Stories
29.05.2007

Von Software-Architektur und Systemsicherheit

Computerwürmer und Viren stellen weiterhin eine Sicherheitsbedrohung dar. Hacker nehmen verstärkt Steuerungs- und Kontrollsysteme ins Visier...

Computerwürmer und Viren stellen weiterhin eine Sicherheitsbedrohung dar. Hacker nehmen verstärkt Steuerungs- und Kontrollsysteme ins Visier. Was kann dagegen getan werden? Ein Kommentar von Norbert Struck, Managing Director bei QNX Software Systems.

Norbert Struck: „Wir müssen Systeme schaffen, die von sich aus vertrauenswürdig sind.“

Norbert Struck: „Wir müssen Systeme schaffen, die von sich aus vertrauenswürdig sind.“

Bei der neuen Art der Cyber-Kriminalität geht es nicht mehr nur um Thrill und Berühmtheit, sondern um Profit. Hacken ist für echte Profis ein Vollzeit-Job. Und Unternehmen werden zur Zielscheibe, sobald sich ein Zugriff auf Unternehmensdaten für den Hacker lohnt oder er Firmen mit der Androhung einer Denial-of-Service-(DoS-)Attacke auf ihr System erpressen kann. Dabei kann eine Attacke auf überlebenskritische Embbeded-Kontrollsysteme katastrophale Folgen haben.

Firewalls, Software zur Entdeckung von Eindringlingen und Anti-Virus-Programme sind wichtig. Aber egal wie stabil die Barrieren sind, böswillige Hacker können und werden sie überwinden. Was wir wirklich benötigen, ist ein neuer Ansatz für das Design der Systeme, die wir schützen wollen. Ein Ansatz, der diese Systeme von sich aus resistent gegen ein Eindringen von außen macht und damit fähig, Angriffe zu überstehen. Alles andere wären lediglich Betonbarrieren um ein Kartenhaus. Diese Idee ist zwar nicht ganz neu – bereits in den 1970er Jahren wurden wegweisende Aufsätze über das Thema veröffentlicht –, aber sie wurde von der Software-Industrie weitgehend ignoriert.

Das entscheidende Prinzip lautet „Least Privilege“. Das heißt, eine Software-Komponente sollte lediglich die Rechte erhalten, die sie zur Erfüllung einer vorgegebenen Aufgabe benötigt. Wenn sie also beispielsweise Daten lesen, aber nicht modifizieren soll, sollte sie auch keine Schreibrechte haben – weder explizit noch implizit. Anderenfalls könnte sie zu einer Schwachstelle für böswillige Exploits oder Software-Fehler werden.

Der Großteil heutiger Betriebssysteme verstößt gravierend gegen dieses Prinzip. In einer monolithischen Betriebssystemarchitektur, wie Windows oder Linux, laufen Gerätetreiber, Dateisystemmanager und Protocol Stacks im Memory-Adressraum des Kerns auf höchstem „Privilege Level“. Jeder dieser Dienste kann praktisch machen, was er will. Folglich kann ein einziger Programmierfehler oder böswilliger Code in jeder dieser Komponenten die Zuverlässigkeit und Sicherheit des gesamten Systems gefährden. Dies ist vergleichbar mit einem Gebäude, bei dem ein Riss in einem einzigen Ziegelstein die gesamte Struktur zum Einsturz bringen kann.

Der Microkernel-Ansatz des Betriebssystems QNX Neutrino schafft einen gegen Angriffe von außen resistenten Kern

Der Microkernel-Ansatz des Betriebssystems QNX Neutrino schafft einen gegen Angriffe von außen resistenten Kern

Daher setzen viele Designer von Embedded-Systemen eine modulare Betriebssystemarchitektur ein, bei der Treiber, Protocol Stacks und andere Systemdienste außerhalb des Kerns als User-Space-Prozesse laufen. Dieser „Microkernel“-Ansatz, den QNX schon seit Jahrzehnten verfolgt, erlaubt nicht nur die Anwendung von „Least Privilege“ für Systemdienste. Er schafft ebenso einen gegen Angriffe von außen resistenten Kern, den Hacker nicht manipulieren oder verändern können. Darüber hinaus sorgt dieser Ansatz auch für überlebenswichtige Eigenschaften, wie Fehlertoleranz und Roll-back. So wird gewährleistet, dass das System trotz Treiberfehler korrekt läuft und die Auswirkungen ungewollter Vorgänge rückgängig gemacht werden können, während die Systemintegrität gewahrt bleibt.

Als Software-Designer, Entwickler und Manager müssen wir Systeme schaffen, die von sich aus vertrauenswürdig sind. Aber Vertrauenswürdigkeit ist nicht nur einfach eine zusätzliche Schicht, sondern Grundvoraussetzung. Wer von Anfang an auf eine Software-Architektur setzt, die die grundlegenden Sicherheitsprinzipien beachtet, wie die Abgrenzung von Rechten, ausfallsichere Standardeinstellungen, vollständige Interpolation oder ökonomische Mechanismen, vermeidet einen kostspieligen und harten Kampf.

Für den Aufbau von sicheren, überlebensfähigen Systemen gilt: Der Anfang bestimmt das Ende. Glücklicherweise sind die Grundprinzipien unserer Arbeit weder unerprobt noch undurchsichtig, sondern einfach gute und anerkannte Progammierpraktiken. Das Fundament wurde bereits geschaffen, lassen wir die nächste Generation innovativer – und sicherer – Systeme Realität werden.

Weitere Informationen unter www.qnx.de.

Produktberater für IP20-IO-Systeme

Finden Sie die passenden IP20-IO-Systeme mit dem Online-Produktberater Wie in einem Beratungsgespräch werden Sie interaktiv an die am besten passenden Produkte herangeführt.

Lesen Sie mehr...

In eigener Sache: Special Industrie 4.0

Das Thema Industrie 4.0 ist einer der größten Wachstumstreiber für die deutsche Industrie. In unserem 27-seitigen Special Industrie 4.0 informieren wir Sie über die Highlights, die Sie rund um das Thema unter anderem auf der Hannover Messe erwarten.

» E-Paper jetzt downloaden ...

» zur Android-App ...

» zur iPhone-/iPad-App...

Video-Tipp

der Redaktion

VDMA: Industrie 4.0 - Next Steps

Deutschland befindet sich inmitten eines technologischen Sprungs. Der deutsche Maschinenbau beflügelt seit Jahren weltweit den industriellen Fortschritt. Der Begriff „Industrie 4.0" steht dabei für die Vision einer vierten Industriellen Revolution.

Zum Schmunzeln

Psychiater zum Patient: „Halten Sie sich schon lange für einen Prinzen?"

Patient: „Nein, erst seitdem ich kein Frosch mehr bin …"

Copyright © VDE VERLAG GMBH, zuletzt aktualisiert am 01.07.2015