Sichere Basis im IoT –
der PikeOS Hypervisor 4.0
Vernetzung und Cloud-Dienste in sicherheitskritischen Geräten wie Autos, Flugzeugen oder Bahnen erfordern ein Umdenken bei der Auswahl des Betriebssystems. Es geht nicht mehr nur um Echtzeit, benötigte Treiber für Hardware und Peripherie oder unmittelbare Beschaffungskosten. Im Vordergrund steht funktionale Sicherheit in Verbindung mit einem Security-by-Design-Konzept, das die Gerätesicherheit in das Systemdesign verankert. Der PikeOS Hypervisor 4.0 setzt neue Maßstäbe für Sicherheit und bietet flexible Konzepte für die Entwicklung der Systeme über den gesamten Lebenszyklus hinweg.
Die fortschreitende Digitalisierung im Auto ist nichts für schwache Nerven. Spiegel-Online berichtet am 22. Juli 2015 von einem Hackerangriff auf ein fahrendes Auto, wobei dem Angreifer auch der Zugriff auf sicherheitskritische Systeme wie Lenkung und Bremsen gelang. Durch die Verbindung von Steuerungselektronik und Infotainmentsystem entsteht mehr als ein Auto mit Internetzugang, um Filme zu gucken oder den Weg zu weisen. In aller Regel handelt es sich bei den modernen Multimediasystemen um eine Zentraleinheit mit einem leistungsstarken Rechner, die am Canbus hängt und Informationen von verschiedensten Multimediageräten, aber auch von Geschwindigkeits- und Abstandsmessern oder Bremsen verarbeitet. Durch eine sichere Trennung dieser unterschiedlichen Anwendungen und Kontrolle der Kommunikation zwischen den Domänen lassen sich Angriffe auf sicherheitsrelevante Teile des Gesamtsystems vermeiden.
Die Trennung der Welten
Im Juni 2015 wurde PikeOS v4.0 vorgelegt, ein Hypervisor, der seit vielen Jahren in der Elektronik von Flugzeugen, Autos und Bahnen eingesetzt wird. Er bildet das Fundament für die verlässliche Funktionsfähigkeit von kritischen Systemen sowohl für die funktionale Sicherheit als auch für die Geräte-Security. Diese Verlässlichkeit beruht im Wesentlichen auf zwei Prinzipien, die im PikeOS-Mikrokern und der Systemsoftware verankert sind: eine strikte Trennung der Anwendungen durch Zeit- und Ressourcen-Partitionierung sowie die Kontrolle der Kommunikation zwischen den Partitionen (siehe Bild 1). Bei Einhaltung dieser Grundprinzipien spielt es keine Rolle, ob es sich bei einer Anwendung um eine sicherheitsrelevante Steuerungsfunktion handelt und bei der ‚Nachbar‘-Anwendung auf derselben Hardware um eine Multimediafunktion, wie ein aus dem Internet geladenes Spiel. Jede Anwendung erhält die im Konfigurationsprozess festgelegten Ressourcen zugewiesen. Eine Überschreitung der Speichergrenzen oder des Zeitbudgets ist nicht möglich. Über die Interpartition-Kommunikation wird der Datenaustausch zwischen den Partitionen so festgelegt, dass eine unkritische Spieleanwendung keinerlei Einfluss hat auf die Funktionsfähigkeit einer hochkritischen Bremsfunktion.
Sicherung von IP
Durch die Einkapselung von Anwendungen in getrennte Partitionen lässt sich zusätzlich geistiges Eigentum, also Intellectual Property (IP), gegen Spionage und Rechteverletzung schützen. Gleichzeitig wird die IP gegen eine Infizierung durch freie Softwarelizenzen wie der GPL von Open-Source-Anwendungen gesichert.
