Die Studie “PANDA” des IHP – Leibniz-Institut für innovative Mikroelektronik identifiziert Risiken durch Hardware-Trojaner in verteilten Fertigungsprozessen. Im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wurde festgestellt, dass in jedem Schritt der Fertigungskette Sicherheit und Funktionalität beeinträchtigt werden können. Experten empfehlen IT-Firmen, in vertrauenswürdige Herstellungsprozesse und in die Weiterbildung ihrer Mitarbeiter zu investieren.
Software-Trojaner sind bekannt und entsprechende Schutzmaßnahmen weit verbreitet. Doch bei Hardware-Trojanern, die absichtliche Manipulationen darstellen, besteht große Unsicherheit. Diese können bereits in der Produktionskette integriert werden, zum Beispiel durch Veränderungen im Chipdesign oder durch zusätzliche Chips auf Platinen, welche Daten abgreifen können.
Prof. Dr. Peter Langendörfer vom IHP, Experte für IT-Sicherheit, erläutert die Gefahren und mögliche Manipulationsszenarien in der Produktion. Das IHP wurde für die Studie wegen seiner Fähigkeit zur Abbildung vieler Fertigungsschritte und des Vertrauensverhältnisses zum BSI ausgewählt. Die Studie kombiniert Literaturrecherche mit praktischen Experimenten, unter anderem wurden Manipulationen an Laptop-Mainboards durchgeführt, um die Entdeckung durch Qualitätskontrollen zu testen.
Im Rahmen der PANDA-Studie wurde das Mainboard eines Laptops präpariert, um zu testen, ob diese Manipulationen durch optische Verfahren, z. B. in der Qualitätskontrolle bei Eingang einer Lieferung, gefunden werden könnten. Unter Spulen und Kondensatoren wurden zusätzliche Chips versteckt. Diese fallen bei mikroskopischer Betrachtung und selbst beim Röntgen aufgrund von zahlreichen Metalllagen kaum auf. Lötpunkte und Leiterbahnen können die Zusatzchips verraten. Sind diese jedoch als Chip-on-Board mit Aluminiumbonds verdrahtet, sind sie nahezu unsichtbar.
Versteckte Zusatzchips sind oft schwer zu erkennen, da sie in der mikroskopischen Untersuchung und sogar im Röntgenbild kaum auffallen. Nur Lötpunkte und Leiterbahnen können Hinweise geben, aber bei einer Verdrahtung mit Aluminiumbonds sind sie nahezu unsichtbar.
Langendörfer warnt, dass Manipulationen jederzeit möglich sind und schwer zu finden, wenn der Trojaner erst eingebaut ist. Die PANDA-Studie zeigt, dass IT-Hersteller auf diese Bedrohungen reagieren müssen, um die Sicherheit zu gewährleisten.
Vorschaubild: Im Austausch: IHP-Wissenschaftlerin Hon. Prof. Dr. Zoya Dyka zeigt den BSI-Mitarbeitern, wo auf dem Mainboard eines Laptops manipuliert werden könnte. Das Foto wurde 2023 bei einem Besuch der BSI-Mitarbeiter am IHP aufgenommen.
Quelle/Fotos: IHP GmbH
Leibniz Institute for High Performance Microelectronics
Leibniz-Institut für innovative Mikroelektronik
