Hagenberg: 10. Juli 2023: In immer mehr Produkten bzw. Produktionsprozessen steckt Software, die wertvolles unternehmenskritisches Wissen enthält. Die Software und das darin enthaltene geistige Eigentum (IPR) zu schützen, ist für die Industrie eine zunehmende Herausforderung. Seit Jänner 2022 forscht das Software Competence Center Hagenberg (SCCH) gemeinsam mit wissenschaftlichen Partnern, Unternehmenspartnern wie PwC Österreich sowie weiteren Industriepartnern im Forschungsprojekt DEPS (Dependable Production Environments with Software Security) an neuen, verbesserten Methoden zum Schutz von Software und KI-Modellen. Diese Methoden gewährleisten, dass Software nur in Verbindung mit originaler Hardware funktioniert und nicht kopiert werden kann.
Software und KI-Modelle enthalten nicht nur unternehmenskritisches Wissen von enormem Wert, sondern erfordern auch erhebliche Ressourcen für ihre Entwicklung, den Betrieb und die Wartung. Dass dieser hohe Aufwand illegale Kopierversuche bzw. Hackerangriffe anzieht, liegt auf der Hand. Das Ziel von DEPS ist, gemeinsam mit den Projektpartnern Methoden zum Schutz von Software und KI-Modellen zu entwickeln.
Cyber-Resilienz erhöhen
Zu diesem Zweck wird an Methoden geforscht, um einen eindeutigen Hardware-Fingerabdruck zu erzeugen und zu verwenden. Dieser „Fingerabdruck“ basiert auf den spezifischen Eigenschaften der Speicherbausteine der Hardware, anhand von Produktunterschieden und wird durch neue, sichere Methoden untrennbar mit der Software bzw. den KI-Modellen beispielsweise in eingebetteten Systemen, Robotern und Produktionssystemen verknüpft. Zusammen mit anderen Sicherungsmaßnahmen, wie z.B. der Verhinderung von Re-Engineering oder sicheren Updateketten, ergibt sich so ein umfassender Schutz gegen Raubkopien und Manipulation. „So einfach der Ansatz ist, so anspruchsvoll und schwierig ist er in der Umsetzung“, sagt Dr. Thomas Ziebermayr, der das COMET-Modul DEPS leitet.
Umfassende Analyse durch Cybersecurity-Expert:innen
Bedrohungsmodellierung und Risikomanagement spielen eine zentrale Rolle beim wirksamen Schutz von Softwaresystemen. Im Rahmen des Projekts analysieren die Cybersecurity-Expert:innen von PwC Österreich gemeinsam mit dem SCCH konkrete Anwendungsfälle der beteiligten Industriepartner und deren Softwaresysteme sowie KI-Modelle. Im Rahmen der Bedrohungsmodellierung werden die Anforderungen an den Schutz geistigen Eigentums (IPR) sowie potenzielle Schwachstellen und Angriffsszenarien durch Hacker erfasst. Ziel ist es zu identifizieren, wo unternehmenskritisches, wertvolles und schützenswertes Wissen hinsichtlich IPR-Schutz steckt und wie mit DEPS die Schutzmechanismen weiter verbessert werden können.
„Der Schutz des geistigen Eigentums in Industriekomponenten ist ein wesentlicher Aspekt, um die Wettbewerbsfähigkeit der Industriepartner zu erhalten. Die Unternehmen investieren erhebliche Ressourcen in die Forschung & Entwicklung von fortschrittlichen Softwarekomponenten und KI-Modellen. Unser Fachteam unterstützt die Industriepartner bei der Bedrohungsmodellierung und bei der Weiterentwicklung der Schutzmechanismen gegen Produktpiraterie sowie Cyberkriminalität“, betont Roland Pucher, Leiter des Cybersecurity & Innovation Labs bei PwC Österreich.
Durchleuchtet wird zudem der Aufbau der Software- bzw. Hardware-Architektur, auf welchen Systemen die Software läuft, und wie diese miteinander verbunden sind. All diese Analysen ergeben die Anforderungen, die wiederum in die Forschung der Schutzmethoden einfließen. Ergänzend können die PwC-Expert:innen zu Testzwecken auch konkrete Hackerangriffe auf Softwaresysteme und Industriekomponenten simulieren.
Schutzmechanismus anwenden
Der entwickelte Schutzmechanismus wird immer in einer spezifischen Software- und Hardwareumgebung eines Partnerunternehmens angewandt, wodurch, wenn man so will, ein Prototyp entsteht, der genau jene Bedrohungspunkte bzw. Schwachstellen schützen soll, die die P.A.S.T.A.-Methodik erhoben hat. Als nächster Schritt werden die Anforderungen an die Methoden in die Evaluierung mit einbezogen, bei der mit Unterstützung von PwC fachlich überprüft wird, ob die Schutzmethodik effektiv ist. Zusätzlich wird geprüft, ob der Schutzmechanismus in einer realen Umgebung korrekt funktioniert. Neben vielen anderen Aspekten wird kontrolliert, ob er in Echtzeit auf Produktionsanforderungen reagiert oder ob er eventuell zusätzlichen Speicher benötigt, um nur zwei zu nennen.
„In den ersten, derzeit noch laufenden Analysen gemeinsam mit den Partnern konnten wir bereits interessante Aspekte behandeln sowie vielversprechende Ergebnisse erzielen. Dadurch können wir den Unternehmen ein gutes Bild möglicher Gefahren skizzieren. Diese Analysen sind wertvolle Erkenntnisse für sie, aber auch ein wichtiger Input für uns Forscher“, erklärt Thomas Ziebermayr, Projektleiter SCCH, den Nutzen für heimische Betriebe.
Maßnahmen gegen Cyberangriffe: Erhöhung des Cyberbudgets
Im Rahmen der „PwC Global Digital Trust Insights Survey 2022“ wurden 3.522 Führungskräfte in 65 Ländern, darunter 30 aus Österreich, nach den größten digitalen Risiken für ihre Geschäfte 2023 gefragt. 77 % der heimischen Unternehmen nannten Gefahren durch Cyberkriminelle als größte Bedrohung. Als Resultat folgt ein Aufrüsten in der Cybersicherheit: 60 % der heimischen Unternehmen möchten ihre Cyberbudgets 2023 weiter aufstocken. „Die Tricks der Cyberkriminellen werden immer raffinierter. Wo sie durch bestens entwickelte Software-Systeme, Firewalls und Virenscanner nicht weiterkommen, versuchen sie, Anwender:innen durch Täuschung zur Installation von Schadsoftware oder Herausgabe sensibler Daten zu bewegen“, so Roland Pucher.
„Die Expert:innen von PwC liefern mit ihrer Analyse einen wichtigen Beitrag zur weiteren Entwicklung der Schutzmechanismen. Darüber hinaus werden sie uns bei der Evaluierung unterstützen. Ein Meilenstein ist der Proof of Concept, bei dem wir die Funktionstüchtigkeit der Mechanismen in der Praxis testen und Angriffe simulieren werden“, erklärt Ziebermayr.
Durch die im COMET-Projekt DEPS entwickelten Schutzmechanismen werden also nicht nur monetäre Gewinne sowie der Know-how-Vorsprung geschützt, sondern auch Arbeitsplätze gesichert.
COMET-Modul ist eine Programmlinie des Förderungsprogramms COMET (Compentence Centres for Excellent Technologies). Gefördert werden Projekte, die zukunftweisende Forschungsthemen etablieren, um den Forschungsstandort Österreich für zukünftige Herausforderungen zu stärken. Das Forschungsprogramm wird von Wissenschaft und Wirtschaft gemeinsam definiert. COMET-Module zeichnen sich durch besonders risikoreiche Forschung aus, die deutlich über den Stand der Technik hinausgeht.
Weiterführende Links:
deps.scch.at
www.pwc.at/cyber
www.scch.at
Über die Software Competence Center Hagenberg GmbH (SCCH)
Die Software Competence Center Hagenberg GmbH (SCCH) wurde im Jahr 1999 als Spin-off durch die Johannes Kepler Universität Linz (JKU) gegründet und kann auf eine lange Erfolgsgeschichte zurückblicken. Das Zentrum ist insbesondere in den letzten Jahren deutlich gewachsen. Innerhalb von rund 3 Jahren hat sich das SCCH-Team beinahe verdoppelt und zählt heute rund 125 Mitarbeiter:innen. Mit 22 Nationen im Team und einem hohen Wachstum an EU-Projekten ist das Zentrum aus dem UAR Innovation Network international stark aufgestellt.
Über PwC
Vertrauen in der Gesellschaft aufbauen und wichtige Probleme lösen – das sehen wir bei PwC als unsere Aufgabe. Wir sind ein Netzwerk von Mitgliedsunternehmen in 152 Ländern. Rund 328.000 Mitarbeiter:innen erbringen weltweit qualitativ hochwertige Leistungen im Bereich Wirtschaftsprüfung, Steuer- und Rechtsberatung und Unternehmensberatung. Sagen Sie uns, was für Sie von Wert ist. Und erfahren Sie mehr unter www.pwc.at.
„PwC“ bezeichnet das PwC-Netzwerk und/oder eine oder mehrere seiner Mitgliedsfirmen. Jedes Mitglied dieses Netzwerks ist ein selbstständiges Rechtssubjekt. Weitere Informationen finden Sie unter www.pwc.com/structure.
Autoren:
Von links nach rechts: Roland Pucher (PWC) und Thomas Ziebermayr (SCCH)
Bildquelle:
SCCH