CEO-Interview mit Dan O‘Dowd

Die Bedrohungen durch mangelnde Software-Sicherheit ernst nehmen

29.01.2008 | Redakteur: Martina Hafner

Wir müssen rasch Lösungen mit „absoluter Sicherheit“ einsetzen – das Problem ist zu wichtig, als dass man es ignorieren könnte.“ Dan O‘Dowd, CEO und Gründer von Green Hills Software
Wir müssen rasch Lösungen mit „absoluter Sicherheit“ einsetzen – das Problem ist zu wichtig, als dass man es ignorieren könnte.“ Dan O‘Dowd, CEO und Gründer von Green Hills Software

Mit einem sicheren Hypervisor bietet die auf Safety und Security-Betriebssysteme spezialisierte US-Firma Green Hills Software eine Lösung, um Embedded- und Desktop-Systeme zuverlässig vor unerwünschten Zugriffen zu schützen. ELEKTRONIKPRAXIS sprach mit Firmengründer und CEO Dan O´Dowd über die akute Bedrohung der vernetzten Welt durch Hacker und mangelndes Bewußtsein für die damit verbundenen Gefahren im Embedded-Markt.

Herr O‘Dowd, im Film „Stirb Langsam 4“ hacken sich Cyber-Terroristen in das Sicherheitssystem der Vereinigten Staaten ein und übernehmen die Kontrolle über die digitale Infrastruktur des Landes. Für wie wahrscheinlich halten Sie derartige Szenarien in der Wirklichkeit?

Die meisten Szenarien sind realistisch – es gab bereits vergleichbare Ereignisse, die zeigen, dass vieles absolut durchführbar ist. Geben Sie den Begriff „hacked security systems“ in eine Suchmaschine ein, und Sie haben den ganzen Tag zu tun, die Geschichten von CNN, MSNBC und anderen zu durchforsten (siehe auch Links unten).

Sie erwarten eine stark wachsende Nachfrage bei Sicherheitslösungen für Embedded-Systemen. Warum?

Embedded-Systeme steuern und kontrollieren mittlerweile so viele Bereiche in unserem Leben, im persönlichen Umfeld und in der Infrastruktur. Weil sie miteinander vernetzt sind, sind sie noch anfälliger gegen koordinierte Angriffe von außen. Die Situation bessert sich nicht, und weil ernsthafte Sicherheitsmängel bestehen, steigt das Potenzial für einen gravierenden Zwischenfall. Der „Stirb-Langsam“-Film ist nicht allzu weit von der Realität entfernt.

Die USA und andere Länder beginnen sich über einen möglichen ernsthaften Zwischenfall, der jederzeit auftreten könnte, Sorgen zu machen. Diese Erkenntnis ermöglicht es Unternehmen wie Green Hills, einer „echten“ Sicherheit den Weg zu ebnen. Allerdings müssen wir rasch handeln, das Problem ist zu wichtig, als dass man es ignorieren könnte. Ich befürchte aber, dass erst ein größerer Zwischenfall der Anstoß für Veränderungen bei der Absicherung von Systemen sein wird.

Mit welchen typischen Methoden greifen Hacker Embedded Systeme an?

Die Infrastruktursysteme, die am kritischsten sind, werden unter Verwendung von Linux oder Windows gebaut – muss ich mehr dazu sagen? Sowohl Windows als auch Linux weisen Hunderte bekannter kritischer Sicherheitsprobleme auf, und täglich werden neue entdeckt. Das ärgerlichste daran: Die Hacker, vom Neuling bis zum Fortgeschrittenen, kennen diese Schadensanfälligkeit. Wirklich, das Hacken ist äußerst einfach, nachdem zahlreiche Websites bis in alle Einzelheiten zeigen, wie man angreifen kann, vom Handy bis zum Kraftwerk. Mich überrascht nur, dass wir schon so lange vor Angriffen verschont geblieben sind.

Welches sind die wichtigsten Sicherheitskonzepte für Embedded-Systeme?

Wir haben es mit einem Szenario des schwächsten Glieds zu tun. Es ist nahezu nutzlos, irgend etwas zu unternehmen, wenn man nicht absolut denkt und die gesamte Basis abdeckt. Neun von zehn Schritten korrekt zu gehen ist nicht viel besser als nur einen von zehn korrekt zu gehen. Hacker greifen immer an der schwächsten Stelle an.

In den USA ist MILS, also Multiple Independent Levels of Security, das akzeptierte Sicherheitskonzept, es bietet ein Hilfsmittel zum Erreichen einer absoluten Sicherheit. Andere Länder könnten diese oder eine vergleichbare Methode ebenfalls einsetzen. Das Problem liegt darin, dass ein typisches Szenario normalerweise aus einer einzigen Barriere besteht. Unsere Systeme müssen, um ein Eindringen zu verhindern, mehrere Sicherheitsebenen besitzen.

Sie sprechen derzeit mit vielen Kunden über Sicherheit in Embedded-Software. Haben Sie den Eindruck, dass für dieses Thema genügend Aufmerksamkeit und Verständnis vorhanden ist?

Ohne Zweifel ist nicht genug Bewusstsein oder Verständnis vorhanden. Die Branche sieht Sicherheit zuweilen als nachträgliche Überlegung. Der überwiegende Teil war bisher nicht Opfer eines Angriffs, so dass für viele alles nur Theorie ist. Man verlässt sich auf die Common Criteria der EAL 4+-Zertifizierung, die bestenfalls unzureichend sind, wie folgende Statements zeigen:

  • „Sicherheitsexperten sagen seit langem, dass die Sicherheit der Windows-Produktfamilie (zertifiziert nach EAL 4) hoffnungslos unzureichend ist. Nun gibt es eine strenge staatliche Zertifizierung, die dies bestätigt.“ – Jonathan Shapiro, Johns Hopkins University
  • „EAL 4 bietet Schutz gegen…unabsichtliche oder gelegentliche Versuche, die Systemsicherheit zu durchbrechen.“ – Protection Profile
  • EAL 4 dient nicht zum Schutz „gegen entschlossene Versuche durch feindliche, kapitalkräfige Angreifer zum Durchbrechen der Systemsicherheit.“ – Protection Profile

Was sind typische Einwände von Kunden?

Kunden möchten ihre Software nicht neu schreiben, das ist teuer und zeitraubend. Mit dem Konzept von „Padded Cell“ haben wir jedoch eine Lösung, die es ermöglicht, die alte Software weiter zu benutzen und mit wenig Aufwand absolute Sicherheitsfeatures hinzuzufügen. Schritt eins besteht darin, ein sicheres Betriebssystem auf die Hardware zu bringen und dann die alte evtl. EAL 4-Software in den sicheren Hypervisor (EAL 6+) zu verlegen. Das verbessert die Systemsicherheit und Zuverlässigkeit sofort und verhindert, dass die alte Software das zugrunde liegende System beeinträchtigt.

In Schritt 2 müssen die sicherheitskritischen Komponenten der Originalsoftware neu geschrieben werden, und zwar als getrennte Applikationen, die direkt auf dem sicheren Betriebssystem laufen. Das ist alles. Diese Migration lässt sich mit Windows, Linux oder jedem anderen, nicht sicheren Betriebssystem erreichen.

Sie sprechen von „absoluter Sicherheit“. Bleibt nicht immer ein Restrisiko?

Man KANN absolute Sicherheit erreichen, darum handelt es sich bei EAL 6+; die Common Criteria führen zu einer absoluten Sicherheit:

  • Jede Zeile Sicherheitscode wird dokumentiert und getestet.
  • Die Sicherheit wird mathematisch verifiziert.
  • Es wird sichergestellt, dass das System Penetrationstests durch die NSA (nationale Sicherheitsbehörde) oder zertifizierte Behörden anderer Länder standhält.
  • Sie sind sicher gegen Angriffe von Insidern und/oder Entwicklungsteams.

Man erreicht absolute Sicherheit, indem man bei kritischen Systemen eine EAL 6+-Zertifizierung vorschreibt. INTEGRITY ist das erste Betriebssystem, das jemals durch die NSA (National Security Agency) in einer EAL6+-Zertifizierung akzeptiert wurde. Wenn die NSA beweist, dass der Code nicht zu hacken ist, wie soll dann ein Hacker eindringen können…besonders wenn man berücksichtigt, dass die NSA den Quellcode besitzt, was bei einem Hacker nicht der Fall wäre. Sobald wir zertifiziert sind, werden wird mehrere Nachweise für unterschiedliche Ebenen haben – und das verstehen wir unter ABSOLUTER Sicherheit.

Ist es immer wirtschaftlich sinnvoll, ein hinreichend sicheres Embedded-System zu haben?

Es mag womöglich einige wenige Millionen Dollar kosten, ein Produkt sicher zu machen. Doch ist das in vielen Fällen sehr wenig, wenn man die Alternative sowie die Gesamtkosten des Systems mit berücksichtigt. Um ein elektrisches Kraftwerk sicher zu machen, dessen Bau ungefähr eine Milliarde Dollar kostet, sind ein paar Millionen Dollar ein geringer Kostenaufwand. Dasselbe gilt für Autos, bei denen 500 bis 1000 Dollar für persönliche Sicherheit ausgegeben werden (Airbags, Warneinrichtungen etc.) und die Kosten zur Sicherung der Elektronik pro Einheit weit darunter liegen. Die Telekommunikation ist eine weitere Branche, in der eine Sicherheitslücke großen Schaden anrichten könnte, nicht nur wegen der Auswirkung auf die Kunden, sondern auch wegen der Strafen durch die FCC oder andere finanzielle Sanktionen für ein nicht funktionsfähiges System.

Eine persönliche Frage: Als Bürger von Nordamerika leben Sie in einer vernetzen Welt; als CEO von Green Hills sind Ihnen die damit verbundenen Bedrohungen besonders bewusst. Hat dieses Bewusstsein etwas in Ihrem Leben verändert?

Mein Bewusstsein wurde besonders geweckt, seit meine Kreditkarte gehackt wurde, als ich 2004 online war. Das war der Hauptauslöser für den Aufbau der INTEGRITY PC-Produktfamilie. Damit waren wir bereit, über den reinen Embedded-Markt hinaus zu gehen. Da ein Großteil der Bevölkerung den Wunsch nach mehr Sicherheit im Desktop-Bereich hat, war dies eine leichte Entscheidung. Gerade der Padded Cell Secure Hypervisor ermöglicht es jedermann, Sicherheit in Geräte wie z.B. seinen Heimcomputer einzubauen.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 238990 / Software-Entwurf & Echtzeit-Design)