Abo
  • Services:
Anzeige
Wie vertrauenswürdig ist unsere Hardware?
Wie vertrauenswürdig ist unsere Hardware? (Bild: Soeb, Wikimedia Commons)

Transparenz und offene Quellcodes

Anzeige

Dazu kommt: Staatliche Behörden, die Zertifizierungen durchführen, sind angesichts der Ereignisse der letzten Jahre nicht gerade vertrauenswürdiger geworden. Vom BSI etwa ist bekannt, dass es bis 2014 Geschäftsbeziehungen zum dubiosen französischen Zeroday-Händler Vupen unterhielt. Die Verquickung staatlicher IT-Sicherheitsinstitutionen mit Überwachungsmaßnahmen von Geheimdiensten ist nicht gerade geeignet, das Vertrauen in diese Institutionen zu stärken.

Ein weiteres Problem: Zertifizierungen werden in aller Regel nicht direkt von den entsprechenden Institutionen durchgeführt, sondern an externe Firmen ausgelagert. Eine Firma, die Zertifizierungen durchführt, will vor allem ihre Kunden zufriedenstellen. Sie hat eigentlich kein Interesse daran, besonders kritisch nachzuhaken und auch in Grenzfällen auf das Beheben von Sicherheitslücken zu bestehen.

Die Community springt ein

Ein Prozess, der wirklich Vertrauen in die Sicherheit von Firmwares schaffen soll, kommt ohne eine Offenlegung der Funktionalität und damit der Quellcodes nicht aus. Die offenen Quellen haben einen weiteren Vorteil: Üblicherweise verzichten Hardwarehersteller heute schon nach kurzer Zeit darauf, Sicherheitslücken in ihren Firmwares zu beheben und verweisen darauf, dass ältere Gerätegenerationen nicht mehr unterstützt werden. Mit offenen Quellcodes könnte in so einem Fall zumindest die Community dafür sorgen, dass es für wichtige Sicherheitslücken weiterhin Fixes gibt. Aus genau diesem Grund hat der IT-Sicherheitsexperte Dan Geer auf der letzten Black-Hat-Konferenz in Las Vegas gefordert, dass Unternehmen den Quellcode von Programmen, die nicht mehr unterstützt werden, offenlegen müssen.

Doch ein offener Quellcode reicht nicht aus, um für Sicherheit zu sorgen. Vielmehr sollten die Firmwares einem Audit durch eine entsprechende Fachfirma unterzogen werden. Auch hier bitte keine Geheimniskrämerei: Das Ergebnis des Audits sollte für jeden öffentlich einsehbar sein.

Reproduzierbare Buildprozesse

Als weiterer Baustein zu einer wirklich sicheren Firmware müsste zudem ein Beweis dafür vorliegen, dass die Firmware-Images auch wirklich dem Quellcode entsprechen, der veröffentlicht wurde. Einige freie Softwareprojekte, darunter beispielsweise Tor, nutzen bereits sogenannte reproduzierbare Buildprozesse. Die Idee: Der Compilevorgang der jeweiligen Software muss für jeden nachvollziehbar sein und es sollte am Ende bitidentisch das gleiche Binary herauskommen.

Doch selbst das reicht nicht aus, um zu verhindern, dass einzelnen Nutzern eine manipulierte Firmware untergeschoben wird. Denn die Prüfung des Buildprozesses werden nur einige wenige Nutzer durchführen. Gezielte Angriffe auf einzelne Nutzer würden vermutlich in den meisten Fällen nicht auffallen. Um das zu verhindern, wären öffentliche, überprüfbare Logs sinnvoll, in denen Prüfsummen der Firmware-Images hinterlegt werden. Solche Logs könnten mit ähnlichen Technologien wie die Bitcoin-Blockchain oder Certificate Transparency funktionieren. Durch einen Abgleich mit dem Log kann sich ein Nutzer vergewissern, dass er das gleiche Firmware-Image wie alle anderen Kunden erhält.

Alles unrealistisch?

Offener Quellcode, transparente Audits und reproduzierbare Builds: Ist das nicht alles komplett unrealistisch? Aus heutiger Sicht vermutlich ja. Doch gerade im Enterprise-Bereich haben die Hardwarehersteller in jüngster Zeit einiges an Vertrauen eingebüßt. Die Diskussionen darüber, ob man in den USA chinesischen Produkten trauen kann und ob man im Rest der Welt US-amerikanischen Produkten trauen kann, sind bekannt. Wenn die Industrie Vertrauen zurückgewinnen will, muss sie etwas dafür tun - auch wenn das nicht immer ganz einfach sein mag. Fragwürdige Zertifizierungen helfen nicht weiter, sie bergen vielmehr die Gefahr, dass sie als Placebo-Lösungen dienen und von wirklichen Fortschritten ablenken.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)

 IMHO: Zertifizierungen sind der falsche Weg

eye home zur Startseite
Accolade 29. Jan 2015

Hallo, mir ist, bei einem Rootkit Scan mit Spybot, aufgefallen das es hier Warnhinweise...

Moe479 27. Jan 2015

z.b. netzwerkarten bzw. onboard nics, die dinger haben eine eigene, typischerweise auch...

JTR 26. Jan 2015

Aha und das soll dich schützen. Ein allgemein nütziger Verein verklagst du dann als...

Juniper 26. Jan 2015

Der Zeitraum geht vermutlich trozdem in die Trillarden Jahre selbst wenn ich nur einen...

Nocta 26. Jan 2015

Deterministisch lösbar ist es sicher. Du meinst vermutlich, ob es in polynomialzeit von...



Anzeige

Stellenmarkt
  1. ING-DiBa AG, Nürnberg
  2. über Hanseatisches Personalkontor Mannheim, Mannheim
  3. T-Systems International GmbH, München, Berlin, Leinfelden-Echterdingen
  4. CSL Behring GmbH, Marburg


Anzeige
Hardware-Angebote
  1. 115,00€ - Bestpreis!
  2. 719,00€ + 3,99€ Versand (Vergleichspreis ab 773€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Matrix Voice

    Preiswerter mit Spracherkennung experimentieren

  2. LTE

    Telekom führt Narrowband-IoT-Netz in Deutschland ein

  3. Deep Learning

    Wenn die KI besser prügelt als Menschen

  4. Firepower 2100

    Cisco stellt Firewall für KMU-Bereich vor

  5. Autonomes Fahren

    Briten verlieren Versicherungsschutz ohne Software-Update

  6. Kollisionsangriff

    Hashfunktion SHA-1 gebrochen

  7. AVM

    Fritzbox für Super Vectoring weiter nicht verfügbar

  8. Nintendo Switch eingeschaltet

    Zerstückelte Konsole und gigantisches Handheld

  9. Trappist-1

    Der Zwerg und die sieben Planeten

  10. Botnetz

    Wie Mirai Windows als Sprungbrett nutzt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. MX Board Silent im Praxistest Der viel zu teure Feldversuch von Cherry
  3. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig

Hyperloop-Challenge: Der Kompressor macht den Unterschied
Hyperloop-Challenge
Der Kompressor macht den Unterschied
  1. Arrivo Die neuen alten Hyperlooper
  2. SpaceX Die Bayern hyperloopen am schnellsten und weitesten
  3. Hyperloop HTT baut ein Forschungszentrum in Toulouse

  1. Re: Wirklich witzig

    User_x | 00:05

  2. Re: Genau der gleiche Beschiss wie bei Vodafone!

    Eheran | 00:05

  3. Re: Der schlaue Gamer holt sich den RyZen 1600X...

    medium_quelle | 00:02

  4. bidde nich:/

    Gandalf2210 | 00:02

  5. Re: xD ein Smart für 22.000¤

    User_x | 23.02. 23:57


  1. 17:37

  2. 17:26

  3. 16:41

  4. 16:28

  5. 15:45

  6. 15:26

  7. 15:13

  8. 15:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel