Supply-Chain-Hack? Die Einschätzungen von zwei Schweizer Experten

Google-Manager Urs Hölzle glaubt nicht an die Spionage-Chips-Story. Der Präsident des Schweizer Security-Pro-Verbands will bessere Kontrollen.
 
Auf den Servern grosser Cloud-Anbieter in den USA sind nach Einschätzung des Google-Topmanagers Urs Hölzle vermutlich keine Spionagechips aus China untergebracht worden.
 
"Wenn Sie meine persönliche Meinung hören wollen: Ich glaube, da ist nichts passiert", sagte der Schweizer, der bei Google für die technische Infrastruktur und die Cloud-Dienste verantwortlich ist, auf der Konferenz "Next '18' in London. Er und seine Kollegen hätten von den Gerüchten schon gehört, bevor der 'Bloomberg'-Bericht erschienen sei.
 
Die Agentur 'Bloomberg' hatte berichtet, dass bei chinesischen Herstellern winzige Spionage-Chips direkt auf Motherboards von Supermicro verbaut worden seien. Diese erlaubten es Angreifern, die Kontrolle über die Server zu übernehmen und Informationen abzuzapfen, hiess es unter Berufung auf 17 anonyme Quellen. Bis zu 30 US-Unternehmen seien betroffen, namentlich genannt wurden Apple und Amazon, die die Berichte allerdings ungewöhnlich scharf dementierten.
 
Gestern doppelte 'Bloomberg' nach: Bei einem grossen US-Telekom-Unternehmen seien manipulierte Supermicro-Motherboards gefunden worden. Ein namentlich genannter Hardware-Security-Experte will ein Implantat im Ethernet-Anschluss eines Telco-Servers gefunden haben.
 
Hölzle räumte ein, dass es im Prinzip zu solchen Manipulationen kommen könne. "Die Frage nach der Hardware-Sicherheit ist durchaus berechtigt. Die Zulieferkette ist sehr lang." Google habe auf diese Herausforderung mit der Entwicklung des eigenen Sicherheits-Chips Titan reagiert, der auf Servern in den eigenen Rechenzentren eingesetzt werde.
 
Es sei sehr schwierig, irgendwelche Manipulationen auf einer Platine zu entdecken. "Die sind superkompliziert. Wir haben unsere eigene Zulieferkette und versuchen, da aufzupassen." Google habe schon vor zwei Jahren darauf hingewiesen, dass die Kontrolle der Supply Chain ein wichtiger Teil des Sicherheitskonzepts sei.
 
Hölze ergänzt, Google könne mit Hilfe des eigenen Titan-Chips verhindern, dass unautorisiert Software auf den Server geschmuggelt wird, selbst wenn die Platine verändert wurde.
 
Umberto Annino, Präsident des Schweizer Verbands für Security Professionals, ISSS, sagt: "Diese Möglichkeiten der Hardware-Manipulation werden in der Schweizer Security-Szene seit Jahren diskutiert." Die Kontrolle der Supply-Chain müsse in der Schweiz verbessert werden, obwohl sie aufwändig sei. Andererseits gebe es seit langem Standards wie "Common Criteria (ISO 15408)" oder "FIPS", welche für sichere Hardware verwendet werden können. Eine vertieftere Kontrolle der Hardware-Zulieferkette gebe es in der Schweiz primär durch die Finanzindustrie.
 
Annino weist daneben darauf hin, nicht autorisierte Komponenten seien nur eine mögliche gefährliche Manipulation. "Würde jemand Schaltpläne von Mikro-Chips infiltrieren, findet dies auch in einer Qualitätskontrolle fast niemand heraus." Das sei komplex, aber nicht auszuschliessen. Dazu aber müssten Hersteller in die Manipulation involviert sein, wie beispielsweise beim Diesel-Skandal der Automobil-Hersteller, oder durch sehr versierte Angreifer erfolgreich "infiltriert" werden. (mag/sda)