Öffentliche Prüfsummen, sichere und nutzerfreundliche Prüfmöglichkeiten, Open Source.
Dass Firmware nur in einem speziellen Hardwaremodus (z.B. Jumper umstecken oder kleiner Schalter unter einer überklebbaren/versiegelbaren Klappe) verändert (neu geflashed) werden kann, ist natürlich auch wichtig und eine gute Idee aber es braucht auch eine sichere Möglichkeit zur Verifikation der installierten Software - das ist zwar prinzipiell leicht möglich aber davon sind wir noch weit entfernt und das ist kein Zufall.
Man bedenke, dass nicht nur Firmware, sondern auch Chip-Mikrocodes verifizierbar sein müssen und dazu braucht es eine sichere read-only-Debugschnittstelle, d.h. die Chips müssen von grundauf sicher und verifizierbar entwickelt und gefertigt werden. Das ist nicht nur machbar, das ist unverzichtbar - man denke an Hacker, Spinagestaaten, Cyberwar und auch an die nicht ungefährliche KI-Entwicklung, siehe http://www.heise.de/forum/iX/News-Kommentare/Leistung-des-Hochleistungsrechners-SuperMUC-verdoppelt/die-Zukunft-der-Menschheit-haengt-davon-ab/posting-20950121/show/
Hier, noch ein paar bedeutende Gedanken und Lösungsansätze:
http://www.heise.de/tp/foren/S-Es-braucht-vor-allem-ein-sicheres-und-gutes-Internet/forum-294771/msg-26758469/read/
http://www.heise.de/forum/heise-Security/News-Kommentare/BIOS-Rootkit-LightEater-In-den-dunklen-Ecken-abseits-des-Betriebssystems/Die-Loesung-ist-eigentlich-ganz-einfach/posting-2235711/show/
http://www.heise.de/forum/heise-online/News-Kommentare/Gefaelschte-USB-Sticks-und-Micro-SD-Karten-weiter-im-Angebot/Kann-es-dann-auch-echte-Flash-Speicher-mit-schaedlicher-Firmware-geben/posting-3346778/show/
http://www.heise.de/forum/heise-online/News-Kommentare/Gefaelschte-USB-Sticks-und-Micro-SD-Karten-weiter-im-Angebot/revolutionaeres/posting-3365109/show/
Also so langsam ist es echt an der Zeit, dass diese Gedanken auch beim BSI, MAD, BND, Verfassungsschutz und den Parlamenten ankommen, denn die Sicherheit von Deutschland und der EU ist massiv gefährdet. Ich fordere, dass diese Gedanken zur IT-Sicherheit (öffentliche Prüfsummen, sichere und nutzerfreundliche Prüfmöglichkeiten, Open Source und read-only-Debugschnittstelle für alle wichtigen Computerchips, europäische ITK-Industrie) endlich als wichtig anerkannt werden und dazu hat dies das BSI dies auf seiner Webseite zu veröffentlichen und die Regierung muss wenigstens eine IT-Sicherheits-Kommission einrichten, die dies ganz oben auf ihrer öffentlichen Agenda hat. Solange das noch nicht passiert ist, solange muss man vermuten, dass die Mächte des Bösen genau das verhindern wollen.
Okay, vermutlich gibt es hier und da schon ein zunehmendes Problembewusstsein aber solange die Diener des Bösen eine allgemeine Veröffentlichung und Diskussion über sichere IT-Maßnahmen (öffentliche Prüfsummen, sichere und nutzerfreundliche Prüfmöglichkeiten, Open Source und read-only-Debugschnittstelle für alle wichtigen Computerchips, europäische ITK-Industrie) verhindern, ist die Lage ja wohl höchstbrisant.
Es ist schlicht und ergreifend verdächtig, wenn die EU in 3 Jahren sage und schreibe 315 Milliarden Euro für Computerinfrastruktur, Daten- und Energienetze bereitstellen will (siehe http://www.heise.de/newsticker/meldung/EU-Parlament-billigt-Investitionsplan-fuer-Netzausbau-2729689.html ) aber der Sicherheitsaspekt (inklusive Open Source und unabhängige europäische Hardware) nicht an erster Stelle genannt wird. Kann es sein, dass die EU mit dem Netzausbau auf ein Nebengleis und vom Sicherheitsaspekt abgelenkt wurde? Die EU soll Open Source mit jährlich wenigstens 1 Milliarde Euro fördern, dafür gibt es eine Menge Argumente, siehe http://www.heise.de/tp/foren/S-Sven-Giegold-scheint-mit-ein-eher-guter-Gruener-zu-sein-zwei-Ideen/forum-295214/msg-26828437/read/
Es ist schlich ein weiteres Zeichen für die Unterwanderung durch die Mächte des Bösen, wenn die EU nicht jährlich wenigstens 1 Milliarde Euro für die Open Source Entwicklung ausgibt. Wie kann es eigentlich sein, dass ich anscheinend der einzige bin der das fordert? Warum fordern das genau so nicht alle Parteien und IT-Organisationen? Warum liest man das nicht in jedem zweiten Heise-Thread? Unfassbar. Jährlich wenigstens 1 Milliarde Euro für die Open Source Entwicklung ist offensichtlich eine gute Idee, wobei das Geld natürlich nicht verschwendet werden soll, d.h. anfangs muss vielleicht weniger und später dafür mehr verteilt werden. (alles imho)
PS: noch was, das nachdenklich machen sollte:
"Der Hacker Cr4sh erklärt, wie er eine Hintertür in die UEFI-Firmware eines Intel-Mainboards einbaut. Dabei zeigen sich einmal mehr kritische Lücken in der x86-Plattform, vor allem beim System Management Mode. ..." http://www.heise.de/newsticker/meldung/Programmier-Tipps-fuer-die-BIOS-Backdoor-2748219.html
"System Management Mode (SMM) is an operating mode in IBM PC compatible computers in which all normal execution, including the operating system, is suspended and special separate software (usually part of the firmware or a hardware-assisted debugger) is executed with high privileges. ... By design, the operating system cannot override or disable the SMI. Due to this fact, it is a target for malicious rootkits to reside in, including NSA's "implants" which have individual code names for specific hardware, like SOUFFLETROUGH for Juniper Networks firewalls, SCHOOLMONTANA for J-series routers of the same company, DEITYBOUNCE for DELL, or IRONCHEF for HP Proliant servers. ..." http://en.wikipedia.org/wiki/System_Management_Mode
"The NSA ANT catalog is a 50-page classified document listing technology available to the United States National Security Agency (NSA) Tailored Access Operations (TAO) by the ANT division to aid in cyber surveillance. ..." http://en.wikipedia.org/wiki/NSA_ANT_catalog