IT-Sicherheit: Forscher entwickeln Alarmanlage gegen Hardware-Angriffe

Bei Hardwareangriffen werden zusätzliche Komponenten auf eine Platine aufgebracht oder angelötet, um Daten abzugreifen. Um solche Manipulationen zu erkennen, setzen Forscher der Ruhr-Universität Bochum auf Funkwellen, die sich im System ausbreiten und von den Komponenten reflektiert werden. Dadurch entsteht ein Fingerabdruck, der auf Veränderungen am System reagiert.

Einzelne Komponenten werden auch bisher schon gegen Hardware-Angriffe geschützt. "In der Regel ist das eine Art Folie mit dünnen Drähten, in die die Hardware-Komponente eingepackt ist", erklärt Paul Staat, der an der Ruhr-Universität Bochum promoviert. "Wird die Folie beschädigt, schlägt das System Alarm." Allerdings gelang es einer Forscherin in der Vergangenheit bereits, diese Sicherheitsfolie zu entfernen und so ein Kartenterminal für Arztterminals zu manipulieren.

Die Forscher setzen statt einer Folie auf zwei Antennen, die sie in dem zu überwachenden System verbauen: einen Sender und einen Empfänger. "Der Sender schickt ein spezielles Funksignal in die Umgebung, das sich überall im System ausbreitet und an den Wänden und Computerkomponenten reflektiert wird. Durch diese Reflexionen kommt bei der Empfängerantenne ein Signal an, das für das System so charakteristisch ist wie ein Fingerabdruck", erklären die Forscher.

Winzige Veränderungen am System werden sichtbar

Bereits winzige Veränderungen am System sollen den Fingerabdruck merklich verändern. Um dies zu demonstrieren, haben sie die Funktechnik in ein Computergehäuse eingebaut und dessen Funksignal gemessen. Anschließend haben sie eine Schraube ein Stück aus dem Gehäuse herausgedreht und erneut eine Messung durchgeführt, die sich durch einen merklichen Ausschlag von der ersten unterscheidet.

Allerdings erzeugt der Computer im laufenden Betrieb selbst etliche Störungen. Diese legitimen Abweichungen müssen die Forscher messen und herausrechnen, um sie von Manipulationen unterscheiden zu können. Für weitere Tests führten die Forscher in einen Computer, dessen Gehäuse sie in regelmäßigen Abständen mit Löchern versehen hatten, unterschiedlich dicke Nadeln verschieden tief ein.

Ab einer Eindringtiefe von einem Zentimeter können sie 0,3 Milimeter dicke Nadeln zuverlässig erkennen. Bei einer Nadel mit 0,1 Milimeter Dicke schlägt das System jedoch nicht mehr überall an. "Je näher sich die Nadel zur Empfangsantenne befindet, desto leichter ist sie zu detektieren", erklärt Staat. Je dünner und weiter weg die Nadel, desto höher sei die Wahrscheinlichkeit, dass sie unbemerkt bleibt.

"Für die Praxis ist es also sinnvoll, sich genau zu überlegen, wo man die Antennen platziert", resümiert Johannes Tobisch, der ebenfalls Doktorand an der Ruhr-Universität Bochum ist. "Sie sollten sich möglichst nah bei den besonders schützenswerten Komponenten befinden." Um zu zeigen, dass ihr Messsystem stabil ist, ließen sie den Rechner zehn Tage, später sogar einen Monat laufen.

Das von der Universität ausgegründete Unternehmen Physec setzt die Technik bereits ein, um Manipulationen an kritischen Infrastrukturkomponenten zu verhindern. Weitere technische Systeme, die nicht nur vor Cyberattacken aus der Ferne, sondern auch vor Hardware-Manipulationen geschützt werden müssten, gebe es genug, erklärte Christian Zenger, Gründer und Geschäftsführer von Physec. "Beispielsweise Steuergeräte in Autos, Stromzähler, Medizingeräte, Satelliten und Serviceroboter."