Safety & Security Sysgo: Im sicherheitskritischen Umfeld zuhause

Redakteur: Franz Graser

Der Mainzer Softwarehersteller Sysgo hat als Hersteller von Betriebssystemen für sicherheitsrelevante Anwendungen eine europäische Erfolgsgeschichte geschrieben.

Firmen zum Thema

Der erste Airbus A350 der Lufthansa: Der Neuzugang der Langstreckenflotte der deutschen Airline fliegt mit PikeOS von SYSGO.
Der erste Airbus A350 der Lufthansa: Der Neuzugang der Langstreckenflotte der deutschen Airline fliegt mit PikeOS von SYSGO.
(Bild: Oliver Roesler/Lufthansa)

Der Mainzer Echtzeitsoftware-Spezialist Sysgo blickt mittlerweile auf 25 Jahre Unternehmensgeschichte zurück. 1991 gegründet, fokussierte sich das Haus zunächst auf die Anpassung von Betriebssystemen an Hardwareplattformen. Ende der 90-er Jahre bildete das unixoide Echtzeitbetriebssystem LynxOS des US-Herstellers Lynx Software Technologies (vormals LynuxWorks) den Hauptumsatzträger für die Mainzer.

Die Kompetenz, die sich Sysgo in diesem Bereich erwarb, führte eines Abends im Jahr 1999 zu einem Anruf des amerikanischen Avionikspezialisten Rockwell Collin bei Knut Degen, dem Gründer des Mainzer Unternehmens. Sein Gesprächspartner kam ohne Umschweife zur Sache: „Wir haben gehört, dass Sie LynxOS-Spezialisten sind; wir möchten es gerne im Flugzeug nutzen und wir möchten es gerne nach dem Standard DO 178 zertifizieren. Hätten Sie Interesse?"

Degen war interessiert, aber auch skeptisch: Sysgo besaß bereits aus der Zusammenarbeit mit Airbus Erfahrung mit dem Sicherheitsstandard DO 178. Er hielt es jedoch für schwierig, ein relativ umfangreiches Betriebssystem mit rund 50.000 Codezeilen nach dem anspruchsvollen Standard zertifizieren zu lassen.

Der Interessent ließ jedoch nicht locker: „Das war eine schöne Situation für einen Verkäufer – wenn der Kunde versucht, einen zu überreden, dass man es wirklich schafft“, erinnert sich Degen. Schließlich kam der Auftrag, und im Zuge dieser Aufgabe „haben wir sehr viel gelernt über Avionik-Anforderungen: Es geht letztendlich immer nur um Partitionierung, darum, dass man sichere und unsichere Sachen auf einem Rechner voneinander trennen kann. Bis dahin war es ja im Flugzeug so, dass jede Funktion ihren eigenen Rechner hatte.“

Airbus suchte dezidiert eine europäische Lösung

Der Auftrag erforderte 52 Mannjahre. Daraus resultierte die Erfahrung, dass es unglaublich aufwendig war, ein bereits vorhandenes Betriebssystem an die Anforderungen der Luftfahrtindustrie anzupassen. Und ein Zweites: Der Markt der Betriebssysteme begann zu erodieren. „Wir haben gesehen, es gibt nur noch nach formalen Methoden entwickelte hochkritische Betriebssysteme und Linux. Das war unsere Sicht auf den Markt zu dieser Zeit, und wir haben uns entsprechend ausgerichtet.“

Glücklicherweise wurde gerade in Deutschland intensiv an Mikrokernel-Betriebssystemen geforscht. Unter anderem war die Forschungsarbeit von Professor Jochen Liedtke (1953 - 2001) an der Universität Karlsruhe wegweisend. Die von ihm designte L4-Kernelfamilie darf als geistiger Vorfahr der PikeOS-Betriebssystemplattform von Sysgo gelten, die ab 2000 entwickelt wurde. Von Anfang an stand bei der Entwicklung im Vordergrund, die Software zertifizierbar zu gestalten.

2007 war die primäre Entwicklung abgeschlossen. Allerdings hatte das Projekt die finanziellen Möglichkeiten des Mainzer Softwarehauses aufs Äußerste strapaziert. Immerhin erkannte der Flugzeughersteller Airbus das Potenzial der Technologie und evaluierte den PikeOS-Hypervisor gegen zwei namhafte Konkurrenzprodukte aus den USA.

„Airbus hat diese Technologie gesucht“, erinnert sich Knut Degen. „Es ist schon eine große Ehre, dass sozusagen ein Alpha- oder Beta-Release von einem Betriebssystem in der Entwicklung gegen die beiden Großen evaluiert wird.“ Der europäische Flugzeugbauer erteilte schließlich den Auftrag. Sysgo war jedoch „eigentlich pleite“. Die Mitarbeiter verzichteten drei Monate lang auf ihr Gehalt, die Brückenfinanzierung wurde aus eigenen Mitteln gestemmt. „So eine Erfahrung schweißt natürlich auch zusammen“, berichtet CEO Degen über diese spannende Zeit. Später zahlte sich das Engagement der Mitarbeiter auch finanziell aus: Jeder der Kollegen, die damals ihr Gehalt gestundet hatten, bekam das Zwölffache zurück.

Die Entscheidung von Airbus für die Sysgo-Plattform hatte neben technischen auch politische Gründe: Der Flugzeugbauer suchte nicht zuletzt eine europäische Lösung. Dieser Aspekt kommt den Mainzern nun auch im Automotive-Bereich zugute, wo sich mittlerweile ähnliche Anforderungen etabliert haben wie im Luftfahrtsegment. Auch dort ist die Konsolidierung der Steuergeräte das Thema der Stunde. Deshalb wird auch dort nach Lösungen zur Partitionierung und Separierung von kritischen und nichtkritischen Anwendungen gesucht.

Unabhängigkeit dank französischem Partner

Knut Degen, CEO des Mainzer Softwarehauses SYSGO: Die Anstrengungen bei der Zertifizierung des Echtzeitbetriebssystems LynxOS für die Luftfahrt ließ den Entschluss reifen, auf Mikrokernel und Hypervisoren zu setzen.
Knut Degen, CEO des Mainzer Softwarehauses SYSGO: Die Anstrengungen bei der Zertifizierung des Echtzeitbetriebssystems LynxOS für die Luftfahrt ließ den Entschluss reifen, auf Mikrokernel und Hypervisoren zu setzen.
(Bild: SYSGO)

2012 stieg das französische Unternehmen Thales als Investor ein. Der wichtige Zulieferer für Airbus und Spezialist für Sicherheitsanwendungen – unter anderem für Kommunikations- und Bezahlsysteme – kannte Sysgo bereits und überlegte, das selbst entwickelte Betriebssystem durch PikeOS zu ersetzen. Die Franzosen stiegen nicht zuletzt deshalb bei den Mainzern ein, um sicherzustellen, dass die Technologie in Europa erhalten bleibt. Unter den Fittichen von Thales hat sich der Softwerker seine Unabhängigkeit weitgehend bewahrt; das Eingreifen des Konzerns beschränke sich laut Sysgo-CEO Degen darauf, dass man sich viermal im Jahr bei der Aufsichtsratssitzung sehe: „Wir können weitermachen wie bisher, sind unabhängig, was unsere Geschäfte angeht, wir haben eine stabile Basis mit Thales und bekommen unser Wachstum finanziert.“

Ein Vorteil des technischen Ansatzes der Mainzer war, dass PikeOS von Anfang an als Hypervisor konzipiert wurde. „Wir haben diesen Hypervisor weiterentwickelt, und der Hypervisor, der für die Avionik zertifiziert wurde, ist exakt der gleiche, der für die Bahn zertifiziert wird und ist auch der gleiche, der jetzt in die Sicherheitszertifizierzung beim BSI (Bundesamt für Sicherheit in der Informationstechnik) geht. Wir haben nicht unterschiedliche Produkte und nennen die dann nur PikeOS, es ist immer der gleiche Kern.“ Echtzeitbetriebssysteme, die in den achtziger Jahren entstanden sind, mussten laut Degen dagegen oft mühsam für andere Anwendungszwecke modifiziert werden. „Wir haben es einfacher gehabt, weil wir später angefangen haben; wir haben einfach nur vom Hypervisor nach oben gebaut.“

Mittlerweile ist das Sysgo-Betriebssystem für viele Hardwareplattformen erhältlich, von der Power-PC-Plattform über x86 und ARM bis hin zur Sparc-Architektur, die von Sun Microsystems entwickelt worden war. Ein Sparc-Derivat namens LEON wird beispielsweise in Satelliten eingesetzt, da diese Hardware eine hohe Strahlungsresistenz aufweist, die unter den gnadenlosen Bedingungen des Weltraums unabdingbar ist.

„Sobald es um Sicherheit geht, sind wir im Spiel“

Wer mit einem Airbus A350 fliegt, ist mit der Software aus Mainz unterwegs, darüber hinaus sind mittlerweile auch schon einige Serien-Automobile mit PikeOS ausgestattet. Was aber das allgegenwärtige Buzzword Internet of Things betrifft: In den Endgeräten, die zukünftig milliardenfach ans Netz angeschlossen sein werden, sieht CEO Knut Degen die Softwareplattform nicht: „Ich glaube nicht, dass wir in den Temperaturfühlern der Heizung drin sind Aber dann kommt der Stromzähler. Der arme Stromzähler hat drei Feinde: den Benutzer, der natürlich gerne seine Stromkosten reduzieren möchte und das Gerät hacken will, dann die Stromanbieter, denen man vielleicht auch nicht traut und zuletzt die Hacker, die das als Interface nehmen. Das Gerät muss hoch sicherheitskritisch sein. Sobald es also um Sicherheit geht – im Sinne von Safety und Security – sind wir im Spiel.“

Die Hypervisor-Technik zwinge die Gerätehersteller zudem, die Sicherheitsanforderungen zu strukturieren: „In einem klassischen Betriebssystem ist das alles ein Brei. Da ist alles in einem Prozess drin oder wird von einem Kernel gemanagt. Allein schon zu sagen: "Du musst das auf mehrere Partitionen verteilen", zwingt die Architekten dazu, sich über die Sicherheit Gedanken zu machen.“

Darüber hinaus kann sich Degen vorstellen, dass die Erfahrungen aus dem Volkswagen-Skandal dazu führen, auf Steuergeräte mit mehreren Partitionen zurückzugreifen: „Heute ist es ja so, dass der Tier-One-Zulieferer für jeden OEM die Customization selber übernimmt – mit dem Effekt, dass wenn der OEM Mist baut, auch der Tier One im Kreuzfeuer steht.“

Künftig könnte die Lösung so aussehen: Der Tier-One-Zulieferer könnte dem Automobilhersteller das Gerät mit der Grundfunktionalität zur Verfügung stellen, die sich in der einen Partition befindet. In der zweiten Partition befindet sich die vom Autohersteller entwickelte Steuerlogik. Beide können miteinander kommunizieren, aber die vom Zulieferer entwickelte Funktionalität ist von der des OEM klar getrennt.

Insgesamt hat Sysgo eine deutsche, aber mehr noch, eine europäische Erfolgsgeschichte im Bereich der Embedded-Software geschrieben – auch deshalb, weil Airbus als Early Adopter das Potenzial der Technik frühzeitig erkannt hatte. Das Ziel für die kommenden Jahre hat CEO Knut Degen auf jeden Fall klar vor Augen: „Unser Ziel ist es, dass wir 2020 die Nummer-1-Alternative zu amerikanischen Anbietern sind.“

Artikelfiles und Artikellinks

(ID:44453395)