Vom World Wide Web bis zum Internet der Dinge, von der Kommunikation über autonom fahrende Autos bis hin zum intelligenten Stromnetz oder altersgerechten Assistenzsystemen - unsere Welt wird immer vernetzter, aber damit auch angreifbarer. Wie lässt sich diese komplexe Netzwerk-Infrastruktur gegenüber Cyberattacken, Manipulation, Ausfällen oder kritischen Situationen schützen und widerstandsfähiger machen? Resilienz gilt als künftige Kerneigenschaft und Forschungsfeld der Zukunft. Damit befasst sich auch Christoph Krauß, Professor am Fachbereich Informatik der Hochschule Darmstadt in einem von der Deutschen Forschungsgemeinschaft geförderten Projekt.

Ein Interview von Astrid Ludwig, 5.1.2023

impact: Prof. Krauß, eine Förderung durch die Deutsche Forschungsgemeinschaft (DFG) ist an Hochschulen für Angewandte Wissenschaften noch immer eine seltene Auszeichnung. Auch bei diesem DFG-Programm?

Prof. Dr. Christoph Krauß: Ja, das stimmt. Das DFG-Schwerpunktprogramm nennt sich „Resilience in Connected Worlds – Mastering Failures, Overload, Attacks and the Unexpected (Resilient Worlds). Zwölf Forschungsprojekte werden in einer ersten Phase über drei Jahre gefördert und ich bin in der Tat der einzige HAW-Professor unter den Beteiligten, die ansonsten alle an Universitäten lehren und forschen. Dass unser Vorhaben ausgewählt wurde, freut mich daher sehr.

impact: Ihr Projekt RESURREC steht für Resilient Safety-Critical Systems through Run-time Risk Assessment, Isolation and Recovery. Was versteht man unter Resilienz und worum geht es bei ihrem Vorhaben?

Krauß: Bei resilienten Systemen geht es um Zuverlässigkeit, Anpassbarkeit, Fehlertoleranz und natürlich IT-Sicherheit. Die Netzwerk-Infrastruktur soll widerstandsfähiger gemacht werden, um Ausfälle oder Unfälle zu verhindern. Unser Vorhaben befasst sich mit der Sicherheit gegen Cyberangriffe, der Cyber Security, welche die funktionale Sicherheit kritischer Systeme bedrohen. Solche Angriffe, etwa auf autonome Fahrzeuge, können schwerwiegende Folgen haben, in Form finanzieller Schäden oder sogar als Gefahr für Leib und Leben. Ich leite RESURREC in Kooperation mit Prof. Katzenbeisser von der Uni Passau, mit dem mich bereits seit seiner Zeit an der TU Darmstadt eine gute Zusammenarbeit verbindet. Start unseres Projektes ist im Februar 2023.

impact: Sie erforschen an der h_da schon länger die Gefahren von Hackerangriffen auf autonome Fahrzeuge, nehmen potenzielle Schwachstellen in Sicherheitskonzepten unter die Lupe und entwickeln Gegenstrategien. Was ist das Besondere an dem nun von der DFG geförderten Projekt?

Krauß: Bei der DFG-Förderung steht die Grundlagenforschung im Vordergrund und so ist auch unser Projekt breiter und allgemein auf den Schutz sicherheitskritischer, safetykritischer Systeme ausgerichtet. Autonome Fahrzeuge betrachten wir als ein Beispiel dafür. Was wir erforschen, gilt aber auch in anderen Domänen - für Steuerungssysteme der Bahn, für Energienetze oder Industrieanlagen. Die Herausforderungen sind ähnlich, wenn es um die Cyber Security geht. Wir wollen safetykritische Systeme, wo Funktionalität extrem wichtig ist, schützen. Unsere Lösungen berücksichtigen dabei Aspekte wie Echtzeitanforderungen in der Kommunikation, Ressourcenbeschränkungen der Geräte und die Frage, ob genügend Rechenleistung für aufwendige Kryptografie vorhanden ist. Ziel ist, die von uns entwickelten Methoden und Mechanismen auf möglichst viele Anwendungen übertragbar zu machen.

impact: Inwiefern betreten Sie da Neuland?

Krauß: Die klassischen Sicherheitsmaßnahmen bestehen bisher aus den Bereichen Fehlererkennung, Isolation und Wiederherstellung, also Fault Detection, Isolation and Recovery (FDIR). Diese schützen jedoch nur vor zufälligen Fehlern, nicht aber vor gezielten Angriffen. Das ist genau der Unterschied. Wir wollen die FDIR-Elemente um geeignete Sicherheitsmaßnahmen erweitern. Unser Projekt zielt darauf, die Widerstandsfähigkeit, die Resilienz durch neue Methoden der Cybersicherheit zu verbessern. Diese sollen Angriffe besser erkennen können, die Risiken während der gesamten Laufzeit der Systeme bewerten und den Schaden durch Isolation bestimmter Bereiche begrenzen. Das System soll sich bei einer Cyberattacke selbst soweit wiederherstellen können, dass es - gegebenenfalls mit reduzierter Leistung - weiterhin funktioniert und schwerwiegende Folgen oder Ausfälle verhindert werden können.

impact: Worauf konzentrieren Sie sich dabei? 

Krauß: Ein Schwerpunkt ist die Risikobewertung der Systeme. Die wird heute meist nur einmal bei der finalen Entwicklung vor Auslieferung eines Systems vorgenommen. Sinnvoll ist jedoch eine Analyse während der gesamten Laufzeit, um überwachen zu können, ob das Risiko womöglich steigt. Da verändert sich sehr viel, auch aus Angreifer-Sicht. Es ist ein bisschen wie ein Katz- und Mausspiel. Mögliche neue Schwachstellen ergeben sich beispielsweise durch Software-Updates. Eine dynamische, fortlaufende Kontrolle würde helfen, Einfallstore für neue Angriffe aufzuspüren und rechtzeitig zu schließen. Dabei müssen wir den gesamten Lebenszyklus berücksichtigen; bei der Stilllegung etwa sollten unbedingt auch alle kryptografischen Schlüssel gelöscht werden. Diesen Forschungspart leisten unsere Partner an der Uni Passau. Meine Forschung setzt dann bei den Ergebnissen dieser Risikobewertung an. Ich suche nach neuen Ansätzen zur Isolierung und auch Wiederherstellung safetykritischer Systeme.

impact: Können Sie ein Beispiel geben?

Krauß: Ein Beispiel wäre das Infotainmentsystem in einem Auto, das mit einem Steuerungssignal für die Einstellung der Sitze vernetzt sein könnte. Wird dieses gehackt oder tritt ein Fehler auf, und der Fahrersitz fährt während der Fahrt unkontrolliert nach vorne, kann das zu Unfällen führen. Eine Möglichkeit der Isolation und Schadensbegrenzung wäre also, eine dynamische Zugriffsbeschränkung einzuführen und dem fehlerhaften oder gehackten Element die Berechtigung für die Sitzkontrolle zu entziehen und an ein anderes Steuerungssystem umzuleiten. Nehmen wir das Beispiel Stromnetz: Hier könnte der Betrieb aufrechterhalten werden, indem bei einem Angriff die Steuerung umgeleitet und ein anderer Ortsnetz-Trafo die Funktion übernimmt.

impact: Was ist dabei entscheidend?

Krauß: Massiver Schaden entsteht meist erst, wenn Angreifende mehrere Bereiche gehackt oder übernommen haben. Die Kryptografie ist daher zentral. Nur Berechtigten darf der Zugriff gewährt werden. Um zu erkennen, ob es sich bei dem zugreifenden Steuerungssystem auch tatsächlich um das richtige handelt, muss die Authentifizierung auch bei kompromittierten Systemen sichergestellt werden. Hier untersuchen wir neue Ansätze für kryptografische Verfahren, beispielsweise eine Art Vier-Augen-Prinzip, um Missbrauch zu verhindern. Ein weiterer wichtiger Aspekt ist, die Netzwerk-Systeme langzeitsicher zu machen. Sind sie bereits Jahre im Einsatz, kann sich kryptografisch sehr viel ändern. Wie können wir diese also austauschbar machen oder vorbereiten auf künftige Herausforderungen wie etwa den Quantencomputer? Wir müssen sie kryptoagil machen und Lösungen finden, die dies unterstützen.

impact: Wie hoch schätzen sie das künftige Risiko von Hackerangriffen ein?

Krauß: Der sogenannte Jeep-Hack auf das Modell Cherokee war spektakulär. Der Zugriff erfolgte von zwei Sicherheitsforschern, nachdem sie zuvor das Auto auf Schwachstellen untersucht hatten. Aus der Ferne konnten sie so Musik- und Klimaanlage manipulieren und sogar den Motor aussetzen lassen. Sie hatten vorher physisch Zugriff auf das Fahrzeug, aber: Nachdem diese Schwachstellen bekannt waren, lässt sich der Angriff skalieren. Das heißt, betroffen ist dann nicht nur ein Wagen, sondern vielleicht gleich eine ganze Fahrzeugflotte oder Modellreihe. Und dann sprechen wir von Millionen von Fahrzeugen. Ähnliche Angriffe gab es auf Tesla letztes Jahr, wo ein deutscher Hacker über eine Datenschnittstelle im Backend des Wagens die Positionen der Fahrzeuge genau auslesen konnte, was aus Datenschutzgründen bedenklich ist. Das hat international für Aufsehen gesorgt. Solche Attacken rütteln auf und zeigen, dass da einfach noch mehr gemacht werden muss. Deshalb forschen wir ja auch dazu.

impact: Welches Auto fahren Sie selbst?

Krauß: Ein ziemlich modernes, vernetztes Elektroauto, aber meistens fahre ich Fahrrad (lacht). Ich rate dazu, zu differenzieren. Natürlich gibt es vom Security-Aspekt her immer noch Angriffspunkte, aber auf der anderen Seite erhöhen all diese Assistenzdienste auch die Verkehrssicherheit. Der Gewinn durch die Vernetzung ist für mich persönlich höher als die Gefahr, Opfer eines Hackerangriffes zu werden. Der Beitrag unseres Forschungsprojektes liegt aber genau darin, ein resilientes System für autonome Fahrzeuge so auszustatten, dass bei einem Angriff eben nicht auf Bremsen oder Lenkung zugegriffen werden kann, sondern das Auto sicher an den Straßenrand fährt und anhält.