Hacker können auch über Lücken im Betriebssystem oder in der Chip-Steuerung in Rechner eindringen. Das ist vor allem in der Energieversorgung und bei Banken heikel. Die Bundesregierung fordert hier absolute Kontrolle über die Computer – aber geht das?

Stuttgart - Eine Updatefunktion genügte dem Hacker, um in das System der Stadtwerke von Ettlingen einzudringen. Mit einem Schadprogramm brachte er die Leitstelle unter seine Kontrolle. Ein Tastendruck – und ein Strom-Blackout hätte die ganze Stadt lahmgelegt: Ampeln hätten nicht mehr geschaltet, Fahrstühle wären stecken geblieben, Bankautomaten hätten kein Geld mehr herausgerückt. Hätte, wäre, wenn – es ist nichts passiert. Denn die Stadtwerke hatten nur einen Profihacker angeheuert, um eventuelle Schwachstellen herauszufinden.

 

Updatefunktionen, die kurz die Sicherheitsschranken senken und damit Angriffe ermöglichen, sind weit verbreitet. Sie betreffen nicht nur das Betriebssystem, sondern sogar die Firmware, welche die Rechnerbauteile steuert. Hacker, Cyberkrieger und auch Softwarefehler können daher Rechner lahmlegen. Gerade für die Betreiber wichtiger Infrastrukturen wie der Telekommunikation, der Energieversorgung oder der Banken stellt sich daher die Frage, ob ihnen die Kontrolle über ihre Rechner langsam, aber sicher entgleitet. Viele Sicherheitsexperten bewegen die Fragen: Tun die Computer das, was wir wollen? Und wie können wir wissen, was sie tun?

Lesen Sie auch

Auch die Bundesregierung macht sich Sorgen. Schon vor drei Jahren forderte sie im Eckpunktepapier „Trusted Computing und Secure Boot“, dass Rechner in kritischen Bereichen uneingeschränkt kontrollierbar sein müssen. Absolut kontrollierbar sind Computer, wenn sie nur Programme ausführen, die überprüft werden können. Die Programme dürfen also keinen Code enthalten, der aus irgendeiner Quelle auf den Rechner gespielt wurde. Außerdem darf die Hardware keine unbekannten Funktionen enthalten. Und der einmal geprüfte Zustand darf nicht durch Aktualisierungen oder Wartung geändert werden.

Damit beim Booten kein Schadprogramm gestartet wird

All das ist in der Praxis nicht mehr selbstverständlich. Je nachdem, an welcher Stelle der Nutzer eine vollständige Kontrolle über seinen Rechner herstellen möchte, muss er einen enormen Aufwand treiben. Das neue Betriebssystem Windows 10 beispielsweise gilt zwar als sehr sicher, doch in der Home-Version für Normalnutzer nimmt es Software-Aktualisierungen vor, die der Nutzer nicht mehr abstellen kann. Thomas Kranig, Leiter der für Microsoft zuständigen Datenschutzaufsicht in Bayern, hat Microsoft deshalb jetzt aufgefordert, diese Funktion zu erklären.

Eine Ebene unterhalb des Betriebssystems liegt das BIOS oder sein Nachfolger UEFI. Sie regeln, welche Programme in welcher Reihenfolge hochgefahren, also „gebootet“ werden. Dort setzt der neue Sicherungsmechanismus „Secure Boot“ an: Er bewirkt, dass der Rechner nur ganz bestimmte Programme hochfährt. Damit soll verhindert werden, dass Schadsoftware schon beim Rechnerstart aktiviert wird. Die Sicherung basiert darauf, dass Microsoft bestätigt, ein bestimmtes Programm zu kennen und für den Start zuzulassen.

Weil aber diese Abstimmung vollständig verschlüsselt erfolgt, kann ein Prüfer nicht mehr erkennen, was an den Start gehen darf. Die Bundesregierung sorgt sich daher, dass der Schlüssel geklaut werden oder ein US-Sicherheitsdienst Microsoft zwingen könnte, eine Spionagesoftware zuzulassen. Beide Fälle wären schwierig nachzuweisen. Auch könnte Microsoft irgendwann verhindern, dass alternative Betriebssysteme wie Linux installiert werden.

Der Chip nimmt selbstständig Kontakt zum Server auf

Deshalb verlangt die Bundesregierung in ihrem Eckpunktepapier, dass man „Secure Boot“ ausschalten kann. Bislang ist das noch möglich. Vielleicht aber nicht mehr bei neuen Rechnern mit vorinstalliertem Windows 10, weil Microsoft den Aus-Schalter von den Rechnerherstellern nicht mehr verlangt. Schon jetzt fehlt er in Smartphones und Tablets. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit mehreren Herstellern schon vor einiger Zeit darüber verhandelt, konnte aber nur den US-Rechnerbauer HP überzeugen, den Aus-Schalter beizubehalten.

Eine Alternative wäre, die Schlüsseldatenbank für BIOS/UEFI selbst zu verwalten. Im Moment übernimmt das noch Microsoft, aber es ginge auch anders. Entsprechende Überlegungen hat die Bundesregierung schon angestellt. Dafür müssten die zugelassenen Programme geprüft und die Schlüssel sicher aufbewahrt werden. Doch die Angelegenheit ist noch nicht weit vorangekommen. Das Bundesinnen- und das Wirtschaftsministerium können sich seit Jahren nicht auf die Verwaltung einigen.

Ein weiteres Problem gibt es auf der untersten Rechnerebene, dort, wo die Rechenprozesse ablaufen: Der Kryptologe Rüdiger Weis von der Beuth-Hochschule für Technik in Berlin sieht in der „Management Engine“ von Intel-Chips ein „Betriebssystem unterhalb des Betriebssystems“. Diese Software koordiniert die Prozessoren des Chips. Wer hier einen eigenen Schlüssel unterbringen könne, hätte „unbegrenzte Macht“ über den Rechner: An Windows und Secure Boot vorbei könnten Angreifer alles Erdenkliche anstellen.

Das Bundesamt hat schon lange eine Lösung

Das ist zwar Spekulation, doch Anlass zur Sorge gibt es: Denn die Management Engine kann auf vielen Windows-Systemen automatisch einen Intel-Server kontaktieren. Damit sollen schwere Sicherheitslücken schnell geflickt werden können. Unabhängige Überprüfungen dieser Programmierung sind bis jetzt nicht bekannt. Wenig vertrauenserweckend ist auch, dass sich Intel weigert, die Funktionen vollständig zu beschreiben oder gar den Software-Code offenzulegen. Eine Alternative ist die transparente Coreboot-Firmware für AMD-Chips. Doch hier sind Teile der Programmierung noch nicht dokumentiert, auch eine Sicherheitslücke wurde schon entdeckt.

Tatsächlich gibt es schon eine technische Lösung, die diese Probleme umgehen kann: Das BSI hat vor mehr als zehn Jahren das SINA-Konzept für Rechner entwickelt, die auch mit als „geheim“ gestempelten Informationen umgehen können. Die SINA-Rechner bestehen aus üblicher Hardware etwa von Lenovo oder Dell. Sie starten mit Coreboot, und Intels Management Engine hat keinen Zugriff auf das Betriebssystem. Mit verschiedenen Verschlüsselungstechniken wird für die Integrität des Betriebssystems gesorgt. Eingesetzt werden diese Rechner bislang beispielsweise von der Luftwaffe, dem Auswärtigen Amt und den Berliner Wasserwerken. Sehr verbreitet sind sie aber nicht, weil ihr Einsatz lediglich empfohlen, aber nicht verlangt wird.

Wie sicher ist ein Betriebssystem?

Prüfung
Microsoft gewährt Regierungsvertretern seit Kurzem in einem „Transparency Center“ in Brüssel Einblick in den Software-Code ihrer Programme – aber nur unter strengen Auflagen. Die Prüfer dürfen eigenes Prüfwerkzeug mitbringen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält dennoch nur oberflächliche Prüfungen für möglich.

Ergebnisse
Das BSI pflegt auf seiner Website eine Liste von Hardware und Software, die bestimmte Prüfungen des Bundesamts durchlaufen haben. Hier kann man nachsehen, für welche Sicherheitsstufe ein Software-Produkt erfolgreich getestet worden ist.

Aufwand
Nur wenige Betriebssysteme wurden bisher vollständig überprüft, weil der Prüfaufwand sehr hoch und damit auch teuer ist.