Warum ein No-Spy-Gütesiegel für Hardware sinnlos ist

Bild: CC-BY Tobias M. Eckrich

Der D64 e.V. und die Internetbotschafterin der Bundesregierung Gesche Joost zeigen erschreckende Naivität.

Ein Debattenbeitrag von Daniel Schwerd, @netnrd, netzpolitischer Sprecher der Piratenfraktion im Landtag NRW.

Der SPD-nahe Verein „Zentrum für digitalen Fortschritt“ D64 e.V. fordert ein Gütesiegel für NSA-freie Hardware. Gesche Joost, Beiratsvorsitzende des D64 und EU-Internetbotschafterin der Bundesregierung verlangt, dass Hardware ohne ein solches Siegel nicht mehr in die EU eingeführt werden dürfe.

Diese Vorschläge enthüllen ein bestürzendes Ausmaß an Naivität.

US-amerikanische Unternehmen arbeiten schon seit Jahren mit den Nachrichtendiensten zusammen. Es bleibt ihnen nach dortiger Gesetzeslage gar keine andere Wahl, der USA Patriot Act und andere Gesetze räumen den Geheimdiensten weitgehende Rechte ein. Über Spionagemaßnahmen und Überwachungseinrichtungen zu reden wird den Unternehmen anschließend regelmäßig untersagt, dafür sorgt dann eine in den sogenannten National Security Letters enthaltene Gag Order.

Ein US-Unternehmen kann also durchaus dazu genötigt sein, ein solches Siegel wider besseres Wissen an ihre Produkte zu kleben.

Aber auch ohne Wissen des Unternehmens können Hintertüren eingebaut sein. Es können Sicherheitslücken vorhanden sein, die dem Hersteller nicht bekannt sind, über die die Experten der NSA aber im Bilde sind. Aus Unterlagen des Whistleblowers Edward Snowden geht hervor, dass die NSA-Spezialabteilung ANT solche Sicherheitslücken gezielt sucht, und Spionagewerkzeuge dafür baut. Selbstverständlich würde sie die Kenntnis über diese Lücken nicht preisgeben. Und selbstverständlich würde sie der zertifizierenden Stelle das niemals verraten.

Geschlossene Firmware lässt sich nicht prüfen

Hardware ist typischerweise mit Firmware ausgestattet, die öffentlich nicht zur Verfügung steht. Eine externe Stelle ist nicht in der Lage, solche Software gründlich auf Fehler oder Hintertüren zu überprüfen. Wie also soll ein vertrauenswürdiges Zertifikat entstehen?

Das Gütesiegel dieser Art ohnehin keine Sicherheit darstellen weiß man nicht erst seit dem Skandal mit fehlerhaften Brustimplantaten, die vom TÜV Rheinland zertifiziert waren.

Es gibt nur eine erfolgversprechende Lösung: Hardware muss mit einer offenen Schnittstellenbeschreibung übergeben werden. Firm- und Betriebssystemsoftware muss offen vorliegen. Nur so lässt sich die Funktionalität solcher Software prüfen. Nur so kann unternehmens- und damit geheimdienstunabhängige Firmware entstehen. Idealerweise bildet sich eine Open Source-Bewegung, die offene Firmware für diese Geräte schreibt. Code wird von vielen Augen begutachtet, Sicherheit wird öffentlich überprüfbar, Fehler werden schneller behoben. Gag-Orders sind nicht mehr möglich.

Open Source als Chance

Genau darin besteht eine Chance für europäische Unternehmen: Hardware mit offenen Spezifikationen vorlegen, Entwicklung und Support für open-source-basierte Firmware leisten, Systeme basierend auf solchen Komponenten bauen und anbieten. Mit steigendem Sicherheitsbewusstsein kann dieser Produktvorteil zu einem Wirtschaftsschub führen, der europäischen Unternehmen unmittelbar nutzt.

Paradoxerweise ist gerade der Heartbleed-Bug ein Beleg dafür, dass Open Source prinzipiell sicherer ist als geschlossene Software. Beim Heartbleed-Bug handelte es sich um einen schwerwiegenden Programmierfehler in der Open Source-Bibliothek OpenSSL, der das Auslesen von sensiblen Serverinhalten inklusive Benutzernamen und Passwörtern ermöglichte.

Nur weil es sich um ein quelloffenes Projekt war, konnte der Fehler von unabhängiger Stelle gefunden und so schnell behoben werden. Nur deswegen gelang die umgehende Information der Öffentlichkeit so gründlich. Das Auffinden von Fehlern ist kein Hinweis auf eine grundsätzliche Schwäche eines Systems, sondern das Zeichen eines erfolgreichen Tests.

Kein Vertrauen in No-Spy-Versprechen

Ein No-Spy-Siegel hingegen würde vermutlich ohnehin denselben Weg gehen wie der Wunsch Deutschlands nach einem No-Spy-Abkommen: Es wird von US-amerikanischer Seite schlicht ignoriert werden. Darüber hinaus würde es die Nutzer in trügerischer Sicherheit wiegen.

Der damalige Kanzleramtsminister erklärte beeits im August 2013 den Spionageangriff westlicher Geheimdienste für beendet. Auch er setzte auf schriftliche Versicherungen, die er von US-amerikanischen Partnern erhalten hatte. Wie unfassbar falsch er damit lag, wissen wir mittlerweile. Es gibt guten Grund, solchen Garantien auch in Zukunft gründlich zu misstrauen.

Daniel Schwerd ist Abgeordneter der Piraten im Landtag von Nordrhein-Westfalen und netzpolitischer Sprecher der Piratenfraktion. Er bloggt unter daniel-schwerd.de und twittert als @netnrd.

Flattr this!


Für Kommentare gelten die hier einsehbaren Regeln.

Kommentare

5 Kommentare zu Warum ein No-Spy-Gütesiegel für Hardware sinnlos ist

  1. digital naiv schrieb am

    Und wie wäre es mit einer Rating-Agentur, die dann Zertifiziert eine Aussage wie „AAA+“ äußern könnte?
    Hat bei anderen Innovativen Produkten beispielsweise aus der Finanzbranche doch wunderbar!

    Ausserdem gibt’s kein Schwarz oder Weiß im Sinne von „NSA ist drinn, oder nicht drinn“. Es ist richtig, das die draussen um’s Haus rumlungern und an den Verbindungskabeln lauschen. Da müsste der Aufkleber also eh auch noch auf alle Kabel mit drauf.

  2. t4roam schrieb am

    Mir graut, wenn ich die Argumentation lese. Es ist eine Mischung aus politprofessioneller Faktenverdreherei und alten ideologischen Techie-Kämpfen von OSS gegen CSS.
    Warum? Heartbleed: zwei Jahre zum Auffinden eines Bugs ist wirklich schnell, rasend schnell.
    Zitat Wikipedia

    In 2011, one of the RFC’s authors … implemented the Heartbeat Extension for OpenSSL. …
    [O]ne of OpenSSL’s four core developers … apparently failed to notice a bug in [the author’s] implementation. … The vulnerable code was adopted into widespread use with the release of OpenSSL version 1.0.1 on March 14, 2012.
    Heartbeat support was enabled by default, causing affected versions to be vulnerable by default. …
    A fixed version of OpenSSL was released on April 7, 2014

    Dann ist es effektiv egal, ob ein „Hintertür im Auftrag“ eingebaut wird oder ob mehrere OSS Code Reviewers den Fehler nicht finden.
    Das Bug Fixing kryptographischer Algorithmen ist auch kein leichtes Spiel.

    Und wer soll die ganzen Prüfungen und Zertifizierungen von Hardware und Software durchführen und bezahlen?
    Wer sagt, dass der Hersteller nach der Prüfung und Zertifizierung seines „golden samples“ nicht doch Hintertüren einbaut?
    Haben wir einen Plan B, wenn es keine geprüfte und zertifizierte IT gibt? „Letting the cables sleep“?

    Mann, Piraten, lasst Euch nicht auf diese komplizierten, kaum vermittelbaren Diskussionen ein.
    Kümmert Euch um die Themen, die viele Menschen ansprechen: Rente, Arbeit, Kinder, Schule etc.
    Moderiert die Themen über Liquid Democracy. Das wäre ein Quantensprung.

  3. De Benny schrieb am

    Blöde Frage: Wenn die Hardware-Spezifikationen offen liegen, öffnet der Hardware-Hersteller damit nicht Tür und Tor für billigere Nachbauten? Anders gesprochen: Rentiert sich die Hardwareentwickluing dann überhaupt noch für einen Hersteller, wenn er derart sensible Daten preisgeben muß? Würden nicht die meisten Leute ein paar Wochen warten, bis die Konkurrenz ne billigere Alternative nachgebaut hat?

  4. Carsten schrieb am

    Das bring doch alles nichts. Das einzige was die wirklich Fürchten ist eine Vollverschlüsselung wo der Schlüssel genauso oder länger ist als das was Verschlüsselt werden soll.
    Die Hardware intressiert doch weniger, nur die Komnunikationsdaten sind wichtig.

  5. DanielB schrieb am

    Also ich finde das prnzipiell nicht schlecht, dass sich auch die SPD zu dem Thema Gedanken macht, auch wenn der Vorschlag sicherlich noch etwas unausgegoren und unkonkret ist.
    Den Gedanken vom Heartblead-Bug auf die Überlegenheit von OSS zu schließen, halte ich allerdings, ebenso wie t4roam, für sehr verwegen. Prinzipiell bietet OSS natürlich die Möglichkeit der Überprüfung durch verschiedene unabhängige Institutionen, das muss dann aber auch irgendjemand machen. Und auch einzelne OSS-Entwickler kann man ebenso wie große Firmen unter Druck setzen oder mit kleinen Geschenken zur Zusammenarbeit mit einem Geheimdienst überreden.
    Es reicht auch nicht, die Firmware zu überprüfen, auch in Prozessoren, WLAN-Chips oder Speichercontrollern kann ein Backdoor versteckt sein.
    Der Schlussfolgerung von t4roam „man kann ja sowieso nix machen, also reden wir nicht mehr drüber“ würde ich mich aber nicht anschließen, ich finde die Diskussion wichtig und auch bei den Piraten gut aufgehoben.

Es können keine neuen Kommentare mehr abgegeben werden.

Weitere Beiträge: