Ist es eigentlich angebracht, die chinesische Technologieproduktion als Bedrohung für die IT-Sicherheit (speziell die US-Lieferkette) zu sehen? Brian Krebs beleuchtet diese Frage in seinem Blogpost. Hintergrund seiner zu Papier gebrachten Gedanken ist der Bloomberg Bericht über die winzigen Spionagechips, die auf wichtigen Server-Motherboards der Firma Supermicro gefunden wurden.

Siehe auch: Supergau Chinesischer Spionagechip: kleiner Chip – große Spionagegefahr

Zunächst sagt er, das dies ja eigentlich nichts Neues sei:

„Vor mehr als einem Jahrzehnt, als ich Reporter bei der Washington Post war, hörte ich aus einer extrem guten Quelle, dass ein chinesisches Tech-Unternehmen, das eine kundenspezifische Hardwarekomponente für viele internetfähige Drucker herstellte. Diese Komponente konnte heimlich von jedem Dokument oder Bild, das an den Drucker gesendet wurde, eine Kopie anfertigten und an einen Server weiterleiteten. Der Server soll angeblich von Hackern kontrolliert worden sein, der mit der chinesischen Regierung in Verbindung stand.“

„Wem schieben wir jetzt eigentlich die Schuld zu? Der Marke, den vielen verschiedenen Komponentenherstellern? Haben diese so etwas absichtlich gemacht oder wurde es heimlich eingeschleust während des Produktions- oder Lieferprozesses? Vielleicht geht’s hier ja gar nicht um Komponentensicherheit, sondern um Lieferkettensicherheit.“

Und dann weist er auch noch daraufhin, dass es in der Tat zahlreiche Beispiele für andere Länder gibt, darunter die Vereinigten Staaten und ihre Verbündeten, die ihre eigenen „Hintertüren“ in Hardware- und Softwareprodukte eingebaut haben.

Sicherheitsexperte Bruce Schneier bezeichnet die Lieferkettensicherheit als

„ein unüberwindlich schwieriges Problem. Die meisten Bemühungen der US-Regierung, die weltweite Technologie-Lieferkette zu überwachen, scheinen sich rein darauf zu konzentrieren, Fälschungen zu verhindern – und nicht geheime Spionageteile aufzuspüren.“

Vorsätzlichen Bemühungen, die Sicherheit der technologischen Lieferkette zu untergraben, werden meistens überhaupt nicht publik gemacht – das Militär klassifiziert sie sofort. Daher ist es schwer zu sagen, wie die Wirklichkeit aussieht. Der US-Kongress hat sich allerdings in mehreren Anhörungen mit der Lieferkettensicherheit befasst und Schritte unternommen, dass chinesische Technologieunternehmen daran gehindert werden, mit der US-Regierung oder in den USA ansässigen Unternehmen Geschäfte zu machen.

Ein aktuelles Beispiel dafür sei der Verkauf von in China hergestellten ZTE- und Huawei-Telefonen auf Militärstützpunkten. Außerdem hat sie auch eine siebenjährige Exportbeschränkung für ZTE eingeführt. Das alles wegen imminenter Sicherheitsbedenken. Die US-Regierung gibt es nicht gern zu, sagt Krebs, aber seit Langem gibt es eine inoffizielle Liste über verbannte technische Komponenten und Anbieter. Der Kauf der dort gelisteten Produkte oder Dienstleistungen im Auftrag der US-Regierung ist offiziell verboten. Alle auf der Liste sind in irgendeiner Form dabei erwischt worden, die Lieferkettensicherheit zu kompromittieren.

Aber im Zusammenhang mit der Computer- und Internetsicherheit bezieht sich die Lieferkettensicherheit auf die Herausforderung, zu überprüfen, dass eine bestimmte Elektronik keine fremden oder betrügerischen Komponenten enthält. Wessen Aufgabe und Verantwortung ist das letztendlich? Hersteller, Verkäufer, Zwischenhändler, Endkunde? Anhand des Supermicro-Falls können wir ja schon ahnen, wie schwierig es ist, solchen Manipulationen auf die Spur zu kommen. Nur Amazon und Apple waren überhaupt in der Lage die Spionagekomponente zu entdecken. Und diese Motherboards werden in Millionen von Rechnern weltweit eingebaut – für wichtige und weniger wichtige Endkunden.

Dann macht Krebs auch nochmals ganz klar:

Was für eine Wahl haben US-Endkunden eigentlich? China ist und bleibt der günstigste Markt für Massenhersteller von IT-Komponenten. Daran wird sich über kurz oder lang auch nichts ändern.

Und, so Krebs weiter,

die USA hätten sich das selbst zuzuschreiben – es sei schlicht und einfach zu teuer hierzulande zu produzieren.

Und auch der Bloomberg-Bericht geht darauf ein:

„Es sind Entscheidungen, die vor Jahrzehnten getroffen wurden, um hoch technisierte Produktionsarbeiten nach Südostasien auszulagern. In der Zwischenzeit hatte die kostengünstige chinesische Fertigung die Geschäftsmodelle (und den Erfolg übrigens auch) vieler der größten Technologieunternehmen Amerikas unterstützt. Apple stellte zum Beispiel viele seiner hoch entwickelten Elektronikprodukte schon früh im Inland her. Und dann, 1992 schloss Apple eine hochmoderne Fabrik für Motherboard- und Computermontage in Fremont, Kalifornien und ließ einen Großteil dieser Arbeit nach Übersee auslagern.“

Es ist ja nicht so, dass vor allem westliche Geheimdienste in den letzten Jahrzehnten nicht vor derartigen Bedrohungen gewarnt hatten. Aber China hat sich unwiderruflich zur Werkstatt für die Welt hochgearbeitet. Gleichzeitig hat jeder das Gefühl, dass sich Chinas Spione in seine Produktionsstätten einmischen. Kommerzielle Systeme werden immer dort gebaut, wo die Kapazität am größten und am günstigsten ist.

Ein ehemaliger US-Beamter beschreibt das als Tanz mit dem Teufel:

„Sie können ein gutes Angebot haben und es kann garantiert sicher sein. Oder Sie können ein günstigeres Angebot haben, bei dem aber ein gewisses Risiko besteht. Die meisten Unternehmen haben sich bewusst für die zweite Möglichkeit entschieden.“

Krebs:

„Jahrelange Erfahrung hat gezeigt, dass Verbraucher nicht daran interessiert sind, einen hohen Preis für zusätzliche Sicherheit zu zahlen, wenn ein vergleichbares Produkt mit genau den gewünschten Funktionen viel billiger erhältlich ist.“

Mit dem Internet der Dinge ist es im Prinzip dasselbe. Sie sind bekanntlich ein Sicherheitsproblem. Sie sind aber von Haus aus unsicher und außerdem nicht gerade simpel sicher zu machen. Es gibt bisher keine Hinweise, dass irgendein Hersteller hier absichtlich Sicherheitsrisiken einbaut. Eigentlich ist es eher so in diesem Fall, dass die Hersteller, die gut gesicherte und sicherbare Produkte herstellen von den Verbrauchern eher gemieden werden. Warum? Ganz einfach – sie sind nicht gerade billig.

Brian Krebs will unser Augenmerk aber auf einige Dinge lenken, die aus seiner Sicht ein paar Gedanken wert sind und dazu beitragen können, vor allem die Bedrohung durch heimliche Lieferkettenhacks zu verringern. Er weist auf ein Beitrag vom SANS Sicherheitsexperten William Hugh Murray hin:

1. Vergeben Sie für alle Anwendungen, außer den trivialen, Kennwörter. Steve Jobs und das allgegenwärtige Mobil-Computing haben die Hürden hierfür gesenkt und die Bequemlichkeit und Möglichkeit starker Authentifizierung ermöglicht.
2. Beenden Sie „flache Netzwerke“. Sichere und vertrauenswürdige Kommunikation ist heute ein Kinderspiel zwischen allen Kommunikationskanälen.
3. Stufen Sie die Internetverkehrsüberwachung von „empfohlen“ auf „notwendig“ hoch.
4. Richten Sie eine End-to-End-Verschlüsselung für alle Anwendungen ein. Denken Sie an SSL/TLS, VPNs, VLANs und physisch segmentierte Netzwerke. Software Defined Networks machen dies für die meisten Unternehmen erschwinglich.
5. Verzichten Sie auf die zwar bequemen, aber auch gefährlichen, zulässigen Standardzugriffssteuerungsregeln wie „Lesen / Schreiben / Ausführen“ zugunsten eines restriktiven „Nur Lesen / Ausführen“ oder noch besser: „Wenige Privilegien“. Das geringste Privileg ist in der Verwaltung zwar teurer, aber viel effektiver. Unsere derzeitige Strategie, „mit geringer Qualität früh ausliefern / später Patchen“, erweist sich als viel ineffektiver und teurer in Sachen Wartung und bei Datenpannen, als wir es uns je hätten vorstellen können.

Artikel von krebsonsecurity.com, 05.10.2018: Supply Chain Security is the Whole Enchilada, But Who’s Willing to Pay for It?

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0