Abo
  • Services:
Anzeige
Wie vertrauenswürdig ist unsere Hardware?
Wie vertrauenswürdig ist unsere Hardware? (Bild: Soeb, Wikimedia Commons)

Transparenz und offene Quellcodes

Anzeige

Dazu kommt: Staatliche Behörden, die Zertifizierungen durchführen, sind angesichts der Ereignisse der letzten Jahre nicht gerade vertrauenswürdiger geworden. Vom BSI etwa ist bekannt, dass es bis 2014 Geschäftsbeziehungen zum dubiosen französischen Zeroday-Händler Vupen unterhielt. Die Verquickung staatlicher IT-Sicherheitsinstitutionen mit Überwachungsmaßnahmen von Geheimdiensten ist nicht gerade geeignet, das Vertrauen in diese Institutionen zu stärken.

Ein weiteres Problem: Zertifizierungen werden in aller Regel nicht direkt von den entsprechenden Institutionen durchgeführt, sondern an externe Firmen ausgelagert. Eine Firma, die Zertifizierungen durchführt, will vor allem ihre Kunden zufriedenstellen. Sie hat eigentlich kein Interesse daran, besonders kritisch nachzuhaken und auch in Grenzfällen auf das Beheben von Sicherheitslücken zu bestehen.

Die Community springt ein

Ein Prozess, der wirklich Vertrauen in die Sicherheit von Firmwares schaffen soll, kommt ohne eine Offenlegung der Funktionalität und damit der Quellcodes nicht aus. Die offenen Quellen haben einen weiteren Vorteil: Üblicherweise verzichten Hardwarehersteller heute schon nach kurzer Zeit darauf, Sicherheitslücken in ihren Firmwares zu beheben und verweisen darauf, dass ältere Gerätegenerationen nicht mehr unterstützt werden. Mit offenen Quellcodes könnte in so einem Fall zumindest die Community dafür sorgen, dass es für wichtige Sicherheitslücken weiterhin Fixes gibt. Aus genau diesem Grund hat der IT-Sicherheitsexperte Dan Geer auf der letzten Black-Hat-Konferenz in Las Vegas gefordert, dass Unternehmen den Quellcode von Programmen, die nicht mehr unterstützt werden, offenlegen müssen.

Doch ein offener Quellcode reicht nicht aus, um für Sicherheit zu sorgen. Vielmehr sollten die Firmwares einem Audit durch eine entsprechende Fachfirma unterzogen werden. Auch hier bitte keine Geheimniskrämerei: Das Ergebnis des Audits sollte für jeden öffentlich einsehbar sein.

Reproduzierbare Buildprozesse

Als weiterer Baustein zu einer wirklich sicheren Firmware müsste zudem ein Beweis dafür vorliegen, dass die Firmware-Images auch wirklich dem Quellcode entsprechen, der veröffentlicht wurde. Einige freie Softwareprojekte, darunter beispielsweise Tor, nutzen bereits sogenannte reproduzierbare Buildprozesse. Die Idee: Der Compilevorgang der jeweiligen Software muss für jeden nachvollziehbar sein und es sollte am Ende bitidentisch das gleiche Binary herauskommen.

Doch selbst das reicht nicht aus, um zu verhindern, dass einzelnen Nutzern eine manipulierte Firmware untergeschoben wird. Denn die Prüfung des Buildprozesses werden nur einige wenige Nutzer durchführen. Gezielte Angriffe auf einzelne Nutzer würden vermutlich in den meisten Fällen nicht auffallen. Um das zu verhindern, wären öffentliche, überprüfbare Logs sinnvoll, in denen Prüfsummen der Firmware-Images hinterlegt werden. Solche Logs könnten mit ähnlichen Technologien wie die Bitcoin-Blockchain oder Certificate Transparency funktionieren. Durch einen Abgleich mit dem Log kann sich ein Nutzer vergewissern, dass er das gleiche Firmware-Image wie alle anderen Kunden erhält.

Alles unrealistisch?

Offener Quellcode, transparente Audits und reproduzierbare Builds: Ist das nicht alles komplett unrealistisch? Aus heutiger Sicht vermutlich ja. Doch gerade im Enterprise-Bereich haben die Hardwarehersteller in jüngster Zeit einiges an Vertrauen eingebüßt. Die Diskussionen darüber, ob man in den USA chinesischen Produkten trauen kann und ob man im Rest der Welt US-amerikanischen Produkten trauen kann, sind bekannt. Wenn die Industrie Vertrauen zurückgewinnen will, muss sie etwas dafür tun - auch wenn das nicht immer ganz einfach sein mag. Fragwürdige Zertifizierungen helfen nicht weiter, sie bergen vielmehr die Gefahr, dass sie als Placebo-Lösungen dienen und von wirklichen Fortschritten ablenken.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)

 IMHO: Zertifizierungen sind der falsche Weg

eye home zur Startseite
Accolade 29. Jan 2015

Hallo, mir ist, bei einem Rootkit Scan mit Spybot, aufgefallen das es hier Warnhinweise...

Moe479 27. Jan 2015

z.b. netzwerkarten bzw. onboard nics, die dinger haben eine eigene, typischerweise auch...

JTR 26. Jan 2015

Aha und das soll dich schützen. Ein allgemein nütziger Verein verklagst du dann als...

Juniper 26. Jan 2015

Der Zeitraum geht vermutlich trozdem in die Trillarden Jahre selbst wenn ich nur einen...

Nocta 26. Jan 2015

Deterministisch lösbar ist es sicher. Du meinst vermutlich, ob es in polynomialzeit von...



Anzeige

Stellenmarkt
  1. Rohde & Schwarz Cybersecurity GmbH, Leipzig
  2. Experis GmbH, Berlin
  3. GALERIA Kaufhof GmbH, Köln
  4. Hornetsecurity GmbH, Hannover


Anzeige
Top-Angebote
  1. (u. a. HP 15,6 Zoll 299,00€, Lenovo Ideapad 15,6 Zoll 499,00€, Acer 17,3 Zoll 499,00€)
  2. 32,99€
  3. 44,90€ statt 79,90€

Folgen Sie uns
       


  1. Fake News

    Ägypten blockiert 21 Internetmedien

  2. Bungie

    Destiny 2 mischt Peer-to-Peer und dedizierte Server

  3. Rocketlabs

    Neuseeländische Rakete erreicht den Weltraum

  4. Prozessor

    Intel wird Thunderbolt 3 in CPUs integrieren

  5. Debatte nach Wanna Cry

    Sicherheitslücken veröffentlichen oder zurückhacken?

  6. Drohne

    DJI Spark ist ein winziger Spaßcopter mit Gestensteuerung

  7. Virb 360

    Garmins erste 360-Grad-Kamera nimmt 5,7K-Videos auf

  8. Digitalkamera

    Ricoh WG-50 soll Fotos bei extremen Bedingungen ermöglichen

  9. Wemo

    Belkin erweitert Smart-Home-System um Homekit-Bridge

  10. Digital Paper DPT-RP1

    Sonys neuer E-Paper-Notizblock wird 700 US-Dollar kosten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

Wanna Cry: Wo die NSA-Exploits gewütet haben
Wanna Cry
Wo die NSA-Exploits gewütet haben
  1. Deutsche Bahn Schadsoftware lässt Anzeigetafeln auf Bahnhöfen ausfallen
  2. Wanna Cry NSA-Exploits legen weltweit Windows-Rechner lahm
  3. Mc Donald's Fatboy-Ransomware nutzt Big-Mac-Index zur Preisermittlung

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Tesla gewährt rückwirkend Supercharger-Gratisnutzung
  2. Elektroautos Merkel hofft auf Bau von Batteriezellen in Deutschland
  3. Strategische Entscheidung Volvo setzt voll auf Elektro und trennt sich vom Diesel

  1. Re: Warten wir die ersten Clones ab

    Mixermachine | 11:25

  2. Re: Ist doch Standard

    Deff-Zero | 11:25

  3. Re: Unix, das Betriebssystem von Entwicklern, für...

    Berner Rösti | 11:25

  4. Re: Toller Artikel, coole Technik

    Gugge | 11:25

  5. Re: Wirklich nicht umweltfreundlich?

    eXXogene | 11:23


  1. 11:30

  2. 11:10

  3. 10:50

  4. 10:22

  5. 09:02

  6. 08:28

  7. 07:16

  8. 07:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel