Hardwaresicherheit in einer vernetzen Welt | Über Bedrohungsszenarien, Manipulationsschutz und die Bedeutung von Vertrauensankern

Wir beschäftigen uns in der Abteilung, die ich zusammen mit meiner Kollegin Dr. Nisha Jacob-Kabakci leite, mit der Sicherheit von Hardware und eingebetteten Systemen – von Chips bis zur Firmware von Systemen. Dazu prüfen wir, mit welchen Technologien die Sicherheit erhöht werden kann, und setzen diese um. Außerdem analysieren wir, ob Schwachstellen existieren und wie sich diese beheben lassen.

Das Fraunhofer AISEC beschäftigt sich mit angewandter Forschung im Bereich Cybersicherheit und ist seit Kurzem auch Teil der FMD. Unsere Abteilung konzentriert sich auf die Sicherheit von integrierten Schaltungen, Baugruppen mehrerer Chips auf Platinen, sowie eingebetteten Systemen, und bildet damit eine Schnittstelle zwischen IT und Mikroelektronik, Wir beschäftigen uns mit der Elektronik als Grundlage für sichere Systeme und arbeiten eng mit anderen Abteilungen am Institut und Partnern aus der FMD zusammen, um z. B. in APECS Sicherheitsfeatures in Chiplet-Systeme zu integrieren.

Die Relevanz hat zugenommen, weil Systeme immer komplexer werden und stärker vernetzt sind. Gleichzeitig sind Lieferketten schwer nachvollziehbar und es bestehen globale Abhängigkeiten. Die Herausforderung besteht darin, dennoch sichere Elektronik zu entwickeln und einzusetzen. Sobald ein System mit der Außenwelt kommuniziert, entstehen Angriffsmöglichkeiten über Kommunikationsschnittstellen. Darüber hinaus sind Angriffe auf die Hardware an sich möglich. Immer mehr sensible Aufgaben werden mittlerweile von vernetzter Elektronik übernommen – beispielsweise auf Smartphones und IoT-Geräten. Daher ist es wichtig, sicherzustellen, dass diese Elektronik nicht nur zuverlässig, sondern auch sicher arbeitet.

Open-Source Projekte mit hoher technischer Reife bieten dafür eine gute Grundlage, um darauf aufbauend konkrete Bedarfe von Kunden zu adressieren. Ein aktueller Schwerpunkt von uns ist außerdem die sichere Implementierung und Integration von Post-Quanten Kryptografie, also kryptografischen Algorithmen, die auch gegen Analysen mit Hilfe von Quantencomputern sicher sind.

Der Cyber Resilience Act zeigt, dass der Bedarf für sichere Produkte in der Mitte unserer Industrie und Gesellschaft angekommen ist. Dieser Anspruch ist aber auch mit Anstrengungen verbunden, um ihn dann in Produkten umzusetzen.

Beim Design von sicherer Hardware geht es unter anderem darum, kryptografische Verfahren nicht nur korrekt, sondern auch widerstandsfähig gegenüber Angriffen umzusetzen und sie dann effizient in Systeme zu integrieren. Im Bereich der Open-Source-Projekte ist das Projekt OpenTitan für uns als Grundlage für eigene Weiterentwicklungen besonders relevant. OpenTitan ist ein speziell für Sicherheitsanforderungen ausgelegter RISC-V-Prozessor, also ein Hardware-Vertrauensanker, mit integrierten Kryptobeschleunigern und erweiterten Sicherheitsmechanismen. Dieser Vertrauensanker ist ein wichtiger Bestandteil der Secure System-on-Chip-Plattform, die wir im Rahmen des Bayerischen Chipdesign Centers entwickeln.

RISC-V ist ein Befehlssatz, der als Schnittstelle zwischen Hard- und Software definiert, wie ein Prozessor angesteuert wird. Da RISC-V Open Source ist, können wir die Architektur flexibel erweitern und an die Anforderungen von Kunden anpassen. Dieser offene Ansatz macht RISC-V für Forschung und Industrie attraktiv.

Unsere Abteilung arbeitet dazu eng zusammen mit Kolleg:innen vom Fraunhofer IIS an der Hardware- und Firmware der Plattform, während sich weitere Kolleg:innen am Fraunhofer AISEC um das Betriebssystem und die sichere Ausführung der Software auf dem System kümmern. Gemeinsam entwickeln wir so eine sichere und anpassbare Plattform, die z. B. in APECS als Security-Chiplet in verschiedenste Systeme integriert werden kann.

Ein Vertrauensanker ist ein Hardware-Baustein, auf dem die Sicherheit des weiteren Systems aufbaut – wie etwa eine SIM-Karte im Handy.

Dies ist auch ein wichtiger Punkt bei Chiplet-Systemen aus mehreren Chiplets. Hier dient das Security-Chiplet als Vertrauensanker, der die Integrität und Herkunft des auf dem Chiplet-System ausgeführten Codes sicherstellt und als zentrale Sicherheitsinstanz fungiert, wenn verschiedene Chiplets miteinander interagieren. Einen solchen Vertrauensanker für Chiplets entwickeln wir im Rahmen von APECS.

Diese Security-Chiplets sind modular konzipiert und können als zentraler Vertrauensanker für verschiedene Systeme eingesetzt werden. Wir tauschen uns dazu eng mit anderen Partnern aus, damit die notwendigen Schnittstellen und Sicherheitsfunktionen passend bereitgestellt werden können.

Wenn einzelne Komponenten eines Systems nicht das geforderte Schutzniveau erreichen, kann eine schützende Barriere zwischen System und Außenwelt angebracht werden, etwa für weniger geschützte ASICs, Prozessoren, Speicher oder Field-Programmable Gate Arrays (FPGAs). Wir beschäftigen uns gemeinsam mit dem Fraunhofer EMFT mit Schutzfolien, die das System umhüllen und so von der Außenwelt trennen. Ist diese Umhüllung intakt, kann man sicher sein, dass das System nicht angegriffen wurde, und sensible Berechnungen auf dem System ausführen. Eine Besonderheit unserer Lösung liegt darin, dass wir aus den Fertigungsschwankungen der Folie ein Geheimnis ableiten, das nur bei einer intakten Folie reproduziert werden kann. Damit verschlüsseln wir die Daten im System. Bei einem späteren Start lässt sich so feststellen, ob es angegriffen wurde – das erspart eine dauerhafte Überwachung des Systems über seine ganze Lebensdauer hinweg.

Um das zu verstehen, müssen wir zuerst über das Thema Kryptografie sprechen. In unserer Welt spielt Kryptografie eine wichtige Rolle, denn sie sichert viele Formen der Kommunikation. Verschlüsselung ist ein wichtiger Teil der Kryptografie.

In der Anwendung stoßen wir dabei auf ein Problem: Obwohl ein kryptografischer Algorithmus zwar mathematisch extrem sicher ist, kann er auf einem PC, einer Kreditkarte, einem Bezahlterminal oder einem IoT-Gerät nicht in einem Schritt ausgeführt werden. Deshalb wird er in viele kleine Rechenschritte zerlegt. Und genau diese Zwischenschritte sind angreifbar.

Die Sicherheitsannahme lautet eigentlich: Wenn jemand nur sieht, was in den Algorithmus hineingeht und was am Ende herauskommt, lassen sich keine Rückschlüsse auf den geheimen Schlüssel ziehen. In der Praxis kann ein Angreifer aber durch das Beobachten der Hardware Rückschlüsse darauf ziehen, was gerechnet wird, etwa über Stromverbrauch, Laufzeit, elektromagnetische Abstrahlung, aber auch über Zugriffsmuster auf Speicher oder Zeiten von Cache-Zugriffen. Diese zusätzlichen Informationen werden Seitenkanäle genannt.

Manche Muster treten beispielsweise nur dann auf, wenn ein Teil des geheimen Schlüssels bestimmte Werte annimmt. Auf dieser Grundlage kann ein Angreifer Hypothesen für verschiedene Schlüssel aufstellen und testen, ob diese wahr sind. Werden solche Messungen tausende oder sogar Millionen Male wiederholt, lassen sich die Ergebnisse statistisch auswerten bis sich klare Unterschiede zeigen – und damit Informationen über das Geheimnis ablesbar werden. Seitenkanalangriffe bestehen also aus zwei zentralen Teilen: der präzisen Messung physikalischer Effekte oder der Beobachtung des Verhaltens der Mikroarchitektur und der Auswertung der gemessenen Daten.

Deshalb legen wir bei unseren kryptografischen Implementierungen Wert darauf, dass solche Unterschiede durch Gegenmaßnahmen möglichst schwer zu messen oder zu interpretieren sind.

Die Messungen der Kolleg:innen im Hardware-Labor können an verschiedenen Stellen erfolgen, beispielsweise am Stromverbrauch des Chips oder – lokal fokussierter – mithilfe von Sonden, um die Magnetfelder in der Nähe bestimmter Chipbereiche zu messen. Zunächst muss man jedoch für die Analyse relevanten Bereiche identifizieren. Es ist übrigens auch ein Ziel der APECS-Pilotlinie, diese Messverfahren zu optimieren, um gezielt Daten zu erfassen und Störfaktoren minimieren zu können.

Während Seitenkanalangriffe ein System beobachten, greifen Fehlerangriffe aktiv ein und stören Abläufe oder Zustände im Chip. Ein Beispiel sind gesperrte Schnittstellen, etwa eine deaktivierte Diagnose-Schnittstelle. Bei einem Fehlerangriff wird versucht, Schutzmaßnahmen auszuhebeln, indem etwa eine Schnittstelle wieder geöffnet, die Signaturprüfung beim Start gestört oder Konfigurationen verändert werden. Gelingt dies, kann unter Umständen eigener, möglicherweise schadhafter Code ausgeführt werden statt der Software des Herstellers.

Außerdem gibt es Fehlerangriffe auf kryptografische Berechnungen. Hier werden gezielt Störungen eingebracht und anschließend Unterschiede im Verhalten oder in den Ergebnissen beobachtet. Aus diesen Abweichungen lassen sich Rückschlüsse auf geheime Schlüssel oder interne Abläufe ziehen.

Durch APECS können wir unsere Design- und Analysemöglichkeiten deutlich erweitern. Etwa durch den Zugang zu neuen Geräten und spezialisierten Tools. Gleichzeitig profitieren wir vom starken Netzwerk und dem fachlichen Austausch mit Kolleg:innen innerhalb der FMD, was unsere Kompetenzen und Forschungsfähigkeiten nachhaltig stärkt. Unser Ziel ist es, noch tiefere Einblicke in die zugrunde liegenden Technologien zu gewinnen und unsere Analysemethoden kontinuierlich weiterzuentwickeln.

Aus europäischer Sicht ist Hardwaresicherheit wichtig, weil die Elektroniklieferkette sehr komplex und global verteilt ist. Vom Chipdesign über Fertigung, Packaging und Testing bis hin zur Integration in ein Endprodukt sind zahlreiche Partner beteiligt.

Für Europa bedeutet das: Kritische Komponenten müssen gezielt abgesichert und möglichst selbst bereitgestellt werden. Dazu zählen Hardware-Vertrauensanker wie Security-Chiplets, bei denen klar ist, woher sie kommen und welchen Sicherheitsstandards sie genügen. Als Fraunhofer-Institut können wir gemeinsam mit der Industrie solche Bausteine entwickeln und an die Bedürfnisse der Kunden anpassen. Das stärkt Europas technologische Souveränität und hilft, Abhängigkeiten zu reduzieren. Aus europäischer Perspektive kann das Thema Hardwaresicherheit auch ein Standortvorteil sein.

Ein bedeutender Trend ist der Übergang zur Post-Quanten-Kryptografie. Mit leistungsfähigen Quantencomputern könnten bisher sichere mathematische Verfahren schnell gebrochen werden. Daher werden neue, resistente, Algorithmen entwickelt und standardisiert. Für uns ist es spannend, diese neuen Verfahren zu implementieren und gleichzeitig zu untersuchen, wie sich solche neuen Algorithmen angreifen lassen, um daraus gezielt Methoden zur weiteren Härtung und Absicherung komplexer Systeme abzuleiten.

Sicherheit hat immer ihren Preis. Es wird aufwendiger, bestimmte Funktionen zu entwickeln und auch die Nutzung der Systeme kann komplexer werden. Wenn z. B. ein Prozessor arbeitet und er überwacht wird, ob etwas schiefläuft, verursacht das zusätzliche Kosten für Hardware und Energie. Ähnliches gilt für kryptografische Implementierungen. Je besser Implementierungen gegen Angriffe abgesichert werden, desto größer und komplexer werden sie. Das hat Auswirkungen auf Platzbedarf, Rechenleistung und Entwicklungsaufwand.

Es gibt außerdem funktionale Zielkonflikte. Debug-Schnittstellen sind wichtig für die Fehleranalyse, um zu verstehen, warum ein Gerät ausgefallen ist. Aus Sicherheitssicht wäre es jedoch ideal, wenn solche Schnittstellen gar nicht existieren oder zumindest strikt abgesichert sind. Diese Spannungsfelder führen zu Design-Trade-offs, die frühzeitig in der Entwicklung bedacht werden müssen.

Die Schutzmaßnahmen sollten stets auf die jeweiligen Bedrohungen abgestimmt sein. Systeme mit kritischen Funktionen oder sensiblen Daten erfordern umfassendere Absicherungen, während weniger sicherheitsrelevante Systeme mit geringeren Maßnahmen auskommen können. Dies wird z. B. im Cyber Resilience Act (CRA) über verschiedene Produktklassen abgedeckt. Grundsätzlich ist es so, dass Angreifer stets den Angriffsweg wählen, der für sie am erfolgversprechendsten ist. Wir wissen vor einem Angriff nicht, wie genau er ablaufen wird. Das bedeutet, Systeme dürfen nicht nur gegen eine Methode abgesichert werden, sondern müssen in Summe einen guten Schutz gegen alle für den betrachteten Angreifer möglichen Angriffe bieten.

Ein One-Size-Fits-All-Prinzip existiert nicht. Vielmehr müssen verschiedene Technologien und Maßnahmen sinnvoll kombiniert und aufeinander abgestimmt werden, was durch eine enge Zusammenarbeit von Security-Expert:innen mit den Kolleg:innen innerhalb der FMD erreicht werden kann.