»Denken wie ein Hacker«

Herr Brandt, Sie haben bereits als Student mit einem bemerkenswerten Hack auf sich aufmerksam gemacht, aber was hat Sie ans Fraunhofer SIT geführt?

Neben meinem Studium beschäftigte ich mich mit der Sicherheit von Kryptoprozessoren für eingebettete Systeme. Schon in den 1990er Jahren gab es bargeldlose Bezahlsysteme, die solche Halbleiter zur Absicherung elektronischen Geldes einsetzten. Damals war die drahtlose Vernetzung noch nicht so entwickelt, dass diese Systeme eine Online-Prüfung von monetären Transaktionen hätten durchführen können. Die Sicherheit solcher Systeme lag also primär in Kryptoprozessoren. Darin waren zum Beispiel die Guthaben der Nutzer gespeichert. Damals wie heute übt das Brechen solcher Systeme eine starke Faszination auf mich aus – und so investierte ich damals neben dem Studium meine gesamte Freizeit in die Entwicklung von Angriffen auf halbleiterbasierte Sicherheitssysteme, die sowohl für eCash-Anwendungen als auch bei Wahlcomputern eingesetzt wurden.

Mit großem Erfolg wie sich zeigen sollte, wie sind Sie damals vorgegangen?

Man kann sich das wie einen iterativen Lernprozess vorstellen. Während die erste Angriffsmethode auf den Chip noch über hunderttausend Jahre gebrauch hätte, lag die zweite bereits bei zweitausend Jahren, einige Iterationen später nur noch wenige Monate. Auch das reichte mir noch nicht. Ich suchte weiter nach ausgefeilteren Angriffsmethoden. Schließlich führte mich das zur Seitenkanalanalyse. Die hierzu notwendige Hardware war für einen Studenten nicht bezahlbar. Ein wissenschaftlicher Mitarbeiter der TU-Darmstadt gab mir den entscheidenden Tipp und der führte zu Michael Kasper am Fraunhofer SIT.

Welche Unterstützung haben Sie am Fraunhofer SIT von Michael Kasper, der heute übrigens Head of Cyber- and Information Security bei Fraunhofer Singapore ist, erhalten?

Zunächst verfolgte ich dieses Projekt privat. Als ich aber mit meinen Nachforschungen immer weiterkam, entwickelte ich daraus meine Thesis. Michel Kasper fand mein Projekt sehr spannend und hat mir Zugriff zum Seitenkanal-Labor des Fraunhofer SIT ermöglicht. So führte ich diese Forschungsarbeit als wissenschaftliche Hilfkraft am Institut fort. Es zeigte sich, dass fehlerprovozierende Angriffe der Schlüssel waren. Bei dieser Klasse von Angriffen nutzt man unter anderem physikalische Eigenschaften von Halbleitern, um gezielt Fehlverhalten zu provozieren. Durch Temperieren des Halbleiters zur Erzeugung von Datenremanenzeffekten sowie gezieltem Einsetzen von Power Glitches konnte ich schließlich einen differenziellen Angriff mit einer Laufzeit von nur wenigen Sekunden entwickeln.

Temperieren? Datenremanzeffekte? Könnten Sie uns das bitte etwas näher erläutern?

Der geheime Schlüssel bei Kryptoprozessoren, durch den alle Transaktionen abgesichert werden, liegt in einem Speicherbereich, auf den man von außen nur schreibend, aber nicht lesend zugreifen kann. Damit die Schlüssel geheim bleiben, sorgt der Chip dafür, dass dieser Speicherbereich entweder ganz oder gar nicht überschrieben werden kann. Durch gezieltes Unterbrechen der Spannungsversorgung gelang es mir, den Kopiervorgang vorzeitig zu stoppen und somit die erste Sicherheitsfunktion des Halbleiters auszuhebeln.

Bei normalen Raumtemperaturen würde es hierbei zu einem Datenverlust kommen. Kühlt man einen Halbleiter jedoch auf Temperaturen von -30 bis -40 °C herunter, bleiben die Daten für einige Sekunden bis Minuten erhalten. Dieses Phänomen ist unter der Bezeichnung Datenremanenzeffekt bekannt.

Aber warum wollen Sie den unbekannten Schlüssel überschreiben? Sie wollen ihn doch herausfinden?

Genau. Aber leider gab es keine Möglichkeit, direkt an den Schlüssel heranzukommen. Die einzige Option wäre, eine kryptographische Prüfsumme auszulesen, die auf Basis des Schlüssels berechnet wird. Man könnte jetzt alle möglichen Schlüsselkombinationen durchprobieren und mit der Prüfsumme vergleichen. Aber das sind 2⁶⁴ Kombinationen – es würde selbst mit mehreren leistungsfähigen Computern viele Jahre dauern, die passende Lösung zu finden.

Um den Rechenaufwand zu reduzieren, haben wir die erste Hälfte des unbekannten Schlüssels mit bekannten Daten überschrieben. So mussten wir lediglich alle Kombinationen für die zweite Hälfte des Schlüssels durchprobieren, also nur noch 2³² verschiedene Kombinationen. Eine moderne Grafikkarte kann das in weniger als einer Stunde berechnen. Wir kennen jetzt also die zweite Hälfte des Schlüssels und müssen nur noch die erste Hälfte herausfinden. Dazu nehmen wir eine kryptografische Prüfsumme, die wir vor dem ersten Angriff erstellt haben und die auf dem originalen Schlüssel basiert. Jetzt verwenden wir die bekannte zweite Hälfte dieses Schlüssels und probieren nur noch alle möglichen Kombinationen für die erste Hälfte durch, was ebenfalls maximal 2³² mögliche Kombinationen sind. Durch die Zerlegung in zwei Teilschlüssel senkt sich der Berechnungsaufwand exponentiell. Und darin liegt der Clou dieses Angriffs. In der Praxis bin ich sogar noch einen Schritt weitergegangen und habe den Schlüssel in acht Sub-Schlüssel zerlegt. Damit reduziert sich der Berechnungsaufwand von 2⁶⁴ auf 8 * 2⁸ Kombinationen, was die Berechnungszeit auf wenige Millisekunden abgesenkt hat. Wir hatten es also geschafft, den geheimen Schlüssel aus dem Chip zu extrahieren. Mit diesem Schlüssel war es dann möglich, die Bezahlysteme auszutricksen und faktisch beliebig virtuelles Geld zu erzeugen.

Was waren die Folgen dieser Entdeckung?

Etwa ein Jahr nach der ersten Publikation dieser Schwachstelle verschwand das größte auf diesem Halbleiter basierende Bezahlsystem, das war Akbil, mit dem man in Istanbul für den öffentlichen Nahverkehr bezahlen konnte. Vollständig verschwunden ist der Einsatz dieser iButtons bis heute jedoch nicht. Der Chip wird leider immer noch in sicherheitskritischen Bereichen wie Wahlcomputersystemen eingesetzt. Für mich persönlich bedeutete die intensive Auseinandersetzung mit diesem Projekt, dass ich mir sehr viel Wissen aneignen konnte, das ich jetzt für die Analyse ähnlicher Systeme nutzen kann.

Was treibt einen an, so viel Zeit zu investieren, um in ein System einzubrechen?

Es gibt verschiedene Gründe, warum jemand ein System hacken will. Das kann finanzieller oder ideologischer Natur sein. Viele Hacker haben aber gute Absichten und wollen die Sicherheit von Systemen verbessern. Je höher die Versprechen der Unternehmen, desto höher ist denn auch die Motivation der Hacker. Der Hacker sagt sich dann: Dein System soll sicher sein? Challenge accepted! Das ist eine große Antriebsfeder und sollte nicht vernachlässigt werden. Wenn man sich gegen Hacker schützen will, muss man selbst wie ein Hacker denken. Viele Unternehmen beauftragen deshalb auch Hacker damit, die Sicherheit der eigenen Produkte zu überprüfen.  

Wie ist es um die Sicherheitslage von Geräten bestellt?

In den zurückliegenden Jahren hat sich viel zum Positiven verändert, vor allem hat sich ein starkes Bewusstsein für IT-Sicherheit in der Industrie etabliert. Das bedeutet aber noch lange nicht, dass alle Produkte, die auf den Markt kommen, wirklich sicher sind oder die Privatsphäre des Kunden schützen. Ein Hersteller smarter Zahnbürsten mit drahtloser Schnittstelle macht sich da vielleicht wenig Gedanken um Datenschutz und Security. In kritischen Bereichen wie beispielsweise in der Medizintechnik oder der Automobilindustrie sieht es hingegen wesentlich besser aus. Hier arbeiten namhafte Hersteller gemeinsam mit dem Fraunhofer SIT in den Bereichen Forschung, Entwicklung sowie der Sicherheitsanalyse von Produkten.

Wie läuft die Personalsuche beim Fraunhofer SIT in so einem schwierigen Umfeld?

Man kann natürlich mit klassischen Stellenanzeigen arbeiten, aber über diesen Kanal können wir unseren Bedarf an IT-Sicherheitsexperten nicht abdecken. Man muss mit Konzepten arbeiten, die sich an den individuellen Merkmalen des eigenen Unternehmens orientieren – ein universelles Patentrezept gibt es nicht.

Ende 2018 überlegte ich mir, wie wir die herausfordernde Situation der Gewinnung fachlich qualifizierten Personals verbessern können. Vielversprechende Studentinnen und Studenten werden von Unternehmen schon während des Studiums rekrutiert. Deshalb sollte man bereits ab dem ersten Semester damit beginnen, Studierende an sich zu binden. Daraus entstand am Fraunhofer SIT schließlich die Mongoose Group, die die zielgerichtete Personalakquise mit Forschung, universitärer Lehre und Wissenschaftskommunikation verknüpft. Studierende erhalten die Möglichkeit, im Rahmen von Lehrveranstaltungen an unserer Forschung zu partizipieren. Zu Beginn jedes Semesters stellen wir eine Reihe von Forschungsfragen vor, aus denen die Studierenden ein Thema auswählen können. Fähige Teilnehmer lassen sich leicht identifizieren und gezielt für Projekte, als wissenschaftliche Hilfskräfte oder für Abschlussarbeiten, anwerben und nicht selten führt der Weg weiter zur Vollzeitstelle an unserem Institut. Bei den Studierenden kommt dieses Konzept gut an, da sie nicht nur Übungen bearbeiten, sondern an der Lösung von echten Forschungsfragen mitwirken. Sie bekommen einen direkten Einblick in unsere Arbeit und gleichzeitig auch Credit Points für das Studium. Wir legen dabei einen hohen Wert auf individuelle Betreuung sowie Zugang zu unseren Laboren und Ressourcen. Im Grunde bieten wir Studierenden genau das an, was ich mir damals als Student gewünscht habe. Es ist ein Modell, bei dem beide Seiten profitieren. Bereits im ersten Semester konnten wir alleine über die Lehrveranstaltung mehrere Mitarbeiter und wissenschaftliche Hilfskräfte gewinnen.

Ein weiteres Beispiel dafür, wie wir in Kontakt mit Studierenden kommen, sind die zweiwöchentlichen Hacking Meetups, bei dem wir zu Pizza und Getränken gemeinsam Hardware hacken und uns austauschen. Diese Treffen sind vollständig informell aber stets ein großer persönlicher und fachlicher Gewinn, so etwas bekommt man selten bei einem Arbeitgeber.

Kann man sich also dem Thema Sicherheit auch spielerisch nähern?

Die wirklich interessanten Projekte sind nicht selten durch explorative Vorhaben entstanden. Man hat irgendeine Idee oder Fragestellung und führt hierzu Experimente durch. Während meines Wechsels in eine Vollzeitbeschäftigung habe ich verschiedene Experimente mit Bluetooth LE durchgeführt. Hieraus ergab sich dann ein neuer Fokus auf Sicherheit und Privatheit drahtloser Kommunikation von eingebetteten Systemen im Internet der Dinge. In diesem Gebiet leite ich nun zwei Forschungsprojekte. Das Erste beschäftigt sich mit der Rekonfiguration von Funkschnittstellen. Bisher statische Hardwarebestandteile sollen während der Lebenszeit eines Produkts dynamisch an die Herausforderungen von IT-Sicherheit angepasst werden können. Das zweite ist Teil der Athene-Forschungsmission »Open and Sustainable IoT Security« von Prof. Dr. Christoph Krauß und untersucht die Sicherheit und Privatheit von Spezifikationen aber auch von bereits am Markt befindlichen IoT-Produkten. Wir wollen insbesondere herausfinden, welche Schwachstellen heutige Produkte haben und warum sie entstanden sind. Das ermöglicht uns die gezielte Verbesserung der Sicherheit zukünftiger Produkte.

Wir danken Ihnen für das Gespräch, Herr Brandt.