Die Partitionierung der Gerätesoftware nach den Regeln eines zertifizierten Trennungskerns ermöglicht eine selektive Neuzertifizierung nur der Partition, die von der Aktualisierung betroffen ist. Die anderen Partitionen bleiben unverändert, und die strikte Trennung gewährleistet, dass ihre Sicherheitsvoraussetzungen gleich bleiben. Darüber hinaus kann der Separationskernel einen sicheren Aktualisierungsmechanismus mit kryptografischer Signatur, Transportverschlüsselung und anderen Funktionen bieten.
Nicht vertrauenswürdig
Bei Fertigungsaufträgen, bei denen kein starkes Vertrauensverhältnis zwischen Kunde und Hersteller besteht, müssen in der Fertigung zusätzliche Vorkehrungen getroffen werden, um die IT Sicherheit während des Prozesses zu gewährleisten. Beispielsweise könnte ein Möchtegern-Kunde versuchen, Geräte auf der Feldebene mithilfe von manipuliertem Fertigungscode mit Malware zu infizieren. Von dort aus könnte der Angreifer versuchen, die Produktion zu sabotieren oder die Infektion auf andere Teile des Netzwerks, wie z.B. das MES (Manufacturing Execution System), zu übertragen, um an vertrauliche Informationen zu gelangen. In solchen Konstellationen ist es daher eine gute Idee, den Fertigungscode des Kunden innerhalb einer oder mehrerer Partitionen zu isolieren, um zu verhindern, dass er Vertrauensgrenzen überschreitet und seine Privilegien erweitert.
Auch ältere Anwendungen können durch Partitionierung in ein neues Softwaredesign integriert werden. Bei solchen Anwendungen wurde der Code oft nur mit Blick auf die funktionale Sicherheit geschrieben und hält einer Sicherheitsbewertung nicht stand. Ein Separationskernel kann solche Anwendungen vollständig kapseln und sie von außerhalb der Gerätegrenzen oder aus der Perspektive anderer Partitionen auf demselben Gerät unsichtbar machen. Zu diesem Zweck wird ein sicheres Gateway mit einer Firewall und einem Intrusion-Detection-System eingerichtet, und die Legacy-Anwendung kommuniziert mit dem Gateway nur über spezielle, überwachte Kommunikationskanäle.
Für Legacy-Anwendungen spielt es keine Rolle, ob sie zuvor auf Bare Metal liefen oder ein Betriebssystem verwendeten. Dadurch können Gastbetriebssysteme im Paravirtualisierungs- oder Hardwarevirtualisierungsmodus ausgeführt werden, wobei die Echtzeitfähigkeit erhalten bleibt. So bleibt der Betreiber unabhängig von nicht mehr vorhandenen Hardwareplattformen.
Beispiel PikeOS
PikeOS von Sysgo unterstützt eine breite Palette von Hardware-Architekturen und bietet Schnittstellen für eine Vielzahl von Gastbetriebssystemen. Der Separation Kernel, der in der Version 5.1.3 nun auch Cybersicherheit nach CC EAL 5+ erreicht hat, verfügt über ein integriertes Linux-Gastbetriebssystem zur Einbindung von Linux oder anderen Open-Source-Funktionen wie Netzwerk, GUI oder Webserver. Proprietäres geistiges Eigentum, Echtzeitfunktionen und sicherheitskritische Anwendungen laufen in separaten Partitionen. Anwendungen mit unterschiedlichen Kritikalitäts- und Sicherheitsstufen werden sicher in separaten Partitionen getrennt und separat zertifiziert. Da es sich bei PikeOS um eine europäische Technologie handelt, unterliegt es keinen Exportbeschränkungen und kann daher weltweit eingesetzt werden.
