Intel: Innovation Engine ergänzt Management Engine (ME)

Seit rund zehn Jahren bringen Chipsätze und Systems-on-Chip (SoCs) von Intel eine Management Engine (ME) mit, die unabhängig vom Betriebssystem arbeitet. Bei den Q-Chipsätzen für Bürocomputer stellt sie Fernwartungsfunktionen bereit, längst hat sie aber noch weitere Aufgaben übernommen, etwa bei der Initialisierung des Systems. Künftig kommt zur ME noch die Innovation Engine (IE) hinzu: Deren Firmware und somit den Funktionsumfang dürfen die Hersteller der Systeme oder Mainboards selbst entwickeln, während die verschlüsselte und kryptografisch signierte ME-Firmware stets von Intel stammt. Auch die IE soll mit Signaturen vor Manipulation geschützt werden, die Verantwortung dafür liegt aber nicht bei Intel.

Auf der Messe embedded world stellte der BIOS- und Firmware-Spezialist American Megatrends (AMI) seine Ideen für die Innovation Engine vor. Dazu gehört die Fernwartung AMI MegaRAC PM-X mit einem Funktionsumfang, der über Intels Active Management Technology (AMT) hinausgeht. Für Server wären typische IPMI-Funktionen möglich, also das Bereitstellen von Messwerten von Spannung, Temperaturen, Lüfterdrehzahlen per Ethernet. Mit solchen Spezialitäten könnten sich Mainboard- oder Systemhersteller stärker voneinander unterscheiden, ohne teure Zusatzchips wie Baseboard Management Controller (BMC) kaufen zu müssen.

Es ist abzusehen, dass die IE auch Kritiker auf den Plan ruft. Wie zahlreiche (UEFI-)BIOS-, IPMI- und Firmware-Probleme in der Vergangenheit gezeigt haben, drohen in diesem Bereich schwere Sicherheitsrisiken. Doch selbst, wenn die jeweiligen Hersteller mit großer Sorgfalt vorgehen oder mit Open-Source-Code das Vertrauen steigern würden, bleibt der grundsätzliche Einwand, dass eine vom Betriebssystem unabhängige Funktionsschicht die Komplexität von Systemen erhöht und die Wahrscheinlichkeit von Sicherheitslücken steigert. (ciw)