Thought Leadership
Moderne verteidigungstechnische IT-Systeme stehen unter massivem Druck: steigende Softwarekomplexität, zunehmende Vernetzung und hybride Bedrohungsszenarien erhöhen die Anforderungen an Sicherheit, Verfügbarkeit und Echtzeitfähigkeit erheblich.
Klassische, monolithische Betriebssystemarchitekturen stoßen dabei zunehmend an die Grenzen ihrer Möglichkeiten. Gefragt sind stattdessen neue Ansätze, die Cyberresilienz bereits auf der Ebene des Betriebssystems verankern und damit eine robuste Basis für militärische und hochsicherheitsrelevante Anwendungen schaffen.
Verteidigungstechnische Systeme wie Missionsrechner, Funk- und Kommunikationsplattformen, Sensorfusionseinheiten oder Führungs- und Waffensysteme müssen heute eine Vielzahl unterschiedlich kritischer Anwendungen parallel ausführen. Gleichzeitig verarbeiten sie häufig klassifizierte Informationen und werden in hochgradig adversen Umgebungen betrieben. Neben maximaler Sicherheit sind daher auch deterministische Echtzeitfähigkeit, hohe Verfügbarkeit und formale Zertifizierbarkeit unverzichtbare Anforderungen.
Klassische monolithische Betriebssysteme sind für diese Rahmenbedingungen nur bedingt geeignet. Sie bündeln zentrale Systemfunktionen in einem großen, privilegierten Kernel und Gesamtsystem und weisen dadurch eine sehr umfangreiche Trusted Computing Base auf. Die Folge sind große Angriffsflächen und ein erhöhtes Risiko, dass durch einzelne Schwachstellen das gesamte System kompromittiert werden kann. Die Trusted Computing Base bezeichnet alle Komponenten eines Computersystems, denen man vertrauen muss.
Grenzen monolithischer Betriebssysteme
„Monolithische Betriebssysteme integrieren Treiber, Speicherverwaltung, Scheduling und weitere zentrale Dienste in einem gemeinsamen Kernel“, erläutert Dr. Adam Lackorzynski, CTO und Gründer der Kernkonzept GmbH, eines spezialisierten Dresdner Softwareunternehmens für Virtualisierungs-, Sicherheits- und Betriebssystemtechnologien. „Eine solche Architektur mag in klassischen IT-Umgebungen Vorteile bei Performance oder Entwicklungsgeschwindigkeit bieten, führt in sicherheitskritischen Szenarien jedoch zu erheblichen Nachteilen.“ Die Konsequenzen können laut Lackorzynski verheerend sein: Ein einzelner Fehler in einem Treiber oder einer Systemkomponente kann dann potenziell das gesamte System zum Absturz bringen. Ebenso verhält es sich mit dem Eindringen von außen – das Eindringen in eine Komponente gibt den Weg zur Kontrolle über das gesamte System frei.
Für militärische Plattformen bedeutet dies nicht nur ein Sicherheitsrisiko, sondern auch eine erhebliche Hürde bei der Zulassung. Bei einem monolithischen Betriebssystem befindet sich die umfangreiche Codebasis mit Millionen von Codezeilen innerhalb der Trusted Computing Base. Es lässt sich daher nur mit enorm hohem Aufwand prüfen und formell zulassen, geschweige denn verifizieren. Die Folge sind lange Zulassungszyklen und eingeschränkte Flexibilität bei der Weiterentwicklung sicherheitskritischer Systeme.
„In sicherheitskritischen und militärischen Systemen ist es essenziell, unterschiedliche Geheimschutzstufen und Anwendungsklassen strikt voneinander zu trennen – und zwar nicht nur logisch, sondern auch architektonisch“, fügt Lackorzynski hinzu. „Je kleiner und klarer abgegrenzt die vertrauenswürdige Basis eines Systems ist, desto geringer wird letztlich der Angriffsvektor.“
Mit mikrokern-basiertem Betriebssystem Sicherheit durch minimale Trusted Computing Base
Im Vergleich zur monolithischen Architektur eines gewöhnlichen Betriebssystems wird mit der Mikrokernarchitektur ein grundlegend anderer Ansatz verfolgt. Hier befindet sich im privilegierten Modus des Systems ein minimaler Betriebssystem-Kern, der ausschließlich für Isolation, Scheduling und grundlegende Sicherheitsmechanismen verantwortlich ist. Alle weiteren Systemfunktionen laufen als isolierte Module im Userland.
„Die Trusted Computing Base wird dadurch auf wenige zehntausend Codezeilen reduziert“, so Lackorzynski. „Das macht sie realistisch überprüfbar und schafft die Voraussetzung für formale Sicherheitszertifizierungen, wie sie im Verteidigungsumfeld zwingend erforderlich sind.“ Gleichzeitig bleiben Fehler oder Angriffe auf einzelne Module lokal begrenzt und können nicht ohne Weiteres auf das Gesamtsystem übergreifen.
Isolation und Mixed-Criticality als Grundlage moderner Systeme
Ein zentrales Merkmal mikrokernbasierter Betriebssysteme ist die konsequente räumliche und zeitliche Isolation. Speicherbereiche, Prozessorzeit und Hardware-Ressourcen werden explizit einzelnen Anwendungen zugewiesen. Dadurch lassen sich sogenannte Mixed-Criticality-Systeme realisieren, bei denen Anwendungen mit unterschiedlichen Sicherheits- und Echtzeitanforderungen sicher auf einer gemeinsamen Hardwareplattform betrieben werden.
„Gerade im militärischen Umfeld ermöglicht diese Form der Isolation eine sichere Konsolidierung“, erklärt Lackorzynski. „Funktionen, die früher aus Sicherheitsgründen physisch getrennt werden mussten, können heute softwareseitig sauber voneinander isoliert werden – ohne Abstriche bei der Sicherheit.“ Dies eröffnet neue Einsatzfelder, die früher nicht denkbar waren, wie z.B. kleine bewegliche Rechenzentren und Anwendungen, die auf sehr begrenztem Raum ausgeführt werden müssen – etwa auf einem Lkw im Feld, auf einem Schiff, in einem Flugzeug oder sogar am Mann.
Virtualisierung und Micro-Apps: Zwei Ebenen der Absicherung
Auf dieser Architektur bauen unterschiedliche Virtualisierungskonzepte auf. Virtuelle Maschinen ermöglichen es, bestehende Betriebssysteme und Legacy-Anwendungen sicher zu kapseln und in eine hochsichere Gesamtarchitektur einzubetten. Dabei ist entscheidend, dass große Teile der Virtualisierungslogik nicht zur Trusted Computing Base zählen und somit keine zusätzliche Angriffsfläche schaffen.
Noch einen Schritt weiter gehen sogenannte Micro-Apps. Sie laufen nativ auf dem Mikrokern und kommen ohne ein vollständiges Betriebssystem aus, wie es bei Anwendungen, die auf virtuellen Maschinen betrieben werden, notwendig ist. Ein Treiber oder eine Kryptokomponente lässt sich somit in einer code-minimalen Umgebung ausführen. Durch ihren extrem geringen Umfang eignen sie sich besonders für klar abgegrenzte, sicherheitskritische Funktionen wie Kryptografie, Filterlogik oder Echtzeitsteuerungen.
„Micro-Apps erlauben es, sicherheitskritische Funktionen mit einer nochmals reduzierten Vertrauensbasis umzusetzen“, betont Lackorzynski. „Das ist insbesondere dort relevant, wo maximale Vertrauenswürdigkeit gefordert ist.“
Cyberresilienz unter Angriff
Ein weiterer Vorteil mikrokernbasierter Architekturen liegt in ihrer inhärenten Cyberresilienz. Angriffe auf militärische IT-Systeme erfolgen häufig über Netzwerkschnittstellen, Peripheriegeräte oder komplexe Software-Stacks. In monolithischen Systemen kann ein erfolgreicher Angriff schnell systemweite Auswirkungen haben.
Durch die modulare Struktur bleiben Angriffe in mikrokernbasierten Systemen auf die jeweils betroffene Komponente beschränkt. Fehler können gezielt eingegrenzt, Module isoliert neu gestartet und sicherheitskritische Funktionen weiterhin deterministisch betrieben werden. Diese Fähigkeit zum kontrollierten Weiterbetrieb ist in militärischen Einsatzszenarien von zentraler Bedeutung.
Zertifizierbarkeit und digitale Souveränität
Neben der technischen Architektur spielt die formale Vertrauenswürdigkeit eine entscheidende Rolle. Betriebssystemplattformen mit Zulassungen bis VS GEHEIM oder NATO-Secret sowie Common-Criteria-Zertifizierung EAL4+ bieten Herstellern sicherheitskritischer Systeme eine belastbare Grundlage. Vorhandene Zulassungen lassen sich in Folgeprodukten wiederverwenden, was Entwicklungszeiten und Kosten deutlich reduziert.
Als Lösungsanbieter entwickelt und betreut Kernkonzept mit L4Re ein solches mikrokernbasiertes Betriebssystem-Framework, das genau auf diese Anforderungen ausgelegt ist. Die Entwicklung in Deutschland, die enge Zusammenarbeit mit Behörden sowie die Open-Source-Basis tragen zusätzlich zur digitalen Souveränität sicherheitskritischer IT-Infrastrukturen bei.
Anwendungsfelder von Cross-Domain bis Secure Endpoint
In der Praxis findet L4Re Anwendung in einer Vielzahl sicherheitskritischer Szenarien. Dazu zählen Cross-Domain-Gateways zur Rot-Schwarz-Trennung in Kommunikations- und Führungssystemen ebenso wie hochsichere Secure-Endpoint-Lösungen, bei denen geschützte und ungeschützte Arbeitsumgebungen auf einem Endgerät koexistieren.
Auch Missionscomputer, Avionik- und Automotive-Systeme, Sensorik- und Radaranwendungen profitieren von der Kombination aus Isolation, Echtzeitfähigkeit und Zertifizierbarkeit. Darüber hinaus bildet L4Re die Basis für nationale Secure-Cloud-Architekturen, in denen klassifizierte Daten auch in verteilten Umgebungen sicher verarbeitet werden müssen.
Fazit
Die wachsenden Anforderungen an Cyberresilienz in Verteidigungs- und Hochsicherheitsplattformen lassen sich mit klassischen Betriebssystemarchitekturen nur noch eingeschränkt erfüllen. Mikrokernbasierte Ansätze bieten insbesondere durch strenge Isolation und Modularisierung einen strukturellen Ausweg aus diesem Dilemma, indem sie „Security by Design“ bereits auf Betriebssystemebene verankern. Lösungen wie L4Re bieten die Möglichkeit, militärische IT-Systeme robuster, flexibler und zugleich souveräner zu gestalten – eine maßgebliche Voraussetzung für die digitale Einsatzfähigkeit sicherheitskritischer Systeme von morgen.
Autor: Patrick Schulze, Journalist für Wordfinder
