SCCH: Neue Methoden zum Schutz von Softwaresystemen und KI-Modellen

In immer mehr Produkten bzw. Produktionsprozessen steckt Software, die wertvolles unternehmenskritisches Wissen enthält. Die Software und das darin enthaltene geistige Eigentum (IPR) zu schützen, ist für die Industrie eine zunehmende Herausforderung. [...]

Roland Pucher (Leiter des Cybersecurity & Innovation Labs bei PwC Österreich) und Thomas Ziebermayr (Leiter des COMET-Moduls DEPS). (c) SCCH

Seit Jänner 2022 forscht das Software Competence Center Hagenberg (SCCH) gemeinsam mit wissenschaftlichen Partnern, Unternehmens-partnern wie PwC Österreich sowie weiteren Industriepartnern im Forschungsprojekt DEPS (Dependable Production Environments with Software Security) an neuen, verbesserten Methoden zum Schutz von Software und KI-Modellen. Diese Methoden gewährleisten, dass Software nur in Verbindung mit originaler Hardware funktioniert und nicht kopiert werden kann.

Software und KI-Modelle enthalten nicht nur unternehmenskritisches Wissen von enormem Wert, sondern erfordern auch erhebliche Ressourcen für ihre Entwicklung, den Betrieb und die Wartung. Dass dieser hohe Aufwand illegale Kopierversuche bzw. Hackerangriffe anzieht, liegt auf der Hand. Das Ziel von DEPS ist, gemeinsam mit den Projektpartnern Methoden zum Schutz von Software und KI-Modellen zu entwickeln.

Cyber-Resilienz erhöhen

Zu diesem Zweck wird an Methoden geforscht, um einen eindeutigen Hardware-Fingerabdruck zu erzeugen und zu verwenden. Dieser „Fingerabdruck“ basiert auf den spezifischen Eigenschaften der Speicherbausteine der Hardware, anhand von Produktunterschieden und wird durch neue, sichere Methoden untrennbar mit der Software bzw. den KI-Modellen beispielsweise in eingebetteten Systemen, Robotern und Produktionssystemen verknüpft. Zusammen mit anderen Sicherungsmaßnahmen, wie z.B. der Verhinderung von Reengineering oder sicheren Updateketten, ergibt sich so ein umfassender Schutz gegen Raubkopien und Manipulation. „So einfach der Ansatz ist, so anspruchsvoll und schwierig ist er in der Umsetzung“, sagt Thomas Ziebermayr, der das COMET-Modul DEPS leitet.

Umfassende Analyse durch Cybersecurity Experten

Bedrohungsmodellierung und Risikomanagement spielen eine zentrale Rolle beim wirksamen Schutz von Softwaresystemen. Im Rahmen des Projekts analysieren die Cybersecurity Experten von PwC Österreich gemeinsam mit dem SCCH konkrete Anwendungsfälle der beteiligten Industriepartner und deren Softwaresysteme sowie KI-Modelle. Im Rahmen der Bedrohungsmodellierung werden die Anforderungen an den Schutz geistigen Eigentums (IPR) sowie potenzielle Schwachstellen und Angriffsszenarien durch Hacker erfasst. Ziel ist es zu identifizieren, wo unternehmenskritisches, wertvolles und schützenswertes Wissen hinsichtlich IPR-Schutz steckt und wie mit DEPS die Schutzmechanismen weiter verbessert werden können.

„Der Schutz des geistigen Eigentums in Industriekomponenten ist ein wesentlicher Aspekt, um die Wettbewerbsfähigkeit der Industriepart-ner zu erhalten. Die Unternehmen investieren erhebliche Ressourcen in die Forschung & Entwicklung von fortschrittlichen Softwarekomponenten und KI-Modellen. Unser Fachteam unterstützt die Industriepartner bei der Bedrohungsmodellierung und bei der Weiterentwicklung der Schutzmechanismen gegen Produktpiraterie sowie Cyberkriminalität“, betont Roland Pucher, Leiter des Cybersecurity & Innovation Labs bei PwC Österreich.

Durchleuchtet wird zudem der Aufbau der Software- bzw. Hardware-Architektur, auf welchen Systemen die Software läuft, und wie sie miteinander verbunden sind. All diese Analysen ergeben die Anforderungen, die wiederum in die Forschung der Schutzmethoden ein-fließen. Ergänzend können die PwC-Experten zu Testzwecken auch konkrete Hackerangriffe auf Softwaresysteme und Industriekomponenten simulieren.

Schutzmechanismus anwenden

Der entwickelte Schutzmechanismus wird immer in einer spezifischen Software- und Hardwareumgebung eines Partnerunternehmens angewandt, wodurch, wenn man so will, ein Prototyp entsteht, der genau jene Bedrohungspunkte bzw. Schwachstellen schützen soll, die die P.A.S.T.A.-Methodik erhoben hat. Als nächster Schritt werden die Anforderungen an die Methoden in die Evaluierung mit einbezogen, bei der mit Unterstützung von PwC fachlich überprüft wird, ob die Schutzmethodik effektiv ist. Zusätzlich wird geprüft, ob der Schutzmechanismus in realer Umgebung korrekt funktioniert. Neben vielen anderen Aspekten wird kontrolliert, ob er in Echtzeit auf Produktionsanforderungen reagiert oder ob er eventuell zusätzlichen Speicher benötigt, um nur zwei zu nennen.

„In den ersten, derzeit noch laufenden Analysen gemeinsam mit den Partnern konnten wir bereits interessante Aspekte behandeln sowie vielversprechende Ergebnisse erzielen. Dadurch können wir den Unternehmen ein gutes Bild möglicher Gefahren skizzieren. Diese Analysen sind wertvolle Erkenntnisse für sie, aber auch ein wichtiger Input für uns Forscher“, erklärt Thomas Ziebermayr, Projektleiter SCCH, den Nutzen für heimische Betriebe.

Maßnahmen gegen Cyberangriffe: Erhöhung des Cyberbudgets

Im Rahmen der „PwC Global Digital Trust Insights Survey 2022“ wurden 3.522 Führungskräfte in 65 Ländern, darunter 30 aus Österreich, nach den größten digitalen Risiken für ihre Geschäfte 2023 gefragt. 77 % der heimischen Unternehmen nannten Gefahren durch Cyber-kriminelle als größte Bedrohung. Als Resultat folgt ein Aufrüsten in der Cybersicherheit: 60 % der heimischen Unternehmen möchten ihre Cyberbudgets 2023 weiter aufstocken. „Die Tricks der Cyberkriminellen werden immer raffinierter. Wo sie durch bestens entwickelte Software-Systeme, Firewalls und Virenscanner nicht weiterkommen, versuchen sie, Anwender:innen durch Täuschung zur Installation von Schadsoftware oder Herausgabe sensibler Daten zu bewegen“, so Roland Pucher. „Die Experten von PwC liefern mit ihrer Analyse einen wichtigen Beitrag zur weiteren Entwicklung der Schutzmechanismen. Darüber hinaus werden sie uns bei der Evaluierung unterstützen. Ein Meilen-stein ist der Proof of Concept, bei dem wir die Funktionstüchtigkeit der Mechanismen in der Praxis testen und Angriffe simulieren wer-den“, erklärt Ziebermayr.

Durch die im COMET-Projekt DEPS entwickelten Schutzmechanismen werden also nicht nur monetäre Gewinne sowie der Know-how-Vorsprung geschützt, sondern auch Arbeitsplätze gesichert. COMET-Modul ist eine Programmlinie des Förderungsprogramms COMET (Compentence Centres for Excellent Technologies). Gefördert werden Projekte, die zukunftweisende Forschungsthemen etablieren, um den Forschungsstandort Österreich für zukünftige Herausforderungen zu stärken. Das Forschungsprogramm wird von Wissenschaft und Wirtschaft gemeinsam definiert. COMET-Module zeichnen sich durch besonders risikoreiche Forschung aus, die deutlich über den Stand der Technik hinausgeht.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*