Smarte Chips für mehr IT-Sicherheit

21. Dezember 2016

Die IT-Sicherheitsexperten von TÜViT zählen zu den ‚guten Angreifern’: Die Mitarbeiter des IT-Hardware-Labors in Essen hacken sich systematisch in Chips im Mini-Format, wie sie zum Beispiel auf Kreditkarten zu finden sind. So prüfen sie, ob diese Chips gegen Auslesen und Manipulation geschützt sind.

Ob Smartphone, Kreditkarte, neuer Personalausweis oder Gesundheitskarte: Ihr Herzstück ist ein eingebauter Chip mit allen relevanten Daten wie der Identität des Besitzers, den Fingerabdrücken oder dem PIN-Code. Gut möglich, dass die IT-Sicherheitsexperten von TÜViT diese Security-Controller  oder secure elements –  wie  die Mini-Computer im Chipformat genannt werden – zuvor genau unter die Lupe genommen haben. Das IT-Hardware-Labor in Essen ist weltweit das größte seiner Art, was die Anzahl an unabhängigen Prüfungen angeht.

Zimperlich geht es dort nicht gerade zu. Die oft nur wenige Quadratmillimeter kleinen Chips werden einem richtigen Stresstest mit so genannten physikalischen Angriffen ausgesetzt. So schießt TÜViT-Sicherheitsexperte Sebastian Kutzner mit einem Laser auf mehrere Stellen des Silizium-Chips. Durch diese Art von „Angriff“ sind zum Beispiel Manipulationen der auf dem Chip gespeicherten Informationen, der installierten Software oder Störungen im Programmablauf auf dem Prozessor des Chips bei der Verarbeitung der Daten möglich. Damit wird geprüft, ob die auf dem Chip gespeicherten Informationen so verändert werden können, dass ein unerlaubter Zugriff auf die hochsicher gespeicherten, sensiblen Daten, ohne Kenntnis des PIN-Codes funktionieren würde, wie im Falle der Benutzung einer gestohlenen Bankkarte.

Auch die Messung des Stromverbrauchs kann aufschlussreich sein. Dadurch kann ermittelt werden, welche Daten der Chip gerade verarbeitet. Gelingt es mittels der aufgenommenen Stromprofile die geheimen kryptografischen Schlüssel zu extrahieren, könnten die eigentlich verschlüsselt übertragenen Daten zwischen Karte und Bank manipuliert werden.

Mit Infineon, NXP und Samsung kommen drei der weltweit größten Hersteller von Security- Controllern teilweise schon in der Entwicklungsphase mit ihren Prototypen zu TÜViT. Die Kunden kommen nicht mehr nur aus dem Bankenwesen oder von staatlichen Institutionen, auch Automobilhersteller setzen vermehrt SecurityController ein, um zum Beispiel sicheres automatisiertes Fahren vorantreiben zu können. Ebenso kommen sie im Rahmen von Industrie 4.0 bei industriellen Anlagen zur Unterstützung der Kommunikation der Maschinen untereinander zum Einsatz. Ein weiteres Feld ist das Thema IT-Sicherheit bei Smartphones und Tablets.

„Eine komplette Hardware-Prüfung eines SecurityControllers dauert bis zu einem Jahr. Wir prüfen nach dem weltweit gültigen Standard für ITSecurity, den so genannten Common Criteria. Dabei sind wir immer im engen Austausch mit dem Hersteller“, so Patrick Bödeker, Leiter Hardware Evaluation bei TÜViT. Seit 1998 ist der studierte Physiker bei TÜViT, er hat das Labor mit aufgebaut und stetig erweitert. Anfangs wurden Kriterien für Prüfungen und erste Messmethoden entwickelt. Damals war TÜViT weltweit die erste Prüfstelle, die Prüfungen eines Security-Controllers mit anschließender Zertifizierung durch das Bundesamt für Sicherheit in der Informationssicherheit durchgeführt hat.

Seit der Gründung des Labors haben sich die Branche und die Angriffsmethoden drastisch verändert. Wurden früher sämtliche relevanten Daten auf Magnetstreifen gespeichert, sind heute alle Bank- und Kreditkarten in Deutschland mit einem SecurityController ausgestattet. „Die Karten von 1998 würden die Mitarbeiter unseres Hardware-Labors in wenigen Minuten knacken“, sagt Bödeker schmunzelnd.

Magnetstreifen seien leicht kopierbar; in vielen Fällen haben Kriminelle Geldautomaten lediglich mit einem gefälschten Lesegerät versehen. Steckte ein Kunde nun seine Karte in diese Attrappe, wurden die Daten vom Magnetstreifen abgelesen, dieser Täter kopierte die Karte und konnte später bequem Geld abheben. Die Chip-basierte Technologie soll das Betrugsrisiko gering halten. „Die Chips selbst sind fälschungssicher und die Daten und somit auch die Chips nicht kopierbar. Die Daten werden verschlüsselt übertragen; durch die Kommunikation mit dem Hauptrechner kann die Echtheit der Karte sofort geprüft werden“, erklärt Patrick Bödeker.

Mittlerweile sind die SecurityController so klein, dass sie nur noch mit dem Mikroskop betrachtet werden können. Dafür finden sich verschiedene Mikroskope, Oszilloskope, Lasergeräte und Messsonden in den Räumlichkeiten des Labors.

Vor zwei Jahren wurden zusätzliche Räume bezogen; auch der Bedarf an Fachleuten nimmt zu. Zurzeit arbeiten mehr als 20 Kollegen im IT-Hardware-Labor, einige sind als Absolventen des Studiengangs IT-Security an der Bochumer Uni direkt bei TÜViT eingestiegen. „Das Bewusstsein für die Bedeutung von IT-Sicherheit ist in den vergangenen Jahren deutlich gestiegen, das merken wir auch in der Branche. Derzeit drängen vor allem Hersteller aus China auf den Markt, und auch in den USA werden jetzt nach und nach alle Karten mit Magnetstreifen durch solche mit Chips ersetzt. Durch diese Umstellung öffnet sich dort ein riesiger Markt für uns“, ist sich Patrick Bödeker sicher.