Eine Frage der IT-Sicherheit und Souveränität

Open-Source auch für Hardware?

| Autor: Ludger Schmitz

Die Initiative QuattroS von mehreren Forschungseinrichtungen möchte die Entwicklung von Open-Source-Hardware anregen.
Die Initiative QuattroS von mehreren Forschungseinrichtungen möchte die Entwicklung von Open-Source-Hardware anregen. (Bild: gemeinfrei, Pixabay / CC0)

Ein Whitepaper empfiehlt, die Entwicklung von Open-Source-Hardware zu beschleunigen. Die Autoren kommen aus Forschungsinstituten, aus denen einen so weitgehende Forderung eher nicht zu erwarten war.

Aus dem Institut für Technikfolgenabschätzung und Systemanalyse des Karlsruher Instituts für Technologie (KIT) kommt eine QuattroS-Initiative. Hinter der stehen außerdem Mitarbeiter von Fraunhofer Singapur, dem Fraunhofer Institute for Secure Information Technologie (SIT), der Hochschule RheinMain und der Technischen Universität Berlin. Insgesamt sechs Autoren mit diesem Background haben ein umfangreiches Grundlagenpapier (Download hier) verfasst: „Sovereignty in Information Technology. Security, Safety and Fair Market Access by Openness and Control of the Supply Chain“. Hinter dem unscheinbaren Titel verbergen sich nicht alltägliche Empfehlungen für Open-Source-Strategien bei IT-Hardware.

Es betrifft gesamte Lieferketten

Die Autoren betonen zu Beginn zunächst, ihnen ginge es um die Verbesserung der Lieferketten von IT-Geräten. Dabei gehe es um zwei Kernziele, nämlich erstens die Sicherheit von Produkten und zweitens billigere, faire und zuverlässigere Lieferketten. Wichtig ist ihnen dabei, nicht aus Perspektive der gegenwärtig marktführenden Länder, sondern aus dem Blickwinkel der Empfänger – Europa, Südostasien und Lateinamerika – zu schreiben. Und aus dieser Sicht seien die bestehenden Verhältnisse problematisch.

Denn es gibt mehrere Bedrohungsszenarien. Zum einen werden per Malware softwaretechnisch nicht nur Geschäftsgeheimnisse ausspioniert, sondern auch Geräte sabotiert (Stuxnet). Edward Snowden hat bekannt gemacht, dass der US-Geheimdienst NSA Hardware-Systeme manipuliert (siehe Bild). Die Angriffe nehmen in ihrer Masse und ihrer Qualität zu. Wird ein Layer gesichert, zum Beispiel durch Verschlüsselung, richten sich die Attacken auf eine andere Ebene.

Aus den Snowden-Dokumenten: NSA-Mitarbeiter öffnen eine abgezweigte Paketlieferung von Cisco. Ein Arbeitsplatz, um Manipulationen auf elektronische Geräte zu laden.
Aus den Snowden-Dokumenten: NSA-Mitarbeiter öffnen eine abgezweigte Paketlieferung von Cisco. Ein Arbeitsplatz, um Manipulationen auf elektronische Geräte zu laden. (Bild: gemeinfrei / CC0)

IT-Hersteller produzieren aus zugelieferten Komponenten, die im Prinzip „Black Boxes“ sind. Chip Designs werden geklaut, nachgemachte oder manipulierte sind im Umlauf. Das macht Systeme unsicher. Darüber kommen die meisten Hersteller aus den USA und China. Im Whitepaper heißt es: „Die großen Designer von Software, Hardware und Tools formen einen relativ geschlossenen Kreis, der billige und einfache Innovation verhindert.“

Software bringt kein Ende der Unsicherheit

Die Autoren diskutieren technische Optionen für eine Lösung. Sie verwerfen die Möglichkeit einer reinen softwaretechnischen Herangehensweise, solange Entwickler es mit Black-Box-Hardware zu tun haben. Die Alternative liegt also in der Hardware – und das bedeutet nicht nur eine offene Entwicklung von offenen Prozessoren, sondern auch von Tools zu ihrer Herstellung.

Dafür führt das Whitepaper mehrere Gründe an: Der Nachweis, dass Chips keine Hintertüren eingebaut haben, ist teuer, ließe sich jedoch mit offenen Designs sofort erbringen. Außerdem ließe sich ihre Zuverlässigkeit gerade da nachweisen oder verbessern, wo ihr Funktionieren über lange Zeiten erforderlich ist. Beispiel dafür sind der Automobilbau, Haushaltsgeräte oder das Internet of Things. Es wäre natürlich einfacher, Verdachtsmomenten nachzugehen, aber die Verdächtigten werden nicht die Hand heben und ihre Tore öffnen. Ihr ganze Business wäre in Gefahr. Immerhin haben Nvidia und Western Digital offene Prozessor-Designs angekündigt.

Der Erfolg von Linux ist das Vorbild

Zur Lösung der problematischen Situation empfehlen die Autoren einen ähnlichen Prozess wie bei der Entwicklung der Betriebssysteme Linux und Android - und zwar soll der nicht nur für die Chips gelten, sondern auch für die Produktions-Tools. Das wäre im Interesse der industriellen Chip-Abnehmer. Sie könnten neben Regierungen, Venture Capital, Firmenzusammenschlüssen und privaten Enthusiasten die notwendigen finanziellen Mittel beisammen bringen. „Die neue Herangehensweise hat das Potenzial, ähnlich umwälzend zu sein, wie es Linux und Android waren...“

Kleine Anfänge könnten eine Welle auslösen. Allerdings zeigten die Investitionen von Unternehmen genau in die gegenteilige Richtung. So zitiert das Whitepaper einen Bosch-Repräsentanten: „Für uns ist es wichtig, dass wir die Schlüsseltechnologien in unseren Händen haben und wir nicht von Lieferanten abhängig sind.“

Bedeutende Rolle der Regierungen

Angesichts solcher Umstände setzen die Whitepaper-Autoren eher auf Maßnahmen der Regierungen. Sie könnten nämlich gesetzlich die Verifizierung kritischer Komponenten und eine Haftpflicht der Hersteller für Fehler und Hintertürchen einführen. Dabei führen die Verfasser den Security-“Papst“ Bruce Schneier an: „Viele neue Technologien haben zur Bildung neuer regulierender Regierungsbehörden geführt. Bei den Zügen war es so, bei Autos, Flugzeugen… Wir brauchen die Regierung, um sicherzustellen, dass Firmen gute Sicherheitspraktiken befolgen.“

Die Regierungen könnten einen nationalen Plan zur Herstellung offener Computer ohne Hintertüren aufstellen. Das Whitepaper verweist auf China, dessen IT-Politik auf die Entstehung einer vom Ausland unabhängigen, inländischen Hard- und Softwareindustrie zielt. Ähnliche Bestrebungen gibt es in Russland und Indien, sogar in den USA.

„Der Einfluss großer Investoren oder Regierungen könnte die Closed-Source-Systeme zumindest verändern“, befindet die Studie. Sie schränkt sogleich ein: „Die Autoren finden es nicht angemessen, vorauszusagen, welche Form sich durchsetzen wird; der Wechsel in jede Richtung ist innerhalb von Dekaden oder Jahren möglich.“

Um mit freier und Open-Source Hardware (FOSH) voranzukommen, empfehlen die Autoren 13 „Action Points“:

  • Erfahre mehr über die Bedrohungen, um Maßnahmen abzustimmen.
  • Mache mehr Komponenten transparent oder Open Source.
  • Untersuche und entwickle erfolgreichen FOSH-basierende Geschäfts-Ökosysteme.
  • Verbessere das FOSH-Bugfixing durch Freiwilligkeit oder Incentives.
  • Forsche über die Reduzierung der Kosten für Zertifizierung.
  • Erweitere FOSH um Sicherheits-Peripheriebausteine.
  • Untersuche die Ausfallsicherheit von ICs.
  • Verbessere die Chip-Verifizierung.
  • Entwickle Open-Source-Tools für das Elektronikdesign.
  • Erforsche die Optionen für ökonomische Prozesse
  • Entwickle Gesetzesvorschläge.
  • Schaffe überzeugende Beispiele
  • Begründe einen unterstützenden weltweiten Prozess.

In einem abschließenden Kapitel wenden sich die Autoren direkt an Investoren. Dabei verweisen sie auf Ansätze von Herstellern (Nvidia, Western Digital) und Regierungen sowie auf das Interesse des Militärs. Sie verweisen auf „Unix-Hersteller wie DEC, SCO oder IBM, die tot sind oder jetzt Linux unterstützen“. Die seit den Snowden-Veröffentlichungen laufende Diskussion über IT-Sicherheit und Risiken werde zunehmen. Vor diesem Hintergrund gebe es eine Chance für „Offenheit von der Fabrik bis zum Endanwender“.

Die Autoren gestehen ein, dass sich ihr Anliegen in einem frühen Stadium befinde. Sie wollen die Sache weiter vorantreiben. „Alle Gründe für einen optimistischen Ausblick sind zusammengetragen.“

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45219185 / Hardware)