Trojaner: Böse Überraschung

Inhaltsverzeichnis

Gegen Software-Schädlinge schützen sich heutzutage selbst Computer-Laien mit Firewalls und Virenscannern. Aber was ist, wenn die Angreifer schon in der Hardware lauern?

Was wäre, wenn? Wenn Ihr Büro verwanzt wäre? Der Kopierer die Konstruktionspläne für den neuen Motor heimlich nach China schickt? Oder die nagelneue Videokonferenz-Anlage die vertraulichen Vertragsverhandlungen mitschneidet und den Mitschnitt heimlich in die USA sendet? Unmöglich, sagen Sie? Das Firmennetz ist mit Firewalls gesichert, überall laufen die neuesten Virenscanner? Das wird nichts nützen. Denn möglicherweise ist der Spion ganz woanders: tief in den Eingeweiden der Hardware versteckt wie die Larve der Mehlmotte in der Müslipackung.

Ausländische Mächte oder kriminelle Datenhändler, die elektronische Hintertüren in Computerchips einbauen, könnten persönliche Daten oder Firmengeheimnisse ausspähen. Sie könnten sensible militärische Ausrüstung kopieren oder Waffensysteme gezielt sabotieren. Klingt paranoid? Deutsche Wissenschaftler erforschen diese neue Bedrohung. "Wir haben gezeigt, dass sich das Problem schon auf der untersten Ebene der Chipherstellung stellt", sagt Georg Becker vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum.

Seitdem das Defense Science Board, eine Forschungsabteilung des Pentagons, 2005 erstmals vor den Gefahren manipulierter Hardware warnte, ist die Forschung zu diesem Gebiet stark ausgebaut worden. Zweistellige Millionenbeträge investiert das Pentagon inzwischen jährlich in das Programm "Integrity and Reliability of Integrated Circuits" (IRIS). Auch der von der Halbleiter-Industrie getragene "Semiconductor Research Council" finanziert in den kommenden drei Jahren mit umgerechnet knapp acht Millionen Euro Forschung an Gegenmaßnahmen. Auf Konferenzen weltweit testen studentische Hacker und Forscher Angriffe und Abwehrmethoden.

In der Praxis wurde bislang zwar keine schwerwiegende Hardware-Manipulation nachgewiesen. Kleinere Eingriffe fanden aber wohl statt, wie die Enthüllungen Edward Snowdens nahelegen. Nach den Dokumenten des ehemaligen NSA-Mitarbeiters fing eine Sondereinheit des Geheimdienstes Lieferungen von Laptops und Elektronikgeräten ab, um Lauschvorrichtungen und manipulierte Hardware einzubauen. "Cottonmouth" hieß etwa eine Komponente, die in USB-Ports eingebaut wurde, um der NSA einen Fernzugriff auf den betreffenden Computer zu verschaffen. Infolge der diversen Enthüllungen sah sich im vergangenen Jahr der US-Netzwerkausrüster Cisco veranlasst, von Regierungen weltweit einen Verzicht auf Manipulationen zu fordern.

Verglichen mit dem, was Wissenschaftler heute an Chip-manipulationen für möglich halten, erscheinen die NSA- Eingriffe allerdings fast grobmotorisch: Wenige zusätzliche Transistoren – winzige Elemente zum Steuern elektrischer Signale – könnten schon reichen, um das Verhalten eines Chips entscheidend zu ändern, sagt Georg Becker. Becker hat jüngst eine besonders fiese Variante in einer Simulation gezeigt: Er veränderte die Dotierung, also die Eigenschaften des Halbleitermaterials, aus dem die Transistoren entstehen.

Damit konnte er den Stromfluss in einem Segment des Chips so manipulieren, dass über einen Seitenkanal ein geheimer Schlüssel ausgelesen werden konnte. Ein Angreifer könnte also Daten, die mithilfe dieses Chips gesichert werden sollen, problemlos stehlen. In einem anderen, auf derselben Technik basierenden Angriffsszenario, gelang es ihm, Zufallszahlengeneratoren zu manipulieren, die nötig sind, um kryptografische Schlüssel zu erzeugen. Ein solcher Schlüssel sieht auf den ersten Blick sicher aus – besteht sogar Software-Tests –, wäre aber für den Angreifer leicht und schnell zu knacken.

Wem das noch nicht unheimlich genug ist: Um einen dieser Trojaner auf der untersten Ebene der Chipherstellung zu bauen, sind noch nicht einmal zusätzliche Transistoren nötig. Beim Vergleich mit dem Chipdesign wären solche Abweichungen nicht zu erkennen. Forschern der japanischen Ritsumeikan-Universität und von Mitsubishi Electric fanden zwar eine Methode, um solche manipulierten Schaltkreise aufzuspüren. Sie wussten allerdings, wonach sie suchen mussten. Genau das ist aber bei einem echten Angriff nur den Spionen oder Saboteuren selbst bekannt. "Im Moment wissen wir einfach noch zu wenig, wie so etwas detektiert werden kann, das ist noch ein offenes Forschungsgebiet", sagt Becker. Er spricht von einem "Katz-und-Maus-Spiel, ähnlich wie bei Software-Schädlingen".

Hinzu kommt, dass die milliardenschwere Branche mit Hunderten Fabriken weltweit schwer zu kontrollieren ist. Denn das massive Outsourcing von speziellem Know-how ist nicht mehr zurückzuschrauben: "Die Designs werden komplexer, es gibt immer mehr Funktionalitäten auf einem Chip – das können gerade kleinere Unternehmen unmöglich allein leisten", sagt Becker. Ein Smartphone-Chip etwa muss ein Funksignal empfangen können, Daten extrahieren, decodieren und Ton- oder Bildsignale produzieren. Diese Fähigkeiten sind in sogenannten Blocks codiert, die aus verschiedenen Teilen der Welt zusammengekauft werden.

Peter Laackmann, Chip-Sicherheitsexperte beim Hersteller Infineon, räumt ein, dass es für potenzielle Angreifer leichter geworden ist, sich die nötigen Analysewerkzeuge zu beschaffen und Attacken zu entwerfen. "Da kann man sich als Hersteller nicht einfach zurücklehnen und sagen, das geht uns nichts an." Sein Kollege Marcus Janke fügt an: "Wir achten schon beim Design darauf, dass wir Maßnahmen einbauen, die nicht für nachträgliche Veränderungen anfällig sind." Aber in den immer komplexeren Chips seien Backdoors leicht zu verstecken. "Da muss man schon darauf achten, dass eine Designänderung an einer Stelle nicht woanders ein Einfallstor schafft."

Eine Testmöglichkeit auf Hardware-Schädlinge wären Messungen von Stromverbrauch oder Wärmeabgabe, die geringstfügig ansteigen könnten, wenn irgendwo eine unerlaubte Aktion abläuft. "Bei einem großem Chip, auf dem viel passiert, ist damit aber wenig auszurichten. Eine Veränderung würde kaum auffallen", sagt Becker. Auch logische Tests haben ihre Grenzen: Ein Block etwa, der die Zahl fünf zu einem Input addieren soll, könnte so manipuliert sein, dass er erst bei der Eingabe 123456 einen Trojaner aktiviert und einen Angriff startet. Alle diese Spezialfälle zu testen würde den Rahmen des Möglichen sprengen. Ebenso wenig kann es hundertprozentige Entwarnung geben, wenn stichprobenartig Chips auseinandergenommen werden. "Sie haben keine Garantie, dass nicht doch ein Teil der Produktion korrumpiert ist."

Es sei dringend Forschung dazu nötig, "wie man die gesamte Kette der Zulieferung wieder verlässlich macht", sagt Mathias Wagner, der sich am Hamburger Standort des niederländischen Halbleiterherstellers NXP um Chipsicherheit kümmert. "Wenn ein Router-Hersteller seine ganzen Komponenten woanders bauen lässt und sich zusammenkauft, ist es schon vorstellbar, dass ein Hardware-Trojaner Ärger machen könnte." Die US-Armee kauft daher nur noch Chips von vertrauenswürdigen Lieferanten, sogenannten "Trusted Foundries", oder verlagert zumindest die entscheidenden Phasen der Chipherstellung in die Hände vertrauenswürdiger Fabriken. Doch auch diesen Ansatz sieht Wagner eher skeptisch. Die Spezialisierung bei der Chipfertigung sei einfach zu groß, das Know-how weltweit zu sehr verteilt, meint er. "Nach meiner Ansicht können solche reinen Kontrollmechanismen nicht greifen."

Sinnvoller seien Sicherheitsmerkmale im Chip, die dessen Vertrauenswürdigkeit sicherstellen. Diese Idee verfolgt mittlerweile auch das Pentagon: Dessen Forschungsagentur Darpa vergab Anfang des Jahres Fördergelder in zweistelliger Millionenhöhe an Speziallabore, um sogenannte Dialets zu entwickeln. Die winzigen Komponenten sollen künftig an jedem Chip stecken und diesen auf Echtheit und mögliche unerwünscht eingebaute Zusatzfunktionen prüfen. Resultate werden allerdings nicht vor Mitte kommenden Jahres erwartet.

Chiphersteller wie Infineon bauen daher schon heute vor. Zum einen müssen sich internationale Zulieferer gerade bei sensiblen Anwendungen konzerninternen Prüfungen und dem mehrstufigen Zertifizierungsprozess des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellen.

Zum Zweiten hat das Unternehmen bei sicherheitsrelevanten Chips Kontrollmechanismen eingebaut – etwa zwei sich gegenseitig auf ihre Funktion überprüfende Prozessoren, die auch in ihrem Kern mit dynamisch verschlüsselten Daten rechnen. Und drittens gelten bei der Produktion strenge Vorschriften. "Wir bewahren die Masken für Chipdesigns im Tresor auf", erklärt Janke. "Sie können nie alle gleichzeitig herausgenommen werden." Wer eine andere Schaltung einbauen wollte, müsste viele Masken gleichzeitig verändern – ein praktisch unmögliches Unterfangen, sind die Chipexperten überzeugt.

Für Mathias Wagner von NXP liegen die Hürden für einen Hardware-Trojaner tatsächlich sehr hoch. "Ich würde einen Schädling eher auf einer Software unterbringen, als dass ich versuchen würde, die Hardware des Chips zu manipulieren", sagt er. "Der Angreifer muss viel Ahnung haben und viel Geld investieren", räumt auch Becker ein. "Das können eigentlich nur Regierungen machen." Angesichts der Snowden-Enthüllungen ist diese Einschätzung nicht wirklich beruhigend. (bsc)