sind jedoch oft nur in wissenschaftlichen Kontexten verfügbar. Die Tatsache, dass die Aktivierung eines Trojaners meist unklar ist, erschwert die Detektion zusätzlich. Daher ist es wichtig, in fortschrittliche Chip-Analyse- und Detektionsfähigkeiten zu investieren.
- Lokalisierte Strommessungen: Eine Methode zur Detektion von Hardware-Trojanern ist die Messung lokaler Ströme an ausgewählten Pads. Diese Methode kann zusätzliche Stromverbrauchsänderungen besser erkennen, da der gesamte Stromverbrauch pro Pad kleiner ist und somit die Auswirkungen des Trojaners deutlicher hervortreten.
- Timing-basierte Analyse: Eine weitere Methode zur Erkennung von Trojanern ist die Analyse der Pfadverzögerungen. Hierbei werden „Fingerabdrücke“ des gesamten Chips erstellt. Diese Methode erfordert jedoch eine Rückentwicklung des gesamten Chips und umfangreiche statistische Analysen, um Prozessvariationen zu berücksichtigen.
Prävention und Risiken
- Eingeschränkte Präventionsmöglichkeiten: Die Maßnahmen zur Prävention von Hardware-Trojanern sind begrenzt und führen oft zu erheblichem Mehraufwand in Bezug auf Fläche und Energieverbrauch. Sie können nicht auf das gesamte Design angewendet werden, wodurch ein Angriff dennoch in nicht geschützten Teilen des Designs möglich ist.
- Split Manufacturing: Der vielversprechendste Ansatz zur Reduzierung des Risikos von Hardware-Trojanern ist das Split Manufacturing. Dabei wird das Design so aufgeteilt, dass kein einzelner Hersteller alle Informationen zum vollständigen Design hat. Allerdings ist die Organisation eines solchen Fertigungsprozesses sehr komplex und erfordert kompatible Hersteller, die diesen Prozess unterstützen.
Praktische Experimente und Ergebnisse
Experimente im PANDA-Projekt zeigten, dass Hardware-Trojaner mit relativ geringem Aufwand integriert werden können und schwer zu erkennen sind. Der zusätzliche Flächen- und Energieverbrauch ist vernachlässigbar. Selbst die Integration eines zusätzlichen ICs auf einer komplexen Hauptplatine erwies sich als äußerst schwierig zu entdecken, selbst mittels Röntgenanalyse.
Fazit
Das PANDA-Dokument zeigt eindrucksvoll, wie komplex und vielschichtig die Herausforderungen im Bereich der Hardware-Sicherheit in verteilten Fertigungsprozessen sind. Durch die Umsetzung der empfohlenen Maßnahmen können Unternehmen jedoch ihre Risiken deutlich minimieren und ihre Systeme besser vor Manipulationen schützen. Es ist eine Pflichtlektüre für alle, die in der IT-Sicherheit und in der Produktion tätig sind und ihre Prozesse sicher gestalten möchten.
Die hier vorgestellten Ergebnisse machen deutlich, wie wichtig Zertifikate und Vertrauen in der Herstellung von Hardware sind – gerade für Automation und Produktion. Absehbar wird der CRA daher gravierende Bedeutung erlangen bei der Beschaffung von Hardware.
Es wird deutlich, dass Angriffe wie die Manipulation von Hauptplatinen technisch machbar sind und wahrscheinlich unentdeckt bleiben (würden). Die Integration von Hardware-Trojanern ist ebenfalls möglich und schwer zu erkennen, besonders wenn die Manipulation in einem offenen Hardware-Kern erfolgt oder das Designhaus bösartig ist. Daher ist der Kauf von Geräten von Herstellern, die nicht als vollständig vertrauenswürdig gelten, immer mit einem gewissen Risiko verbunden.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024