Software-Architekturen

MILS – Multiple Independent Levels of „Sicherheit“

| Autor / Redakteur: Jacques Brygier * / Franz Graser

Bild 1: Komplexe Anwendungen im Flugzeug sind nach dem MILS-Konzept aufgebaut, um Sicherheit zu gewährleisten. Dabei laufen kritische und weniger kritische Anwendungen auf derselben Plattform.
Bild 1: Komplexe Anwendungen im Flugzeug sind nach dem MILS-Konzept aufgebaut, um Sicherheit zu gewährleisten. Dabei laufen kritische und weniger kritische Anwendungen auf derselben Plattform. (Bild: Sysgo)

Eine Betriebssystem-basierte Sicherheitsarchitektur bei Embedded-Systems für sichere und vertrauenswürdige Systeme bringt verschiedene Sicherheitsanforderungen unter einen Hut.

Vernetzte Embedded Systems brauchen mehr als Virenscanner oder Kryptographie, um funktionale Sicherheit und Vertrauenswürdigkeit zu garantieren. Der Aufbau einer Sicherheitsarchitektur durch strikte Trennung der Anwendungen und Kontrolle der Kommunikation auf Betriebssystemebene ermöglicht die Komposition sicherer, komplexer Systeme in der Avionik, im Auto, im Smart Grid und vielen weiteren Industrien, die sich anschicken, ihre Systeme zu vernetzen.

Embedded Systems wachsen zusammen zu komplexen Systemen, zu ganzen Infrastrukturen in einer vernetzten Welt. Wurden sie früher klein und isoliert für Mess- und Regelaufgaben eingesetzt, so führen sie heute hochverdichtete, von einander abhängige Funktionen in Maschinen und Geräten aus. Mikroprozessoren und immer mehr Software übernehmen von einfachen Handgriffen bis hin zu komplexen Entscheidungen vernunftbegabte Handlungen von Menschen.

Dabei wachsen zwei Welten zusammen, deren Unterschiedlichkeit noch nicht ausreichend bedacht wird: Embedded Systems und IT. Der Aspekt der Sicherheit ist hier eine ganz zentrale Frage, die Entwickler von Embedded Systems als Problem der korrekten Funktion und Vermeidung von Fehlern im System betrachten (Safety). Für IT-Entwickler stehen vor allem Angriffe von außen, Viren, Würmer oder feindliche Attacken auf das System im Vordergrund (Security). Vernetzte Systeme, die auf die physikalische Welt einwirken, benötigen beides, Safety und Security.

Zusätzlich können und müssen die Entwickler unterschiedliche Ebenen von Sicherheit unterschiedlich behandeln. Offene Informationen können ohne Prüfung weitergegeben werden, geschützte Daten nur nach Prüfung der Berechtigung des Empfängers. Eine eilige Durchsage des Piloten im Flugzeug ist somit kritischer als das Abspielen von Musik oder Video in der Kabine für die Passagiere.

Unterschiedliche Kritikalität

Cyber-physikalische Systeme kombinieren immer mehr Software-Applikationen auf standardisierter, leistungsfähiger Hardware. Das geschieht, um Platz, Gewicht und Verkabelung zu sparen (wie im Auto oder Flugzeug) oder zur intelligenten Nutzung der Ressourcen. Dabei entstehen komplexe Systeme mit gemischten Sicherheitsanforderungen oder Multiple Level Security/Safety (MLS), die als monolithische Einheit nur schwer auf funktionale Sicherheit und Vertrauenswürdigkeit geprüft werden können. Seit den 1980er Jahren und verstärkt zu Beginn der 2000er Jahre wurde primär in den USA nach Lösungen für die Sicherheitsprobleme von Software mit unterschiedlicher Kritikalität geforscht.

Software ist nur so sicher, wie das Fundament, auf dem sie aufbaut. Erfolgreiche Attacken auf die Systemsoftware können alle weiteren Sicherheitsmaßnahmen nutzlos machen. Welche Bedrohungen sind das?

  • Bypass: Bösartige Software umgeht die Sicherheitselemente des Systems;
  • Kompromittieren: Bösartige Software liest geschützte Daten (etwa Passwörter);
  • Fälschen: Bösartige Software ändert geschützte Daten;
  • Fehler setzen sich fort: Ein Fehler in einer Anwendung bringt andere Anwendungen zum Absturz;
  • Verdeckte Kanäle: Bösartige Software gewinnt Informationen durch Überwachung von Seiteneffekten, wie Zeitverhalten;
  • Viren: Bösartige Software gewinnt Rechte für die Nutzung des privilegierten Modus, um alle Anwendungen zu infizieren;
  • Subversion: Bösartige Software wird vom Nutzer als glaubwürdig legitimiert.

Ergänzendes zum Thema
 
Das Euro-MILS-Projekt

Schutzmaßnahmen für MLS-Systeme müssen daher auf der Ebene der Software-Architektur ansetzen und durch Separierung von Anwendungen in Partitionen und Kontrolle der Kommunikation zwischen ihnen grundsätzliche Bedrohungen abwenden. Daraus wurde das Konzept von Multiple Independent Levels of Security/Safety (MILS) als Architektur für Vertrauenswürdigkeit und funktionale Sicherheit entwickelt.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 42251939 / Embedded Betriebssysteme)