Das Bundesamts für Sicherheit in der Informationstechnik (BSI) hat die Studie „Prüfung von Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen (PANDA)“ erstellen lassen. Darin werden die Möglichkeiten von Angreifern innerhalb der Fertigungskette von komplexen IT-Systemen betrachtet.
Die Studie beschreibt laut BSI die einzelnen Schritte von der initialen Idee bis zum fertigen Produkt. Das BSI hat dazu die IHP GmbH beauftragt. Die Bewertung von Präventions- und Detektionsmöglichkeiten erfolge nicht nur auf Basis einer Literaturrecherche, sondern auch anhand eigens durchgeführter Experimente. Die Studienergebnisse zeigen, dass solche Manipulationen in jeder Phase der Fertigung mit teilweise relativ geringem Aufwand möglich sind. Die Entdeckung hingegen könne sehr anspruchsvoll sein.
Röntgenbild eines Bauteils auf einer Platine, unter dem ein zusätzlicher Chip versteckt wurde. Quelle: BSI
Ziel der Studie ist es, der Fachcommunity, IT-Herstellern und -Dienstleistern eine Einschätzung der Bedrohungslage durch solche sogenannten “Hardware-Trojaner” zu geben. Angriffsziele sind Presseberichten von Bloomberg zufolge Server-Mainboards.
Gefördert wird diese Angriffsvariante, weil die Entwicklung und Fertigung komplexer IT-Systeme oft nicht mehr von einem einzelnen Hersteller durchgeführt werde, der alle Design- und Produktionsschritte selbst umsetze und kontrolliere. Diese Arbeitsteilung spare zwar Zeit und Kosten, berge aber auch das Risiko von unerwünschten Änderungen am ursprünglichen Design. Die Studie steht zum Download bereit.
