Sichere Minicomputer für die Streitkräfte

Die weltpolitische Lage ist so angespannt wie seit Ende des Kalten Krieges nicht mehr. In Europa herrscht wieder Krieg – und Deutschland steht im Mittelpunkt eines neuen Systemkonflikts. „Die Ukraine ist nicht der eigentliche Kriegsgegner. Wir sind es: Deutschland als Drehscheibe der NATO auf dem europäischen Kontinent“, sagte Martin Wolff, Leiter des Internationalen Clausewitz-Zentrums (ICZ) an der Führungsakademie der Bundeswehr, bei einer Fachtagung in Berlin. Nicht umsonst hat der Bundesverteidigungsminister die Vorgabe gemacht, die Bundeswehr müsse bis 2029 kriegstüchtig sein.

Einsatz und Risiko abwägen

Heutige Verteidigungssysteme nutzen dabei nicht nur die neuesten Technologien, die auch in der Automobilindustrie, der Industrie oder anderen Marktsegmenten zu finden sind, sondern es besteht auch ein erhöhter Druck, die Entwicklungszyklen zu verkürzen, um neue Systeme so schnell wie möglich einsatzbereit zu machen. Die richtige Balance zwischen den Vorteilen einer neuen Technologie und den damit verbundenen Risiken zu finden, sei für zukünftige Verteidigungsprojekte von entscheidender Bedeutung, erklärte Stephan Janouch von Green Hills Software, einem Unternehmen, das auf die Softwareentwicklung für militärische Systeme spezialisiert ist. Im Rahmen eines Fachvortrags auf der Enforce Tac in Nürnberg ging er auf die Sicherheitsrisiken von eingebetteten Systemen in Verteidigungsanwendungen ein. Insbesondere bei der Kommunikation sowie dem Einsatz von Open-Source-Software und Künstlicher Intelligenz gibt es einiges zu beachten.

„Eingebettete Systeme sind seit etwa dreißig Jahren Bestandteil vieler Verteidigungsanwendungen“, so der Experte. Sie würden vor allem in Steuerungssystemen wie etwa der Motorsteuerung eines Bodensystems oder der Flugsteuerung sowie in der Datenübertragung und Kommunikation zum Einsatz kommen. Bei vernetzten Sicherheitssystemen gehe es immer um die Frage, ob das System gehackt werden könne, erklärte Janouch. „Dies hängt von der Art des Geräts und des Angriffs ab, da Verteidigungsanwendungen in der Regel deutlich höhere Sicherheitsstandards erfordern als zivile Anwendungen und daher von vornherein auf Sicherheit ausgelegt sind.“ Mitunter sei es aber lediglich eine Frage von Zeit und Ressourcen, in ein entsprechendes System einzudringen. Und in dem Fall wiederum sei es wichtig, auf welche Informationen und Funktionen ein Angreifer dann zugreifen könne. „Das muss von Anfang an berücksichtigt werden“, so Janouch. Gerade die Nutzung von Open-Source-Software und KI-Systemen könne hier erhebliche Risiken mit sich bringen.

Fatale Folgen bei Ausfällen

Vor allem bei Kommunikationssystemen hat ein Ausfall fatale Folgen für die betroffenen Streitkräfte. Das zeigt etwa die Deaktivierung von Starlink-Terminals für die russische Armee im Ukraine-Krieg. Und auch der mutmaßliche Angriff ukrainischer Hacker auf die Bordelektronik von Porsche-Fahrzeugen in Russland, die plötzlich über Nacht nicht mehr fahrtauglich waren, macht eindrücklich deutlich, wie verletzlich eingebettete Systeme sind. „Wenn Systeme nicht mit den richtigen Sicherheitsfunktionen ausgestattet und dann gehackt werden, kann alles passieren“, warnte Janouch. „Angenommen, ein Hacker könnte die militärische Kommunikation brechen – dann gäbe es keine Informationsübermittlung und Koordination zwischen Verbündeten mehr. Und wenn ein Hacker eine Drohnenflotte deaktivieren könnte, wäre auf einen Schlag ein großer Teil der Luftverteidigung außer Gefecht gesetzt.“

Wichtig sei es daher, schon bei der Entwicklung eingebetteter Systeme auf höchstmögliche Sicherheit zu setzen. Zum Einsatz kommen sollten dabei alle grundlegenden Sicherheitsprinzipien wie Authentifizierung und Verschlüsselung. „Außerdem sollte man unbedingt kritische von nicht-kritischen Anwendungen trennen“, betont der Softwareexperte. Wichtig sei es zudem, die gesamte Lieferkette der zum Einsatz kommenden eingebetteten Systeme zu kontrollieren – von der Entwicklung über die Beschaffung bis hin zur Fertigung. „Open-Source-Software bietet zwar Vorteile, ist aber für sicherheitskritische Anwendungen ungeeignet“, warnt Janouch. „Und Künstliche Intelligenz kann zwar ein nützliches Werkzeug sein, ist aber aus Sicherheitssicht nicht vertrauenswürdig.“