Kommentar zur UEFI-Lücke: Sie lernen es einfach nicht
Sicherheitsexperten haben eine kritische Lücke entdeckt, die in vielen UEFI-Firmware-Versionen klafft – vor fast einem Jahr. Doch viele PC- und Mainboard-Hersteller wissen bisher nichts davon. Das ist untragbar.
Vorweg: Hier geht es nicht darum, ob UEFI-Firmware sinnvoller oder besser ist als das altbewährte BIOS, mit dem x86-Systeme seit der PC-Steinzeit starten. Mit dem grundsätzlichen Problem, dass Firmware von IT-Geräten viel zu häufig kritische Sicherheitslücken aufreißt, hat der Streit um BIOS und UEFI nichts zu tun. Sicherheitslücken gab und gibt es sicherlich auch in klassischen BIOS-Versionen – man erfährt bloß selten etwas darüber. Die Sicherheitslücken in Intels UEFI-Referenzcode haben allerdings eine breitere Wirkung, weil dieser Code ins UEFI-BIOS besonders vieler Rechner eingeflossen ist.
Das eigentlich Fatale ist jedoch die Ignoranz vieler Unternehmen gegenüber IT-Sicherheit. Es fehlt auf so vielen Ebenen an Kompetenz, Strukturen und Problembewusstsein, dass man schier verzweifeln könnte. Das zeigt der zeitliche Ablauf der Kommunikation und Reaktionen beim aktuellen UEFI-Bug.
MITRE-Experten hatten die Sicherheitslücke schon vor 11 Monaten entdeckt und dann Intel, das CERT und "einige Hardware-Hersteller" informiert. Intel war nicht untätig und hat einerseits einen Patch fabriziert, andererseits aber auch mit den wichtigsten Entwicklern von UEFI-Firmware-"Rohlingen" gesprochen, also mit American Megatrends (AMI), Insyde und Phoenix. Bis Mai hatte es Intel dann geschafft, BIOS-Updates für eigene Produkte zu veröffentlichen; im August gingen die MITRE-Leute in die Öffentlichkeit und auch HP und Lenovo haben es geschafft, BIOS-Updates bereitzustellen.
Keine Kommunikation
Soweit die positiven Nachrichten. Denn auf der CERT-Webseite sind mit Apple, IBM, NEC, Sony und Toshiba fünf weitere Firmen aufgeführt, die zwar im Juli unterrichtet wurden, aber dem CERT bisher nicht geantwortet haben. Das spricht schon Bände. Aber was ist beispielsweise mit Acer, Asus und Fujitsu, um drei der größten PC-Hersteller der Welt zu benennen? Was ist mit Server-Größen wie Cisco, Huawei oder Quanta? Was mit Mainboard-Herstellern wie Gigabyte, MSI, Supermicro und Tyan? Was mit Embedded-Systems-Spezialisten wie Advantech, IEI Technology oder Kontron?
Die Liste ließe sich noch lange fortsetzen. Mehrere der von uns zu ihren Reaktionen auf den UEFI-Bug befragten Firmen haben davon erst durch die Berichterstattung auf heise online oder unsere Anfrage erfahren. Das zeigt, dass es offenbar keine etablierten Strukturen gibt, um Firmware-Sicherheitslücken zu kommunizieren – jedenfalls kommt die Information nicht bei den Nutzern der Systeme an.
Wo bleiben die Updates?
Wir Endnutzer können aber Probleme wie dieses nicht selbst lösen, sondern sind auf Unterstützung der Hersteller angewiesen – in diesem Fall auf Firmware-Updates. Diese sind offensichtlich für viele betroffene Systeme nicht verfügbar. Wie ist das möglich, wenn etwa AMI laut MITRE seit Monaten von dem Problem weiß?
Nach den Schwachstellen in IPMI-Fernwartung, in Routern und in Industriesteuerungen macht auch die UEFI-Panne klar, dass die betroffenen Hersteller der Sicherheit nicht genug Aufmerksamkeit und Ressourcen widmen. Wenn man seine jeweiligen Kunden mit kritischen Sicherheitsrisiken monatelang alleine lässt, stimmen die Prioritäten nicht. (ciw)
