Von Smartphones bis hin zu leistungsfähigen Industriesystemen: Überall sorgt das Zusammenspiel von Hard- und (Steuerungs-)Software für die beste Performance. Thomas Ziebermayr forscht am SCCH an Dependable Production Systems (DEPS), um einen effizienten und sicheren Schutz von Software und KI-Modellen hinsichtlich des geistigen Eigentums sicherzustellen. [...]
Sie arbeiten am Schutz von (Steuerungs-)Software, um illegale Raubkopien oder reverse engineering zu verhindern. Wie sieht die Ausgangslage in Österreich bzw. der EU aus?
Immer mehr Produkte bestehen nicht nur aus Hardware, sondern enthalten einen wesentlichen Softwareteil. Von intelligenten Sensoren und dezentralen Steuerungseinheiten über medizinische Geräte bis hin zu leistungsfähigen Maschinen und Anlagen – alle enthalten Software oder auch KI-Module. Das Wissen, das dort drinnen steckt, erfordert einen großen Teil der Entwicklungskosten und braucht besonderen Schutz. Studien aus Deutschland (VDA Studie, Produktpiraterie 2020) zeigen, dass durch Raubkopien oder Reengineering enormer Schaden von zig Milliarden Euro entsteht.
Bilden Hardware und Software bei Industriesystemen kein unzertrennliches, einheitliches Produkt?
Produkte werden oft durch die Kombination von Hardware und Software gebildet. Die Software ist dabei maßgeschneidert oder zumindest für das jeweilige Produkt konfiguriert und kann nicht beliebig ausgetauscht werden. Wie die erwähnte Studie belegt, werden Maschinen oft nachgebaut und kopiert. Die dafür notwendige Software kann leichter kopiert werden als Maschinen oder Maschinenteile, eine Produktion ist im Gegensatz zu Maschinenteilen nicht notwendig.
Kurze Zwischenfrage: Open-Source-Software ist als Steuerungssoftware wohl ein No-Go?
Es gibt für Steuerungssoftware sehr hohe Anforderungen an Zuverlässigkeit, Produktsupport bis hin zur Haftung für die reibungslose Funktion von Hardware- und Softwarekomponenten. Diese Anforderungen können schwer mit Open-Source-Software abgedeckt werden. Die Komponentenhersteller, die Software und Hardware verkaufen, erfüllen die oben genannten Anforderungen.
Das Software Competence Center Hagenberg (SCCH) forscht an Dependable Production Systems (DEPS), um hier eine Lösung zu bieten. Seit wann wird geforscht?
Seit 2020 arbeiten wir am SCCH mit Partnern am Thema. Das erfolgreich beantragte COMET-Modul DEPS baut auf diesen Ergebnissen auf und bietet einen idealen Rahmen für die Grundlagenforschung. Das Projekt ist mit Jahresbeginn 2022 gestartet und läuft über vier Jahre.
Wer sind die Forschungspartner? Wie sieht die Finanzierung aus?
DEPS bündelt alle erforderlichen wissenschaftlichen und technologischen Kompetenzen durch folgende Partner:
• Software Competence Center Hagenberg (Konsortialführung)
• Universität der Bundeswehr München, Forschungsinstitut Cyber Defence
• EPFL Swiss Federal Institute of Technology in Lausanne
• Johannes Kepler University Linz, LIT Secure and Correct Systems Lab
• Fachhochschule Oberösterreich, Embedded Systems Lab Hagenberg
• Katholieke Universiteit Leuven, Belgien
Das Projekt DEPS ist ein COMET-Modul der FFG (die Förderung erfolgt durch das Klimaschutzministerium, das Wirtschaftsministerium und das Land Oberösterreich). Es stehen für vier Jahre insgesamt 3,75 Millionen Euro zur Verfügung. DEPS ist grundlagenorientiert (Förderquote 80 Prozent). Die restlichen Beiträge werden durch die Beteiligung von Unternehmenspartnern, sowie durch wissenschaftliche Partner eingebracht.
Was ist technologisch unter DEPS zu verstehen? Wie funktioniert der Schutz der Software und was ist dabei zu beachten? Wo liegen die größten Herausforderungen?
Ein zuverlässiges Produkt verlangt zuverlässige Software. Zuverlässigkeit bedeutet dabei neben der korrekten Funktion auch, dass die Software nicht verändert werden kann oder nur in einer zulässigen Umgebung läuft. Beides Probleme die durch Hacker-Angriffe oder auch Raubkopien entstehen.
Der Titel »Dependable Production Environments with Software Security« umfasst die Bereitstellung einer sicheren Umgebung für die Software um diese Zuverlässigkeit zu erreichen. Dafür braucht es die sichere Identifikation der zulässigen Umgebung (Hardware), in der die Software läuft und die unlösbare Bindung der Software an diese Umgebung. In DEPS werden Speicher-Signaturen und Software-Diversity-Methoden zu einem besonders sicheren Schutz kombiniert.
Industriesoftware hat hohe Anforderungen an Zuverlässigkeit und Echtzeitverhalten. Gleichzeitig ist diese Software und auch die Hardware ausgesprochen langlebig – das alles bedeutet besonders hohe Anforderungen an Schutzmechanismen.
Gibt es auch alternative Schutzmaßnahmen, an denen – vielleicht auch in anderen Ländern – geforscht wird? Was sind die Vorteile von DEPS gegenüber möglichen Alternativen beziehungsweise bisherigen Schutzmaßnahmen?
Es gibt viele, auch kommerzielle Ansätze zum Schutz von Software. Der größte Unterschied im Lösungsansatz von DEPS liegt in der leichtgewichtigen, aber sicheren Methodik, ohne zusätzliche Hardware oder Verschlüsselungsmechanismen auszukommen. Diese eindeutige Identifikation der Hardware wird mit Methoden der Software-Diversity tief in die Software integriert. Das ist eine Methodik die in anderen, existierenden Ansätzen nicht verwendet wird. Diese leichtgewichtige Methodik erleichtert die Verwendung in bestehenden Systemen und erlaubt übliche Mechanismen zur Fehleridentifikation wie Debugging.
Wie können Sie sicherstellen, dass die Schutzmaßnahmen die Bedienung der Industriesysteme und das Servicieren (beispielsweise Updates) nicht erschweren?
Das ist ein wesentlicher Teil der Forschung und Evaluierung der Methodik. Zusätzlich wird an durchgängigen Supply Chains für Software-Updates sowie Absicherungsmethoden des Updates gearbeitet. Die Kombination mit gängigen Absicherungsmechanismen stellt die durchgängige Sicherheit sicher. Parallel werden Werkzeug zur Unterstützung entwickelt.
Welche Ergebnisse konnten bereits erzielt werden? Wie sieht die Timeline aus, bis das System in einer finalen Version vorliegt?
Wir konnten in zahlreichen Versuchsreihen nachweisen, dass der »Fingerabdruck« der Hardware eindeutig ist und zur Laufzeit geprüft werden kann. Parallel dazu haben wir erste Prototypen gebaut, die eine starke Verbindung der Software mit diesem »Fingerabdruck« herstellen. Das Ergebnis des Grundlagenforschungsprojektes wird die Basis für die Weiterentwicklung eines Produkts sein.
Sie haben auch Unternehmenspartner. Wie wichtig sind diese und können Sie einige nennen?
Wir brauchen Unternehmenspartner in der Grundlagenforschung, um die Anforderungen aus der Praxis in die Forschung einfließen zu lassen. Das garantiert eine praxistaugliche Lösung. Wir haben Partner aus der Industrie mit komplexen Produkten (wie zum Beispiel Plasser und Theurer), aber auch fachliche Partner die Expertise im Security-Umfeld einbringen (beispielsweise PwC Cybersecurity) an Bord.
Kann man noch Partner werden und für welche Unternehmen ist das sinnvoll?
Unternehmen können mit geringem finanziellen Aufwand mit anerkannten Experten zusammenarbeiten und Erfahrung und Wissen im Umfeld von Softwareschutz erarbeiten. Der Einstieg ist auch im laufenden Projekt noch möglich. Zielgruppe sind Unternehmen, die Produkte mit schützenswürdiger Software beziehungsweise KI-Komponente herstellen. Das können Maschinen und Anlagen, aber auch embedded Systeme sein.
Be the first to comment