1. (wie schon erwähnt) Hardware-Schreibschutz für das BIOS/UEFI-Flash. Der muss hinreichend sicher sein, also im Gerät - man denke an Notebooks, die vom US-Grenzschutz vielleicht auch mal mit ins Hinterzimmer genommen werden. Bei Notebooks kann das eine Klappe im Boden sein, die man erst öffnen muss und die man auch mit einem großen Aufkleber feste überkleben kann.
2. Öffentliche bottom-up Prüfsummen und sicherem Prüfchip, der über eine read-only-Debugschnittstelle andere Chips (mit Mikrocode) verifizieren kann. Siehe auch
http://www.heise.de/tp/foren/S-die-ultimative-Loesung-das-ist-eine-Revolution/forum-292606/msg-26540051/read/
http://www.heise.de/security/news/foren/S-die-ultimative-Loesung-ist-eigentlich-ganz-einfach/forum-290382/msg-26311312/read/
Weitere Beispiele:
http://www.heise.de/newsticker/foren/S-mehr-Sicherheit-ist-machbar/forum-291692/msg-26447655/read/
http://www.heise.de/newsticker/foren/S-Wie-waere-es-mit-einer-besseren-Integritaetspruefung/forum-293806/msg-26644839/read/
http://www.heise.de/security/news/foren/S-Die-ultimative-Loesung-ist-prinzipiell-ganz-einfach/forum-292786/msg-26554565/read/
Das ist schlicht und ergreifend unverzichtbar und wenn wenn die Bundesregierung nicht umgehend dahingehend tätig wird, dann sollen Staats- und Verfassungsschutz ermitteln, denn die Sicherheit des deutschen demokratischen Rechtsstaates ist grob gefährdet. Da geht es nicht nur um ein bisschen Spionage, da geht es auch um die möglichkeit eines Cyberangriffs, der die komplette ITK-Infrastruktur ausschalten kann. Die Gefahr besteht, man denke an die NSA-Affäre, Stuxnet, den US-Cyberangriff auf Nordkorea (http://sputniknews.com/asia/20150318/1019636152.html)
Google: US Government Seeking Worldwide Hacking Powers
http://sputniknews.com/us/20150218/1018444617.html
"The Canadian electronic surveillance agency has hacked into computers worldwide, and possesses electronic surveillance tools capable of damaging the hardware, software and networks ..." http://sputniknews.com/world/20150323/1019892539.html
Das ist keine Kleinigkeit, das (die von mir geforderte IT-Sicherheit) ist der ganz große Hammer, der richtig viel verändern kann, denn die logische Konsequenz ist, dass wenigstens eine staatliche Prüfkommission allen Code (vom Chip-Mikrokode über Flash bis zu den Betriebssystem-Sourcen) umfassend (statische Codeanalyse, Supercomputerscans, Erzeugung und Vergleich aller Binäries) prüfen können muss und zwar per Gesetz für alle potentiell wichtige Hard- und Software in Staat und Infrastruktur.
Das sorgt de facto dafür, dass Wintel (früher oder später) aus Eurasien verschwindet und dementsprechend groß wird der Widerstand sein. Nun, alle Politiker und höhere Staatsbeamte, welche die Staatssicherheit (aktiv, maßgeblich) hintertreiben und notwendige Maßnahmen für ein sicheres Deutschland verhindern wollen, sollen entlassen werden! Staats- und Verfassungsschutz sollen ermitteln! (alles imho)