Sicherheit für BIOS, Betriebssystem und Anwendung

09.06.2017Redakteur: Margit Kuther

Im Embedded Computing wird auch die Sicherheit von Endgeräten und Anwendungen immer wichtiger – neben Übertragungssicherheit und generellem Zugangsschutz auf sensible Unternehmensdaten.

Anbieter zum Thema

Kontron Europe GmbH

Kontron AG

MHP Management- und IT-Beratung GmbH

Axivion GmbH

RTI Real-Time Innovations

Kontron APPROTECT: als „As-a-Service-Konzept“ angeboten, lässt sich dieLösung in bestehende Infrastrukturen integrieren.
(Bild: Kontron)

IT- und IoT-Sicherheit ist unabdingbar, um den eigenen technischen Vorsprung nicht unvermittelt an die Konkurrenz oder gut organisierte Hackergruppen zu verlieren.

Wie das Bundesministerium für Wirtschaft in seiner IoT-Security-Studie „IT-Sicherheit für die Industrie 4.0“ feststellte, ist es um die Sicherheit im Internet der Dinge nicht gut bestellt, obwohl das Kernelement der vierten industriellen Revolution die zunehmende Verzahnung der industriellen Produktion mit den modernen Informations- und Kommunikationstechnologien ist.

3-stufige Sicherheit von der Platine

Die Sicherheit von Daten beruht auf der Anfälligkeit des schwächsten Glieds in einer Kette unterschiedlicher Instanzen. Kontron bietet mit seiner Security Solution APPROTECT seit 2016 eine Lösung für seine neuen Computer-On-Module und Motherboards, die sogar bis auf Anwendungsebene greift.

Mit dem Secure-Systems-Konzept entwickelt Kontron damit als einer der ersten Embedded-Computer-Hersteller über einen ganzheitlichen Ansatz zur Absicherung von Embedded Systemen unter Einbeziehung von drei sicherheitsrelevanten Ebenen eines Endgeräts: dem BIOS, dem Betriebssystem und der Anwendung.

Schutz des BIOS

Kontron Secure/Trusted Boot bietet auf allen neuen Plattformen Funktionen wie sichere Firmware Updates oder die Absicherung des Boot-Prozesses über einen TPM 2.0 Chip. Damit ist sichergestellt, dass während des Boot-Vorgangs nur vorher signierte und verifizierte Programme ausgeführt werden.

Ungewollte Veränderungen an BIOS oder Boot-Loader sind nicht mehr möglich. Kontron Secure/Trusted Boot dient insbesondere als Basis für die Ausführung eines sicheren Betriebssystems.

Ergänzendes zum Thema

IT-Sicherheit: Immer einen Schritt voraus

Norbert Hauser, Vice President Marketing bei Kontron, informiert zum Thema IT-Sicherheit: „Viele Unternehmen investieren erst dann in IT-Sicherheit, wenn sie Opfer eines geschäftsschädigenden Angriffs geworden sind. Die Kontron-Sicht auf das Thema IT-Sicherheit setzt einen Schritt früher an: Wir kümmern uns nicht erst um die IT-Sicherheit, wenn es zu spät ist und Unternehmensdaten bereits kompromittiert wurden.

Denn Sicherheit ist der wichtigste Aspekt, um das Vertrauen der Anwender in den operativen Einsatz von Technologien zu gewinnen. Das gilt für heute schon verfügbare Applikationen, ist aber noch zentraler für den Einsatz von neuen Anwendungen im IoT, der Smart Factory oder Industrie 4.0; aber auch in anderen Bereichen wie in der Medizintechnik.

Nur wenn Unternehmen Vertrauen in die neuen Möglichkeiten haben, werden sie diese auch nutzen und von ihren Vorteilen profitieren. Für uns ist die IT-Sicherheit im IoT daher ein zentrales Element der Digitalisierungsstrategie unserer Kunden und deshalb als Kontron-Standard in allen Produkten serienmäßig enthalten.

Eine Hardwarebasis, die Sicherheitsmechanismen schon von Haus aus integriert, vereinfacht den Implementierungsprozess von IoT-Anwendungen enorm, macht die Produktentwicklung effizienter und unsere Kunden-Designs zukunftssicherer.

Um diese Vision zu verwirklichen, entwickeln wir diese vollkommen neue Hardware-Security-Produktlinie. Mit der Kontron Security Solution bieten wir standardmäßig voll integrierten Schutz in unseren Computer-on-Modulen und Motherboards an – und das als weltweit erster Embedded-Computing-Hersteller überhaupt.“

Sicheres Betriebssystem

Als sicheres Betriebssystem setzt Kontron auf Windows 10 IoT. Dabei handelt es sich um die speziell für die Verwendung im IoT-Umfeld entwickelte Version von Windows 10. Sie bietet umfangreiche Sicherheitsfunktionen wie Secure Boot, BitLocker, Device Guard und Credential Guard.

Diese sorgen in Verbindung mit dem TPM 2.0 Chip dafür, dass das System während der Start- und Ausschaltphase gegen Angriffe gesichert ist.

Sicherheit auf Anwendungsebene

Kontron Secure System: Sicherheit für Bios, Betriebssystem und Applikation
(Bild: Kontron)

Zur Absicherung der Anwendungsebene dient die Kontron-Lösung APPROTECT. Diese kombiniert einen zusätzlich zum TPM 2.0 im System fest integrierten Sicherheitschip sowie ein Software.Framework und bietet so umfassenden Schutz der Applikation.

Die Anwendung wird dabei in einer Form verschlüsselt, die Reverse-Engineering verhindert; das heißt, die Programmierung der Anwendung kann nicht entschlüsselt werden, ein „Nachbau“ wird somit unmöglich (IP Protection).

Der integrierte Sicherheitschip überprüft die Verschlüsselung der Anwendung durchgängig und stellt so sicher, dass sie auch wirklich nur auf den dafür vorgesehenen Geräten ausgeführt werden kann (Copy Protection).

Ebenso wird die Integrität der Applikation überwacht und geschützt. Dies verhindert, dass manipulierte Anwendungen ausgeführt werden können.

Umfassender Schutz plus neue Geschäftsmodelle

Die Sicherheitslösung auf Anwendungsebene bietet eine Vielzahl an Schutzmechanismen, wie IP- und Integrity-Protection, License Creation, Management und Tracking, License Model Implementation sowie die Zuweisung unterschiedlicher Zugriffsrechte.

Kontron APPROTECT wird als „As-a-Service-Konzept“ angeboten, wodurch nur geringe Kosten für die Nutzer entstehen. Die Lösung ist einfach in bestehende Infrastrukturen zu integrieren oder bereits in Kontron Hardware enthalten. Es sind keine aufwändigen Änderungen in der IT-Infrastruktur nötig.

Ergänzendes zum Thema

Kontron APPROTECT im Detail

Hersteller von Embedded-Technologien wie Kontron stellt vor allem der immense Zeitaufwand zur Entwicklung wirksamer Schutzmechanismen für einzelne Geräte vor große Herausforderungen. Wirklicher Schutz setzt einen individuellen Ansatz voraus. Gleichzeitig darf Sicherheit in einem extrem umkämpften Marktumfeld keine hohen Mehrkosten verursachen. Das Problem: der Zeitaufwand für diesen Lösungsansatz ist sehr hoch. Hier hat Kontron mit seiner neuen Security Solution Produktlinie angesetzt.

Leitgedanke bei der Entwicklung von APPROTECT war, diesen komplexen Prozess in günstigere kleine, je nach Bedarf individuell kombinierbare, Teilstücke zu gliedern. So lassen sich auch spezifische Sicherheitsanforderungen abdecken, ohne zum Ressourcenfresser zu werden. Kunden sind nicht länger gezwungen, sich mit teuren Investitionen vor unendlich vielen hypothetischen Bedrohungsszenarien zu schützen.

Der Sicherheitschip, den Kontron einsetzt, verfügt über einen Kontrollmechanismus, der die Verschlüsselung der Anwendung überprüft. Das stellt sicher, dass das Programm auch wirklich nur von den dafür vorgesehenen Geräten ausgeführt werden kann. Durch einen stetigen Austausch mit dem Chip, der kontinuierlich Teile der Applikation während sie läuft entschlüsselt, wird zudem sichergestellt, dass Anwendungsdaten nicht einfach aus dem Arbeitsspeicher ausgelesen werden können. Kontron schützt damit Anwendungen ohne zusätzlichen Kompilierungsaufwand oder komplizierte Schlüsselverwaltungsprozesse.

Der konkrete Ablauf sieht dabei so aus: ein Kunde schickt den Binärcode seiner Anwendung an Kontron. Dort wird er verschlüsselt und mit einer detaillierten Konfigurationsanleitung zurückgeschickt. Dieses Vorgehen funktioniert auch für bereits bestehende Anwendungen. APPROTECT wird von Kontron quasi als Service angeboten. Das hilft, die Kosten weiter zu minimieren, weil Kunden nur noch für das bezahlen, was sie wirklich benötigen. Mit zukünftigen Produkten auf Basis der Kontron Security Solution lassen sich auch neue Geschäftsmodelle etablieren und durchsetzen. So könnten beispielweise einzelne Anwendungsfunktionen auf einen bestimmten Zeitraum oder eine definierte Ausführungszahl beschränkt werden. Das kann beispielsweise für Testszenarien nützlich sein, aber auch andere innovative Einsatzmöglichkeiten sind denkbar. Der Kreativität sind dabei keine Grenzen gesetzt.

Kontron APPROTECT Licensing bietet über diesen Schutz hinaus die Möglichkeit zur Umsetzung neuer Geschäftsmodelle. So können einzelne Anwendungsfunktionen auf einen bestimmten Zeitraum oder eine bestimmte Ausführungszahl zu beschränkt werden – Testszenarien, Lizenz- oder Abomodelle profitieren von diesem Ansatz.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 15.04.2021

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

(ID:44732427)