Grosse Verunsicherung wegen chinesischen Mini-Spionage-Chips

8. Oktober 2018 um 11:36
image

Die Spionage-Chip-Story der renommierten News-Agentur 'Bloomberg' spaltet die Tech-Welt: Entweder stimmt sie, dann haben Reporter eine der erschütterndsten Vorfälle durch einen ausländischen Gegner aufgedeckt .

Die Spionage-Chip-Story der renommierten News-Agentur 'Bloomberg' spaltet die Tech-Welt: Entweder stimmt sie, dann haben Reporter eine der erschütterndsten Vorfälle durch einen ausländischen Gegner aufgedeckt ... oder auch nicht, und viele Leute, darunter 17 anonyme Quellen und 'Bloomberg', haben ein grosses Glaubwürdigkeitsproblem.
Zur Erinnerung: Chinesische Spione sollen in die Lieferkette eingedrungen sein und kleine Chips von der Grösse einer Bleistiftspitze auf den von Super Micro bestellten Motherboards installiert haben. Diese sollen laut 'Bloomberg' in Serverfarmen der US-Tech-Industrie von Apple bis Amazon eingesetzt worden sein, aber auch von US-Regierungsbehörden und mindestens einer Grossbank. Laut dem Bericht kann solch ein Chip Daten auf einem Server kompromittieren, so dass China sensible Daten ausspionieren kann.
Die genannten Firmen - Amazon - sowie die chinesische Regierung bestreiten die Vorwürfe in Formulierungen, die klar wirken.
Angesichts der zu befürchtenden Schäden - politisch, finanziell, juristisch, technologisch - muss offen bleiben, ob die Konzerne eine andere Wahl hatten als zu dementieren.
Die US-Sicherheitsbehörde Homeland Security stützt die Statements der US-Tech-Konzerne: Man habe keinen Grund, den im Artikel genannten Unternehmen nicht zu glauben. Dasselbe sagt die britische Behörde für IT-Sicherheit National Cyber Security Centre (NCSC).
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ist vorsichtiger oder schlechter informiert als die US- und UK-Behörden. "Dem BSI liegen derzeit keine Erkenntnisse vor, die eine Einschätzung zum Wahrheitsgehalt der Medienberichte erlauben", so ein Statement. Man nehme den Bericht "sehr ernst", so die Behörde, und habe Apple und Amazon um Stellungnahmen gebeten, ebenso die Hersteller von für Behörden zugelassene Produkte.
Weil Verschwiegenheit in Security-Kreisen oberstes Gebot ist, reden nun Verschwörungstheoretiker, Experten und alle anderen Interessierten mit, ohne wirklich viel zu wissen. Dabei hilft nicht, dass 'Bloomberg' wortkarg ist, was nachvollziehbare technische Informationen und harte Daten betrifft. Die Illustration der Positionierung des Chip stösst ebenso auf Kritik. Es könne auch eine Keramikantenne oder ein Diplexer sein, wird kolportiert (ein Urteil liegt ausserhalb unseres Wissensschatzes).
Ebensowenig hilft, dass Firmen und Behörden die Öffentlichkeit seit Jahren im Dunkeln darüber halten, wie und wie oft sie Supply-Chain-Prozesse und ihre Produkte auf Security hin überprüfen. Auch hohe Schweizer Behördenvertreter vertreten die Meinung, man könne nur Prozesse, aber nicht Produkte auf die Security hin überprüfen.
Zwischenfazit von x Artikeln, Tweets und Kommentaren in einschlägigen Foren: Es gibt gute Argumente für die Wahrheit der 'Bloomberg'-Story, und auch gute dagegen. 'Heise'.
Gesichert sind nur drei Dinge: Erstens rückt die Supply Chain auf der Security-Agenda nach oben. Zweitens werden einige nun Super-Micro-Produkte mit eigenen Augen überprüfen. Drittens dürften nun Gerüchte wegen Backdoors bei anderen Herstellern hochkochen, zumal die meisten Chips in Taiwan und China gefertigt werden. (mag)

Loading

Mehr zum Thema

image

"Wir legen den Schwerpunkt auf die Störung der Bedrohungsakteure"

An den Swiss Cyber Security Days in Bern ging es in den Keynotes nicht nur um Verteidigung, sondern auch um offensive Aktionen. Zum Beispiel durch das FBI.

publiziert am 21.2.2024
image

Wurde Lockbit zerschlagen?

Ermittler haben den Spiess umgedreht. Auf der Darknet-Seite der Ransomware-Bande zeigt ein Timer, wann die Website abgeschaltet werden soll. Ist das schon das Ende von Lockbit?

publiziert am 20.2.2024
image

Millionen-Kopfgeld auch für Chefs der Alphv-Bande

Nach Hive nimmt die US-Regierung eine weitere Ransomware-Bande ins Visier. Sie hatte in der Schweiz unter anderem Bernina attackiert.

publiziert am 19.2.2024
image

Schwachstellen der deutschen E-ID gibt es auch bei Schweizer Lösung

Aufgrund einer Sicherheitslücke kann die deutsche E-ID dazu genutzt werden, um unter fremdem Namen ein Bankkonto zu eröffnen. Nach aktuellem Stand wäre dies auch beim digitalen Pass der Schweiz möglich.

publiziert am 19.2.2024 1