Spekulationen um geheime Hintertüren in Intel-Chipsätzen

Wieder einmal sprießen Gerüchte, laut denen Intel Zugriffsmöglichkeiten für Geheimdienste in seine Prozessoren und Chipsätze eingebaut haben soll.

In Pocket speichern vorlesen Druckansicht 50 Kommentare lesen
Lesezeit: 5 Min.

Intels Active Management Technology (AMT) verknüpft mit spezieller Firmware Funktionen von CPU, GPU, Chipsatz und Netzwerkadaptern.

(Bild: Intel)

Die Fernwartungsfunktionen, welche Intel seit 2006 in bestimmte Chipsätze und Prozessoren einbaut, haben von Anfang an die Fantasie von Verschwörungsfreunden angeregt. Das liegt nahe, denn logischerweise erlauben diese unter verwirrend vielen Namen von Intel vermarkteten Funktionen den Zugriff auf Computer aus der Ferne – das ist genau ihr Zweck. Obwohl die verschiedenen Verfahren aber seit mehr als sechs Jahren in mehreren Millionen Rechnern zum Einsatz kommen, scheint bisher noch kein Nutzer oder Administrator verdächtige Kommunikation im Ethernet oder WLAN entdeckt zu haben.

Doch nun gibt es eine neue Runde von Spekulationen über mögliche Hintertüren in Systemen mit Anti-Diebstahl-Funktionen, die über Mobilfunknetze (3G und Co) kommunizieren. Diesen Verdacht kann man nicht ohne Weiteres entkräften, weil es ja um eine angebliche geheime Funktion geht, die Intel also nicht dokumentieren würde. Werfen wir stattdessen einen Blick auf die bekannten Fakten.

Die Management Engine (ME) kommuniziert via Netzwerkchip quasi am Betriebssystem vorbei.

(Bild: Intel)

Die aktuell diskutierten Anti-Diebstahl-Funktionen beruhen auf den Fernwartungsfunktionen, die Intel 2006 mit "vPro" vorgestellt hat. Ziel dieser Plattform für Bürocomputer ist aus Sicht von Intel, teurere Produkte zu verkaufen: vPro funktioniert nur mit bestimmten Prozessoren (ab Core i5), Chipsätzen (bestimmte "Q"-Typen) und Intel-Netzwerkchips.

vPro-Rechner stellen unter anderem genau definierte Funktionen zur Fernwartung (Remote Management) bereit, die Intel als Active Management Technology (AMT) bezeichnet. Viele Funktionen sind alles andere als neu und etwa auch bei Server-Mainboards mit Baseboard Management Controller (BMC) üblich. Genau wie dort stehen sie auch zur Verfügung, wenn der Rechner vermeintlich ausgeschaltet ist, das Betriebssystem nicht starten kann oder gar keines installiert wurde (Out-of-Band-Management). Seit AMT 6.0 sind viele Funktionen auch per WLAN nutzbar. Über einen UMTS-(3G-) oder LTE-(4G-)fähigen Router logischerweise auch, was Intel hier (PDF-Datei) ausführlich erklärt.

Herzstück ME

Herzstück sämtlicher AMT-Funktionen ist die Management Engine (ME): Ein im Chipsatz – bei den jüngsten Haswell-SoCs sogar im Prozessorgehäuse – integrierten Mikrocontroller mit eigener Firmware, der sich einen kleinen Teil vom eingesteckten Hauptspeicher abzwackt. Die Software kommuniziert mit der ME über eine virtuelle serielle Schnittstelle, die im Geräte-Manager von Windows auftaucht.

Die Serial-over-LAN-Schnittstelle taucht im Geräte-Manager bei AMT-Systemen auf.

Bei "richtigen" AMT-Systemen kann diese virtuelle serielle Schnittstelle über den Netzwerkchip in die Ferne "verlängert" werden, die Funktion heißt Serial-over-LAN (SOL). Damit erlangt man aus der Ferne Zugriff auf das laufende Betriebssystem. Noch leichter gelingt das via Remote KVM (Keyboard, Video, Mouse): Mit spezieller Software, etwa der Plus-Version von RealVNC, lässt sich der Bildschirminhalt von AMT-Rechnern aus der Ferne betrachten, sogar schon in der Boot-Phase oder im BIOS-Setup.

Die ME steckt nicht mehr nur in Intels Q-Chipsätzen, sondern in fast allen, weil sie Intel außer für die Fernwartung im strengeren Sinne auch für andere Funktionen nutzt. So gibt es in den B-Chipsätzen "Small Business Advantage", einige Funktionen zur Inventarisierung und Konfiguration (PDF-Datei) von Rechnern via LAN/WLAN. Auch der Diebstahlschutz Anti-Theft Technology (Intel AT), der wie ähnliche Funktionen von iOS oder Android eine Fernlöschung von gestohlenen Geräten erlaubt, nutzt die ME.

Intel AT lässt sich auch über ein UMTS-(3G-) oder LTE-(4G-)Modem aus der Ferne bedienen. Allerdings muss man die Funktion im BIOS-Setup des Notebooks ausdrücklich freischalten und sich bei einem Dienstleister registrieren, etwa bei Absolute. Doch Absolute Computrace kann auch ohne Intel AT funktionieren, nämlich per Windows-Software auf Rechnern mit passendem BIOS.

Die Management Engine läuft auf einem eingebetteten Mikrocontroller unabhängig von CPU und Massenspeichern.

(Bild: Intel)

Falls Intels ME tatsächlich eine geheime Hintertür öffnet, müssten Daten per LAN, WLAN oder eben Mobilfunk übertragen werden. Wie erwähnt, wurden bisher nie verdächtige Ethernet-Pakete entdeckt. Mobilfunk-Verbindungen lassen sich nicht so leicht diagnostizieren. Doch ein Modem muss vorhanden sein. Das ist bisher nur bei vergleichsweise wenigen Notebooks und Windows-Tablets der Fall.

Wie Amazon mit dem Kindle beweist, würden sich winzige und sparsame UMTS-Modems zwar leicht in Mobilrechnern unterbringen lassen. Wäre das massenhaft der Fall, würden Sie durch ihre Kommunikation aber wohl auffallen. Abgesehen davon: Falls man Windows-Rechner heimlich infiltrieren möchte, gibt es weitaus einfachere Methoden, als ausgerechnet eine wenig verbreitete Hardware-Schnittstelle zu missbrauchen.

Trotzdem täte Intel gut daran, das berechtigte Misstrauen der Kunden nicht auf die leichte Schulter zu nehmen und die proprietäre Technik noch weiter offenzulegen. Es wäre ein guter Anlass, noch größere Teile der zugehörigen Firmware und Software als Open Source bereit zu stellen. So pflegt Intel zwar eine umfangreiche Dokumentation der AMT-Funktionen und Projekte wie OpenAMT, doch beide sind nicht immer auf dem neuesten Stand und zu Anti-Theft sowie zur konkreten Hardware-Implementierung in aktuellen Chipsätzen erfährt man wenig. (ciw)