Angriffe auf Safety-kritische Systeme wie autonome Fahrzeuge können schwerwiegende Folgen haben, z. B. finanzielle Schäden oder sogar die Gefährdung von Leib und Leben. Durch erfolgreiche Angriffe auf Assets (z. B. Softwareanwendungen, Steuergeräte, kryptographische Schlüssel oder Nachrichten) kann ein Angreifer direkt oder indirekt (durch Ausweitung des Angriffs auf weitere Assets) Schaden anrichten. Klassische Sicherheitsmaßnahmen wie Fault Detection, Isolation und Recovery (FDIR) schützen nur vor Fehlern und nicht vor gezielten Angriffen. So könnte ein Angreifer beispielsweise eine Komponente manipulieren, die für die Isolierung einer fehlerhaften Komponente und das Umschalten auf eine redundante Instanz zuständig ist. FDIR muss daher um geeignete Sicherheitsmaßnahmen erweitert werden. Insbesondere muss es möglich sein, neben Fehlern auch Angriffe zu erkennen und darauf zu reagieren. Um Resilienz zu erreichen, müssen Mechanismen zur Isolation und Wiederherstellung auch gegen Manipulation geschützt werden. Außerdem muss nach der Erkennung eines Angriffs zur Laufzeit des Systems eine geeignete Reaktion ausgewählt werden; diese Entscheidung muss auf einer Risikoberechnung beruhen und die Besonderheiten Safety-kritischer Systeme berücksichtigen. In diesem Antrag schlagen wir ein Projekt vor, das die Angriffserkennung, die Risikobewertung zur Laufzeit, die Isolierung und die Wiederherstellung verbessert, um die Resilienz Safety-kritischer Systeme zu erhöhen. Das Hauptaugenmerk liegt auf den letzten drei Aspekten, da es bereits mehrere Ansätze für Intrusion Detection Systems (IDS) in sicherheitskritischen Systemen gibt, während Risikobewertung, Isolierung und Wiederherstellung weitaus weniger Aufmerksamkeit erhalten haben. Als Anwendungsbereich betrachten wir ein autonomes Fahrzeug, da es sich um ein verteiltes und komplexes Safety-kritisches System handelt, das aus mehreren vernetzten Komponenten wie Steuereinheiten, Sensoren und Aktoren besteht, auf denen Softwareanwendungen laufen. Für die Risikobewertung untersuchen wir neue Methoden zur Risikobewertung auf der Grundlage der Abhängigkeiten zwischen den Assets. Die aus dem Safetykontext bekannten Ansätze zur Isolierung und Wiederherstellung werden durch Sicherheitsmaßnahmen ergänzt. Wir untersuchen, wie das Zero-Trust-Paradigma auf Safety-kritische Systeme angewendet werden kann. Dazu untersuchen wir unter anderem neuartige Authentifizierungsmechanismen, Zugangs- und Nutzungskontrollsysteme und sichere serviceorientierte Architekturen. Die von uns entwickelten Lösungen werden prototypisch implementiert und evaluiert.

DFG-Verfahren Schwerpunktprogramme

Teilprojekt zu SPP 2378:  Resilienz in Vernetzten Welten – Beherrschen von Fehlern, Überlast, Angriffen und dem Unbekannten