Winzige Spionage-Chips aus China: Was dafür spricht – und was dagegen
Ein Bericht über winzige Chips auf Supermicro-Boards sorgt derzeit für helle Aufregung: Eine Einschätzung von Jürgen Schmidt, Chefredakteur heise Security.
(Bild: Bloomberg Businessweek)
Der Bericht des US-Wirtschaftsmagazins Bloomberg Businessweek über winzige chinesische Spionage-Chips auf Mainboards des führenden Herstellers Supermicro sorgt für Aufregung – nicht nur in der IT-Welt. Die direkt auf die Boards gelöteten Spionagechips können demnach einer Spezialabteilung der chinesischen Volksbefreiungsarmee Hintertüren auf die Server öffnen. Der Artikel bietet jede Menge Anlass für Diskussionen, nicht nur darüber, wie die Lieferketten abgesichert werden können. Mehrere Dinge sind dabei auffällig, eine abschließende Bewertung ist noch nicht möglich.
Argumente für und wider
Der geschilderte, technische Sachverhalt jedenfalls ist generell möglich. Dass es solche Angriffe auch gibt, ist sogar wahrscheinlich. Ob jedoch an dem konkreten Fall mit Supermicro etwas dran ist, lässt sich sehr schwer beurteilen.
Derzeit gibt es sehr starke Argumente für beide Thesen – also sowohl für die Einschätzung, "die Supermicro-Trojaner aus China sind real" (+) als auch für "Bloomberg hat da wissentlich oder unwissentlich eine Ente produziert" (–):
+ Bloomberg hat einen Ruf zu verlieren und behauptet, für seine Story außergewöhnlich viele unabhängige Quellen geprüft zu haben.
– Leider sind die Quellen bisher alle anonym.
– Die Dementis der Firmen sind sehr konkret auf die Aussagen bezogen aber dabei nicht überspezifisch. Anders als viele Routine-Dementis wirken sie außergewöhnlich glaubwürdig.
+ Dementis zu Aussagen, die den Börsenkurs gefährden, gehören zum Geschäft
– Wenn der Fall real wäre, müssten US-Behörden Warnungen aussprechen, die US-Firmen von der Bedrohung in Kenntnis setzen und ihnen helfen sich zu schützen. Das ist deren Aufgabe - die können sie nicht einfach ignorieren. Dass es solche konkreten Warnungen von DHS und US-CERT nicht gibt, spricht Bände.
+ Vielleicht haben die bisher genauso wenig Informationen wie wir – und fragen sich gerade, ob die Informationen, die sie haben, für eine solche Warnung reichen.
+ Technisch ergibt die Geschichte Sinn. Zumindest theoretisch.
– Bislang sind keinerlei konkrete technische Details etwa zur Funktionsweise bekannt, die belegen könnten, dass das real gemacht wurde. Eine richtige Analyse würde mehr über die technische Funktionsweise verraten, als bisher bekannt ist. Es ist durchaus auch denkbar, dass es sich in der Realität nur um unbekannte, aber legitime Chips handelt und die Geschichte nur übermäßig aufgebauscht wurde.
Auch Experten uneins
Auch die Security-Szene insgesamt ist eher unentschieden. Die meisten echten Experten halten sich mit einem Urteil zurück. Für jeden, der sich für eine Seite ausspricht, findet sich einer, der die Gegenposition vertritt.
Letztlich müssen wir jetzt also abwarten, bis sich der Rauch etwas legt. Außerdem können Experten jetzt damit beginnen, Supermicro-Boards gezielt auseinander zu nehmen und zu analysieren. Mit etwas Glück werden außerdem weitere Fälle bekannt werden. Oder jemand der solche Wanzen tatsächlich gefunden und analysiert hat, meldet sich jetzt zu Wort. Spätestens in ein oder zwei Wochen sollte etwas klarer sein, was wirklich Phase ist. Angesichts der angeblich bereits über Jahre laufenden Angriffe und Ermittlungen sollten wir uns den Luxus erlauben, darauf zu warten. (mho)
