Grosse Verunsicherung wegen chinesischen Mini-Spionage-Chips

Die Spionage-Chip-Story der renommierten News-Agentur 'Bloomberg' spaltet die Tech-Welt: Entweder stimmt sie, dann haben Reporter eine der erschütterndsten Vorfälle durch einen ausländischen Gegner aufgedeckt … oder auch nicht, und viele Leute, darunter 17 anonyme Quellen und 'Bloomberg', haben ein grosses Glaubwürdigkeitsproblem.
 
Zur Erinnerung: Chinesische Spione sollen in die Lieferkette eingedrungen sein und kleine Chips von der Grösse einer Bleistiftspitze auf den von Super Micro bestellten Motherboards installiert haben. Diese sollen laut 'Bloomberg' in Serverfarmen der US-Tech-Industrie von Apple bis Amazon eingesetzt worden sein, aber auch von US-Regierungsbehörden und mindestens einer Grossbank. Laut dem Bericht kann solch ein Chip Daten auf einem Server kompromittieren, so dass China sensible Daten ausspionieren kann.
 
Die genannten Firmen - Amazon, Apple und Super Micro - sowie die chinesische Regierung bestreiten die Vorwürfe in Formulierungen, die klar wirken.
 
Angesichts der zu befürchtenden Schäden - politisch, finanziell, juristisch, technologisch - muss offen bleiben, ob die Konzerne eine andere Wahl hatten als zu dementieren.
 
Die US-Sicherheitsbehörde Homeland Security stützt die Statements der US-Tech-Konzerne: Man habe keinen Grund, den im Artikel genannten Unternehmen nicht zu glauben. Dasselbe sagt die britische Behörde für IT-Sicherheit National Cyber Security Centre (NCSC).
 
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ist vorsichtiger oder schlechter informiert als die US- und UK-Behörden. "Dem BSI liegen derzeit keine Erkenntnisse vor, die eine Einschätzung zum Wahrheitsgehalt der Medienberichte erlauben", so ein Statement. Man nehme den Bericht "sehr ernst", so die Behörde, und habe Apple und Amazon um Stellungnahmen gebeten, ebenso die Hersteller von für Behörden zugelassene Produkte.
 
Weil Verschwiegenheit in Security-Kreisen oberstes Gebot ist, reden nun Verschwörungstheoretiker, Experten und alle anderen Interessierten mit, ohne wirklich viel zu wissen. Dabei hilft nicht, dass 'Bloomberg' wortkarg ist, was nachvollziehbare technische Informationen und harte Daten betrifft. Die Illustration der Positionierung des Chip stösst ebenso auf Kritik. Es könne auch eine Keramikantenne oder ein Diplexer sein, wird kolportiert (ein Urteil liegt ausserhalb unseres Wissensschatzes).
 
Ebensowenig hilft, dass Firmen und Behörden die Öffentlichkeit seit Jahren im Dunkeln darüber halten, wie und wie oft sie Supply-Chain-Prozesse und ihre Produkte auf Security hin überprüfen. Auch hohe Schweizer Behördenvertreter vertreten die Meinung, man könne nur Prozesse, aber nicht Produkte auf die Security hin überprüfen.
 
Zwischenfazit von x Artikeln, Tweets und Kommentaren in einschlägigen Foren: Es gibt gute Argumente für die Wahrheit der 'Bloomberg'-Story, und auch gute dagegen. 'Heise' hat Pro und Contras aufgelistet, aber vor allem auch 'The Register'.
 
Gesichert sind nur drei Dinge: Erstens rückt die Supply Chain auf der Security-Agenda nach oben. Zweitens werden einige nun Super-Micro-Produkte mit eigenen Augen überprüfen. Drittens dürften nun Gerüchte wegen Backdoors bei anderen Herstellern hochkochen, zumal die meisten Chips in Taiwan und China gefertigt werden. (mag)