Hardware Based Security – nur sicher ist sicher!

Hardware Based Security ist ein wichtiges Thema, vor allem angesichts von Sätzen, die Sie sicher schon mal gehört haben: „Die Welt läuft mit Software“ („The world runs on software“), oder auch die etwas negativer konnotierte Variante „Software is eating the world“ („Software frisst die Welt“). Das mag in den 10er Jahren dieses Jahrtausends sicherlich schon passend gewesen sein, und ist es heute immer noch, mehr denn je sogar: Wir finden uns in einem unüberschaubaren Wust an Software, Aktualisierungen, Updates, in immer kürzer werdenden Zyklen. Neue Software löst alte Software ab, und die Security bleibt für den Endanwender, auch und vor allem aber für Großunternehmen, ein Drahtseilakt. Ganze Abteilungen widmen sich dem Thema der Sicherheit, und die moderne Mathematik und Data Science verspricht uns im Rahmen der Kryptographie höchstmögliche Sicherheit. Doch wo Software ist, da lauern auch Hacker. Längst geht es nicht mehr nur um private Bilder, Dokumente oder auch Kundendaten – insbesondere im Automotive-Bereich geht es um Fahrersicherheit, um absolute Zuverlässigkeit für lebenswichtige Funktionen. Es liegt in der Natur jeder Software, grundsätzlich verwundbar zu sein für kriminelle Energie, die sich dem Wandel der Software-Zeit anpasst und Exploits sucht – und findet.

Sebastian Huber

Cloud IT Professional

3.08.21

Ca. 7 min

Sharing is caring!

Hardware Based Security – Wieso Kryptographie nicht der Heilsbringer sein kann

Natürlich: Moderne Verschlüsselungsverfahren helfen, nun, sicher zu sein. Das Problem indes ist, dass Kryptographie mit Keys arbeitet – starke Algorithmen, wie z.B. Elliptic Curve Cryptography (EEC), machen Angreifern das Leben schwer und die Profession mitunter unmöglich. Allerdings sind Keys in aller Regel in die Software eingebettet. Ist das System erst kompromittiert, ist es auch der Key, und somit sind es auch die verschlüsselten Daten.

Hier kommt nun endlich die Hardware-basierte Sicherheit, auf Englisch Hardware Based Security ins Spiel: Anstatt das Schlüsselmaterial in der Software zu verwalten, wird es in einem Hardware Security Modul (HSM) gespeichert, das besonders gegen Zugriffe von außen geschützt ist. HSMs werden immer dort benötigt, wo ein erhöhter Schutzbedarf erforderlich ist. Das kann überall in der Applikationslandschaft eines Unternehmens der Fall sein, von Sales bis Produktdatenmanagement.

Nur allzu oft jedoch sitzen in eben jenen Abteilungen keine Security-Experten. Welcher Stecker gehört wohin, welcher Pin, welche Software, welches Steuergerät, um explizit in der Automotive-Umgebung zu bleiben?

Wieso die ESG Mobility im Bereich Hardware Based Security der richtige Ansprechpartner ist

Die ESG Mobility ist auf dem Feld der Hardware Based Security bereits seit 2016 tätig und zählt zu den absoluten Wunschpartnern auf diesem Gebiet, hat bereits mehrere Ausschreibungen mit namhaften Herstellern für sich entscheiden können, wie zum Bespiel die Arbeit an BMWs Automotive Security Backend Center. Das gelang dank hoher Expertise – und einem Bewusstsein für die Nische im Bereich der Hardware Based Security. Pen-Testing können auch andere – die Mobility weiß allerdings Algorithmen richtig einzusetzen und bindet diese so ein, dass daraus eine sichere Anwendung entstehen kann.

Hardware Based Security - gesichertes Steuergerät

Auch die Entwicklung bleibt natürlich nicht stehen. Um Anwendungen sicher für die Gefahren von morgen zu machen, werden neuartige und an Universitäten entwickelte Algorithmen (z.B. Post-Quanten-Kryptographie) schon heute in der Applikationsentwicklung berücksichtigt, um zum Beispiel neue Steuergerätegenerationen absichern zu können.

An dieser Stelle Klartext: Im Verbund mit Sicherheit ist auch das Thema der Funktionalen Sicherheit, ebenfalls eine Kernkompetenz der ESG Mobility, ein wichtiges – ein gutes Stichwort für Automotive-Hersteller wäre hier das Chiptuning: Neue Software muss aufgespielt werden, das ist unumgänglich, aber natürlich soll dies ausschließlich dem Automobil-Hersteller möglich sein. Dank der hardwarebasierten Security ist es möglich, die Software ausschließlich mit einem speziellen Key zu „unterschreiben“. Das Steuergerät prüft diesen Schlüssel, und nur, wenn es diesen kennt und die Signatur gültig ist, wird die Software aufgespielt. Ein Verfahren, das auch in der Robotic Process Automation eine wichtige Rolle spielt. Bestehende Anwendungen zu updaten und weiterzuentwickeln sowie neue Algorithmen und HSMs einzubinden, ist eine der Hauptaufgaben der Hardware Based Security, die die ESG Mobility seit 2016 wahrnimmt – erfolgreich, wie auch jüngste und erfolgreich gewonnene Ausschreibungen für große und namhafte Hersteller belegen.

Hardware Based Security in der Cloud – Kryptographie der Moderne

Keine Sorge – wir haben mitnichten vor, die Moderne zu kryptographieren. Aber Ihre Daten. Und wo Hardware Based Security bislang „on premise“ stattfand, also selbst gehostet, auf eigenen Servern im Rechenzentrum, ist die ESG Mobility aktuell dabei, diese Anwendungen in die AWS Cloud (Amazon Web Services) zu bringen. Sicher – dieser Vorgang ist kompliziert, da sich der bisherige Vorgang in der Hardware Based Security zwar seit Langem bewährt hat, weshalb große Hersteller wie BMW unverändert darauf setzen, was aber mit hohem Aufwand für Einrichtung und Wartung verbunden ist. AWS bietet im Gegenzug eine Managed Hardware-Unterstützung für Kryptographie an, spezifisch genannt das sogenannte Cloud HSM Hardware Security Module. Auch, wenn dieses aktuell nur einen kleinen Teil der verwendeten Algorithmen beherrscht, liegt sein Reiz in der einfachen Einrichtung und Einbindung, gebündelt mit den Vorzügen der Cloud wie z.B. Verfügbarkeit und Geschwindigkeit. Zwar sind neuartige Post-Quanten-Algorithmen derzeit noch nicht in der Cloud verfügbar, aber die meisten Standardalgorithmen sind vorhanden, und das Gros der Requests lässt sich problemlos verarbeiten.

Hardware Based Security - Symboldarstellung eines Rechenzentrums

Zukunftsmusik: Welche Möglichkeiten bietet die Hardware Based Security?

Insbesondere das Secure Boot ist ein stets im Auge zu behaltendes Thema, dessen die Mobility sich annimmt. Wie im BIOS eines normalen Computers ist im Secure Boot eine Sicherung vorhanden, die selbst Änderungen im Bootloader, beispielsweise durch ein Virus ausgelöst, erkennt und den Boot-Vorgang des Betriebssystems verhindert. Nach dem gleichen Prinzip funktioniert das Secure Boot beim Steuergerät, welches in die Hardware eingegossen wird. Das Steuergerät prüft die kryptographische Signatur des Boot Loaders, der wiederum alle folgenden Bootstages prüft, bis die Software des Steuergeräts gestartet ist. Und das ist extrem wichtig – so werden unberechtigte Zugriffe und Manipulationen erkannt – und abgewehrt.

Diese Prozesse erforscht die ESG Mobility mit ihren Experten rund um Sebastian Huber von Anfang an mit und gehört somit zu den versiertesten Anbietern auf dem Automotive-Markt betreffend Lösungen, Entwicklung und Wartung im Bereich der Hardware Based Security. So gelingt es uns, ein sicheres Morgen auch für Ihre Anwendungen zu versprechen – und zu halten. Lösungen vor Ort, made in Germany, im Isar Valley: So geht Sicherheit. Hardware basierend, zukunftsorientiert, sicher. Mit Sicherheit.

Professional Sebastian Huber

Sebastian Huber

Cloud IT Professional