KNOW-HOW
Secure Boot
Mikrocontroller und elektronische Steuerungen bestimmen unser Leben. Von Atomkraftwerken über Industrieanlagen bis hin zu Zügen findet man sie überall. Vor weniger als 10 Jahren waren dies noch kleine Kästen mit
proprietärer Hard- und Software: Inseln ohne Datenverbindung zur Außenwelt. Im Fehlerfall kam ein Servicetechniker zur Anlage. Zur Zeit- und Kostenreduktion werden immer mehr Steuerungen online verfügbar gemacht.
Der Techniker kann so viele Incidents remote lösen. Dies eröffnet aber ein komplett neues Bedrohungsszenario:
Cyber-Physical-Attacks.
Motivation für einen Angriff
Integrität: Warum sollte jemand eine Steuerung
manipulieren? Denken Sie hier an Terrorismus oder
Geheimdienste? Möglich, man denke an Stuxnet.
Und Sabotage? Klingt zwar unwahrscheinlich aber
was ist ein Hackerangriff auf eine unzureichend
geschützte Steuerung anderes als Sabotage?
Bei einer offline betriebenen Steuerung
muss ein Saboteur vor Ort sein, um Schaden
anzurichten. Er muss sich Zutritt verschaffen
verbunden mit dem Entdeckungsrisiko. Bei
einem online zugänglichen System und einer
damit verbundenen Cyber-Attacke ist das Risiko
für den Angreifer minimal. Der Angreifer kann
sein Wissen bündeln und unerkannt mit vielen
Gleichgesinnten zusammenarbeiten. Dabei spielt
es keine Rolle, ob er dies aus politischen Gründen
macht, jemanden erpressen will oder einfach nur
beweisen will, dass er es kann.
Aber auch ein Betreiber kann ein Interesse
haben, die Steuerung zu manipulieren, um seine
6
Maschine oder Anlage zu „tunen“. Doch der
Betrieb außerhalb der vorgesehenen Parameter
birgt Risiken, von denen erhöhter Verschleiß
noch das Geringste ist. Aus Gewährleistungsund Haftungsgründen möchte der Hersteller
dieses Tuning unterbinden oder doch zumindest
nachweisen können.
Vertraulichkeit: Industriespionage ist ein weiteres
oft unterschätztes Be ??[????[?\?[??????YH??\??\?[Y]\?\??]?ZX?\??[?]X?YH?]Y\???Z?\?[?Y?H?[????YB??]?Z[Y?[????\??[?[?0????[?\?\??[??]X??Y\??\?Z[??X?Z[?H?[[?H???]?[H[??][?YX??Z????[?X[?[?X?[?Q?[Y[??[[Y\?????YZ?\?]Y??[?H]ZY[???Y?ZY??\?[?\??Y?[]Y??X[[??\?[Y[???\?\?Z[????[??????Y\??????[??Y\?H?????HZX?X[?\[Y\??\?[??\??][?YX??Z?ZX?YZ\?[?\??[??[?\??[??ZY?\??[??YH][???[?H[?[\??ZB?[?[\?Y\?[?????YH]\??X?ZX???0??[???Y[H?]Y\?[??[??]?[?]]H]Y??[?\?\??\?H?YH[?\??YKT??Z]?[?\??]?YX???\?[Y[??YH?????S???[?????\?[?^[X?YY?]X?YB?]Y??Z]U[Y?X?[??\??]Y\?[??\???Z[??[YZ[??[Y\??[?\?
?[H?Z\?Y[???T?T?K??]0??X???H\??Y?[???[B??[[?KS?]??\??\????H[??\?]?[0???[??[??\??0???Z[??Y\?\?X?\??Z[??]\?ZX?[?\???]????YH?]Y\?[???[????\?[??ZY?\?\?Y\?H0??H0??\???[??[??]?[???X???ZH[H[?\??[??]??]?Y?[???\????\?[??Y?[?????0???[???YB????[?\???YYX?\??[?[?YY?[???[??\??0??]Y?[H?X??\?\??\??X?]X??Z?\??HZ[??\?[]?\?[H?\????\???Z[??[???YH?Z[???????\??YY?ZX?????Z[?[?X??[Y\?X??Z?\??\?YB??ZZ[?\?[??\?ZX?[?[?\????\?[B?\???\]H?\?[H?H???[\Y\?[????