Suchen

Sicherheit für BIOS, Betriebssystem und Anwendung

| Redakteur: Margit Kuther

Im Embedded Computing wird auch die Sicherheit von Endgeräten und Anwendungen immer wichtiger – neben Übertragungssicherheit und generellem Zugangsschutz auf sensible Unternehmensdaten.

Firmen zum Thema

Kontron APPROTECT: als „As-a-Service-Konzept“ angeboten, lässt sich dieLösung in bestehende Infrastrukturen integrieren.
Kontron APPROTECT: als „As-a-Service-Konzept“ angeboten, lässt sich dieLösung in bestehende Infrastrukturen integrieren.
(Bild: Kontron)

IT- und IoT-Sicherheit ist unabdingbar, um den eigenen technischen Vorsprung nicht unvermittelt an die Konkurrenz oder gut organisierte Hackergruppen zu verlieren.

Wie das Bundesministerium für Wirtschaft in seiner IoT-Security-Studie „IT-Sicherheit für die Industrie 4.0“ feststellte, ist es um die Sicherheit im Internet der Dinge nicht gut bestellt, obwohl das Kernelement der vierten industriellen Revolution die zunehmende Verzahnung der industriellen Produktion mit den modernen Informations- und Kommunikationstechnologien ist.

3-stufige Sicherheit von der Platine

Die Sicherheit von Daten beruht auf der Anfälligkeit des schwächsten Glieds in einer Kette unterschiedlicher Instanzen. Kontron bietet mit seiner Security Solution APPROTECT seit 2016 eine Lösung für seine neuen Computer-On-Module und Motherboards, die sogar bis auf Anwendungsebene greift.

Mit dem Secure-Systems-Konzept entwickelt Kontron damit als einer der ersten Embedded-Computer-Hersteller über einen ganzheitlichen Ansatz zur Absicherung von Embedded Systemen unter Einbeziehung von drei sicherheitsrelevanten Ebenen eines Endgeräts: dem BIOS, dem Betriebssystem und der Anwendung.

Schutz des BIOS

Kontron Secure/Trusted Boot bietet auf allen neuen Plattformen Funktionen wie sichere Firmware Updates oder die Absicherung des Boot-Prozesses über einen TPM 2.0 Chip. Damit ist sichergestellt, dass während des Boot-Vorgangs nur vorher signierte und verifizierte Programme ausgeführt werden.

Ungewollte Veränderungen an BIOS oder Boot-Loader sind nicht mehr möglich. Kontron Secure/Trusted Boot dient insbesondere als Basis für die Ausführung eines sicheren Betriebssystems.

Ergänzendes zum Thema
IT-Sicherheit: Immer einen Schritt voraus

Norbert Hauser, Vice President Marketing bei Kontron, informiert zum Thema IT-Sicherheit: „Viele Unternehmen investieren erst dann in IT-Sicherheit, wenn sie Opfer eines geschäftsschädigenden Angriffs geworden sind. Die Kontron-Sicht auf das Thema IT-Sicherheit setzt einen Schritt früher an: Wir kümmern uns nicht erst um die IT-Sicherheit, wenn es zu spät ist und Unternehmensdaten bereits kompromittiert wurden.

Denn Sicherheit ist der wichtigste Aspekt, um das Vertrauen der Anwender in den operativen Einsatz von Technologien zu gewinnen. Das gilt für heute schon verfügbare Applikationen, ist aber noch zentraler für den Einsatz von neuen Anwendungen im IoT, der Smart Factory oder Industrie 4.0; aber auch in anderen Bereichen wie in der Medizintechnik.

Nur wenn Unternehmen Vertrauen in die neuen Möglichkeiten haben, werden sie diese auch nutzen und von ihren Vorteilen profitieren. Für uns ist die IT-Sicherheit im IoT daher ein zentrales Element der Digitalisierungsstrategie unserer Kunden und deshalb als Kontron-Standard in allen Produkten serienmäßig enthalten.

Eine Hardwarebasis, die Sicherheitsmechanismen schon von Haus aus integriert, vereinfacht den Implementierungsprozess von IoT-Anwendungen enorm, macht die Produktentwicklung effizienter und unsere Kunden-Designs zukunftssicherer.

Um diese Vision zu verwirklichen, entwickeln wir diese vollkommen neue Hardware-Security-Produktlinie. Mit der Kontron Security Solution bieten wir standardmäßig voll integrierten Schutz in unseren Computer-on-Modulen und Motherboards an – und das als weltweit erster Embedded-Computing-Hersteller überhaupt.“

Sicheres Betriebssystem

Als sicheres Betriebssystem setzt Kontron auf Windows 10 IoT. Dabei handelt es sich um die speziell für die Verwendung im IoT-Umfeld entwickelte Version von Windows 10. Sie bietet umfangreiche Sicherheitsfunktionen wie Secure Boot, BitLocker, Device Guard und Credential Guard.

Diese sorgen in Verbindung mit dem TPM 2.0 Chip dafür, dass das System während der Start- und Ausschaltphase gegen Angriffe gesichert ist.

Sicherheit auf Anwendungsebene

Kontron Secure System: Sicherheit für Bios, Betriebssystem und Applikation
Kontron Secure System: Sicherheit für Bios, Betriebssystem und Applikation
(Bild: Kontron)

Zur Absicherung der Anwendungsebene dient die Kontron-Lösung APPROTECT. Diese kombiniert einen zusätzlich zum TPM 2.0 im System fest integrierten Sicherheitschip sowie ein Software.Framework und bietet so umfassenden Schutz der Applikation.

Die Anwendung wird dabei in einer Form verschlüsselt, die Reverse-Engineering verhindert; das heißt, die Programmierung der Anwendung kann nicht entschlüsselt werden, ein „Nachbau“ wird somit unmöglich (IP Protection).

Der integrierte Sicherheitschip überprüft die Verschlüsselung der Anwendung durchgängig und stellt so sicher, dass sie auch wirklich nur auf den dafür vorgesehenen Geräten ausgeführt werden kann (Copy Protection).

Ebenso wird die Integrität der Applikation überwacht und geschützt. Dies verhindert, dass manipulierte Anwendungen ausgeführt werden können.

Umfassender Schutz plus neue Geschäftsmodelle

Die Sicherheitslösung auf Anwendungsebene bietet eine Vielzahl an Schutzmechanismen, wie IP- und Integrity-Protection, License Creation, Management und Tracking, License Model Implementation sowie die Zuweisung unterschiedlicher Zugriffsrechte.

Kontron APPROTECT wird als „As-a-Service-Konzept“ angeboten, wodurch nur geringe Kosten für die Nutzer entstehen. Die Lösung ist einfach in bestehende Infrastrukturen zu integrieren oder bereits in Kontron Hardware enthalten. Es sind keine aufwändigen Änderungen in der IT-Infrastruktur nötig.

Ergänzendes zum Thema
Kontron APPROTECT im Detail

Hersteller von Embedded-Technologien wie Kontron stellt vor allem der immense Zeitaufwand zur Entwicklung wirksamer Schutzmechanismen für einzelne Geräte vor große Herausforderungen. Wirklicher Schutz setzt einen individuellen Ansatz voraus. Gleichzeitig darf Sicherheit in einem extrem umkämpften Marktumfeld keine hohen Mehrkosten verursachen. Das Problem: der Zeitaufwand für diesen Lösungsansatz ist sehr hoch. Hier hat Kontron mit seiner neuen Security Solution Produktlinie angesetzt.

Leitgedanke bei der Entwicklung von APPROTECT war, diesen komplexen Prozess in günstigere kleine, je nach Bedarf individuell kombinierbare, Teilstücke zu gliedern. So lassen sich auch spezifische Sicherheitsanforderungen abdecken, ohne zum Ressourcenfresser zu werden. Kunden sind nicht länger gezwungen, sich mit teuren Investitionen vor unendlich vielen hypothetischen Bedrohungsszenarien zu schützen.

Der Sicherheitschip, den Kontron einsetzt, verfügt über einen Kontrollmechanismus, der die Verschlüsselung der Anwendung überprüft. Das stellt sicher, dass das Programm auch wirklich nur von den dafür vorgesehenen Geräten ausgeführt werden kann. Durch einen stetigen Austausch mit dem Chip, der kontinuierlich Teile der Applikation während sie läuft entschlüsselt, wird zudem sichergestellt, dass Anwendungsdaten nicht einfach aus dem Arbeitsspeicher ausgelesen werden können. Kontron schützt damit Anwendungen ohne zusätzlichen Kompilierungsaufwand oder komplizierte Schlüsselverwaltungsprozesse.

Der konkrete Ablauf sieht dabei so aus: ein Kunde schickt den Binärcode seiner Anwendung an Kontron. Dort wird er verschlüsselt und mit einer detaillierten Konfigurationsanleitung zurückgeschickt. Dieses Vorgehen funktioniert auch für bereits bestehende Anwendungen. APPROTECT wird von Kontron quasi als Service angeboten. Das hilft, die Kosten weiter zu minimieren, weil Kunden nur noch für das bezahlen, was sie wirklich benötigen. Mit zukünftigen Produkten auf Basis der Kontron Security Solution lassen sich auch neue Geschäftsmodelle etablieren und durchsetzen. So könnten beispielweise einzelne Anwendungsfunktionen auf einen bestimmten Zeitraum oder eine definierte Ausführungszahl beschränkt werden. Das kann beispielsweise für Testszenarien nützlich sein, aber auch andere innovative Einsatzmöglichkeiten sind denkbar. Der Kreativität sind dabei keine Grenzen gesetzt.

Kontron APPROTECT Licensing bietet über diesen Schutz hinaus die Möglichkeit zur Umsetzung neuer Geschäftsmodelle. So können einzelne Anwendungsfunktionen auf einen bestimmten Zeitraum oder eine bestimmte Ausführungszahl zu beschränkt werden – Testszenarien, Lizenz- oder Abomodelle profitieren von diesem Ansatz.

(ID:44732427)