Sicherheit und Datenschutz: Im Einsatz für Datensouveränität und gegen Cyberkriminalität
Für die vernetzte Welt entwickelt Bosch Research Lösungen, die vor Hackern schützen und die Privatsphäre wahren.
Die digitale Vernetzung macht unsere Häuser intelligent, die Fabriken produktiver, das Fahrzeug autonom. Auf der ganzen Welt verbindet Bosch Sensoren, Geräte und Maschinen mit Nutzern und Unternehmensanwendungen, um unser Leben komfortabler und die Arbeit einfacher zu machen. Mit dieser positiven Entwicklung geht eine große Verantwortung einher, für die Bosch Research Pionierarbeit leistet: Wir müssen zum einen die Funktionssicherheit (engl.: Security) unserer Produkte, Dienstleistungen, Services, cyber-physischen Systeme sowie Internet-of-Things (IoT)-Anwendungen und -Geräte sicherstellen und zum anderen den Schutz von personen- und unternehmensbezogenen Daten (engl.: Privacy) gewährleisten. In unseren Forschungsprojekten schaffen wir bei Bosch Research die technologischen Grundlagen für die vernetzte Welt. Wir entwickeln Lösungen, die Bedrohungen aus dem Cyberraum abwehren und die Datensouveränität stärken.
Safety versus Security: Sicherheitslücken schließen – früher, schneller, präziser
Im Deutschen gibt es nur einen Begriff für Sicherheit – er umfasst sowohl die physisch-technische Sicherheit, also die Funktionssicherheit (engl.: Safety) von Produkten, beispielweise autonomen Fahrfunktionen, als auch die cyber-physische Informationssicherheit (engl.: Security). Je mehr unserer Produkte und Services über das Internet vernetzt sind, desto wichtiger wird der zweite Punkt, Security, also der Schutz vor Attacken von außen. Hacker nutzen regelmäßig Schwachstellen in Software- und Hardwaresystemen aus, um zum Beispiel geheime Daten auszuspähen. Wir bei Bosch Research begegnen dieser Gefahr, indem wir IT-bezogene Sicherheitsmaßnahmen in allen Lebenszyklusphasen unserer Software implementieren. „DevSecOps“ ist dabei ein Entwicklungs-Paradigma, das die Sicherheit (Security) automatisiert und in jede Phase der Produktentwicklung integriert – vom initialen Design über die Implementierung und Validierung bis hin zur Auslieferung. Die informationstechnologische Sicherheit vernetzter Produkte wird somit nicht zum Schluss, sondern von Anfang an und während des gesamten Lebenszyklus der Produkte mitgedacht. Die so gewonnenen Erfahrungen aus der Nutzung der Software fließen ebenso wie die generierten Daten kontinuierlich in die Verbesserung der Software ein.
Automatisierte Fehlersuche – vor und während des Betriebs
Bei der Softwareentwicklung beginnt die Fehlersuche nicht erst, wenn das Produkt fertig entwickelt ist, sondern wird von der ersten Code-Zeile an mitgedacht. Mit der Technologie „Automated Security Testing“ identifizieren wir entwicklungsbegleitend und automatisiert Schwachstellen im Code. Eine dieser dynamischen Testmethoden ist das „Fuzzing“ oder „Fuzz Testing“: Um früh im Entwicklungsprozess Fehler zu finden, wird die Software wieder und wieder mit zufällig generierten Eingaben ausgeführt und getestet. So können wir Sicherheitslücken immer schneller und präziser schließen.
Bei Bosch Research hört Sicherheit aber nicht am Werktor auf: Für den sicheren Betrieb vernetzter Produkte im Feld arbeiten wir an sogenannten „Intrusion Detection Systemen“ (IDS). Das sind Systeme, die anhand bestimmter Muster automatisiert versuchte Cyber-Angriffe von außen aufspüren können – auch wenn das vernetzte Produkt bereits bei Kunden in Anwendung ist. Ein IDS kann als eigenständige Hardware in einem Netzwerk installiert oder als Softwarekomponente auf einem bestehenden System realisiert werden. Durch IDS eröffnen sich neue Möglichkeiten, um IT-Systeme kontinuierlich zu überwachen (engl.: Security Monitoring), um Angriffe zu erkennen, die Bedrohungslage zu bewerten und Gegenmaßnahmen einzuleiten. Wir bei Bosch Research schaffen so bessere Softwarelösungen für die vernetzten Produkte von Bosch.
Ein weiterer Forschungspunkt sind die Technologien des „Computing on Encrypted Data“ (CoED). Diese Rechenmethoden halten Daten während der Verarbeitung verschlüsselt. Eine dieser kryptografischen Methoden ist das „Secure Multiparty Computation“ (MPC). Sie erlaubt es mehreren Akteuren, gemeinsam Berechnungen durchzuführen, ohne dass die genutzten Daten offengelegt werden müssen. In Kombination mit weiteren Verschlüsselungsverfahren lassen sich damit vertrauliche Informationen über ihren gesamten Lebenszyklus schützen: beim Verarbeiten, Übertragen und Speichern. In digitalen Diensten beispielsweise bekommt der Service-Provider auf diese Weise nie Einblick in Nutzer-Daten. Eine Implementierung dieser Methoden für die Cloud ist das von Bosch Research initiierte IT-Projekt „Carbyne Stack“, einer der Preisträger beim deutschen IT-Sicherheitspreis 2022. Carbyne Stack ermöglicht eine skalierbare Infrastruktur zur kooperativen Datenverarbeitung, beispielsweise für große Unternehmen oder Forschungsprojekte.
Sichere Daten im Smart Home und beim automatisierten Fahren
Immer mehr vernetzte Produkte und Services erzeugen also immer mehr Daten. Das „Privacy Engineering“ befasst sich mit der Entwicklung von Systemen, die die Privatsphäre wahren. Wir von Bosch sind überzeugt davon, dass die Menschen selbst die Kontrolle über ihre Daten haben sollten. Unsere Forschung im Bereich „Security and Privacy Enhanced Computing Services“ (SPECS) zielt darauf ab, diese Datensouveränität auf ein neues Level zu heben. Zum Schutz von Daten entwickelt Bosch Research dort eine Vielzahl von datenschutzwahrenden Technologien, also „Privacy-Preserving Computing Technologies“ (PPCT). Damit bleiben Daten während der Übertragung, Speicherung und Verarbeitung durchgängig verschlüsselt. So sind sie über die gesamte Verarbeitungskette hinweg geschützt. Gleichzeitig können wir sie anonymisiert nutzen, um unsere Produkte zu verbessern und Nutzern neue Anwendungen zu bieten – etwa für das Smart Home und das automatisierte Fahren. Zum Schutz von Daten entwickelt Bosch Research eine Vielzahl von Privacy-Preserving Computing Technologies. Auf diese Weise ermöglichen wir intelligente, vertrauenswürdige Produkte in allen Unternehmensbereichen von Bosch. Insgesamt ist der Schutz von personen- und unternehmensbezogenen Daten für uns bei Bosch Research ein Kernanliegen. Um unsere Kompetenzen Bosch-weit zu bündeln, haben wir daher ein internes Kompetenznetzwerk gegründet: die Bosch-interne „Privacy Engineering Guild“. Im Austausch mit internen und externen Privacy-Experten aus Wissenschaft und Industrie ist es ihre Aufgabe, aktuelle und zukünftige Privacy-Herausforderungen geschäftsbereichsübergreifend zu lösen.
Für bestmögliche Ergebnisse pflegen wir zudem diverse Kooperationen mit Hochschulen, Industriepartnern und Start-ups.