Digitale Souveränität erfordert Offenheit

Expertenkommentar: Sichere, offene IT-Wertschöpfungskette

Autoren: Arnd Weber (ITAS-KIT), Christoph Krauß (Fraunhofer SIT), Steffen Reith (Hochschule Rhein-Main)

“IT-Sicherheit kann durch die Nutzung validierter, offener Komponenten in der gesamten IT-Wertschöpfungskette erreicht werden. Der Weg dahin verläuft analog zur Durchsetzung von Linux: Enthusiasten und Forscher entwerfen Komponenten, die Industrie partizipiert und stellt die Verfügbarkeit der Komponenten über Jahrzehnte sicher, entsprechend der Nutzung der damit hergestellten Geräte.

Die IT-Industrie steht vor einer Reihe von Problemen:

• Unbekannte Schwachstellen oder absichtlich eingebaute Hintertüren hängen wie ein Damoklesschwert über der IT in wichtigen Infrastrukturen und Produkten. Diese Schwächen können sich an den üblichen Stellen befinden, wie im Betriebssystem (beispielsweise Wannacry), aber auch in Prozessoren (beispielsweise Meltdown, Spectre) und in Entwicklungswerkzeugen, wie Compilern oder in den Tools zur Halbleiterherstellung.
• IT-Systeme, selbst relative kleine für das „Internet of Things“, bestehen aus einer Vielzahl von irgendwo hergestellten Komponenten, zum Beispiel „Intellectual Property“-Cores in Chips. Die so gebauten Chips sind damit für einen Entwickler in der Regel „Black Boxes“ und er muss darauf vertrauen, dass diese korrekt arbeiten und keine Hintertüren oder ähnliches eingebaut haben.
• Die kostengünstige Herstellung von Chips in Asien schafft Abhängigkeiten und kann sowohl zu gefälschten Chips als auch zum Diebstahl von Produktdesigns führen.

Aktuell gibt es Ansätze, den Erfolg von Open Source Software mit dem Bau von Open Source Hardware, wie etwa den RISC-V-Prozessoren, zu wiederholen. Frans Sijstermans hat die Motivation des Grafikkartenherstellers Nvidia, an dieser Entwicklung teilzunehmen,
geschildert: „Open Source unterliegt vielen Kontrollen. Die besten Hochschulforscher schauen sich die Architektur an. Bei RISC-V könnte man argumentieren, man hilft den Wettbewerbern, die die Ergebnisse einfach nehmen können, ohne wie Du selbst gezahlt zu haben. Das ist aber ein falsches Denken. Jeder wird Vorteile haben, wenn wir alle zusammenarbeiten. Die Arbeit an der Sicherheit hätte wohl nicht stattgefunden, wenn wir nicht gesagt hätten, dass die Sicherheit schon ganz früh berücksichtigt werden muss.“

Nvidia und Western Digital kündigten an, Milliarden von RISC-V-Prozessoren, die die Prinzipien der Open Source Hardware kommerziell umsetzen, schon in diesem Jahr auf den Markt zu bringen. Wir denken, dass ein ähnlicher Prozess zum Bau wiederverwendbarer Schlüsselkomponenten für die deutsche Industrie, ja letztlich für alle Industrien der Welt vorteilhaft wäre. Im Falle der starken Verbreitung offener Hardware muss man damit rechnen, dass auf vorgelagerten Ebenen, wie in der Halbleiterfertigung, Hintertüren eingebaut werden. Als Gegenmaßnahme wäre dann ein Wandel der globalen Struktur der Halbleiterindustrie nötig: Investoren könnten mehr regionale Fabs betreiben und sie könnten für ihre Kunden oder für externe Experten transparenter werden; es wurde sogar angedacht, dass Open-Source-Enthusiasten eine Fab betreiben.

Ähnlich besteht Handlungsbedarf bezüglich der Validierung der entstehenden Komponenten. Ein gutes Ziel wäre die Schaffung eines Baukastens mit bewiesenermaßen sicheren oder umfassend validierten offenen Komponenten sowie entsprechenden Entwicklungstools.
Während Enthusiasten bereits dabei sind, offene Tools für die gesamt Wertschöpfungskette zu bauen, müssen diese für die industrielle Nutzung noch verbessert werden. Immerhin sind die Tools bereits heute so gut, dass sich einfache Open-Source-Prozessoren damit bauen lassen.

Insgesamt besteht damit reichlich Forschungs- und Handlungsbedarf. Die Autoren haben deshalb, gemeinsam mit Michael Kasper, Dirk Kuhlmann und Jean-Pierre Seifert, eine Initiative mit dem Kürzel Quattro S (Security, Safety, Sovereignty, Social Product) gegründet, um diesen Prozess voranzutreiben.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Digitale Souveränität erfordert Offenheit
2. Open Hardware Communities
3. Expertenkommentar: Sichere, offene IT-Wertschöpfungskette
4. Hintergrund: Zum Projekt

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Embraceable AI

Die nachvollziehbare KI

Tierisch langweilig

Roboter bringt Affen zum Gähnen

Spezialist für Penetrationstests

Kalweit ITS nimmt den Mittelstand ins Visier

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler