Hack or no Hack? Unsere Einschätzung zum Chip Hack

(Foto: Cover Bloomberg Businessweek, Oct. 8, 2018, Photographer: Victor Prado)

Am Morgen des 04. Oktober 2018 hat die amerikanische Businessweek, ein Unternehmen des Bloomberg Medien-Konzerns, eine IT-Bombe platzen lassen: In ihrem Artikel beschreibt sie, wie der militärische Geheimdienst der Republik China etwa 30 US-amerikanische Unternehmen – unter anderem auch unseren Partner Supermicro – im Jahre 2015 mit modifizierter Serverhardware infiltriert haben soll. Der Originalbericht ist hier zu lesen:

https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies?srnd=businessweek-v2

Dieser Bericht hat weltweit große Wellen geschlagen und wurde vielfach interpretiert und auch politisiert. Und: Er hat auch dafür gesorgt, dass sich der Aktienwert des Serverherstellers Supermicro zwischenzeitlich halbierte. Als berechtige Zweifel an der Evidenz der Behauptungen im Bericht laut wurden, legte Bloomberg mit einer weiteren Enthüllungsgeschichte am 09. Oktober 2018 nach, in der auch eine namentliche Quelle für die Behauptungen hinterlegt ist. Der zweite Bericht ist hier zu lesen:

https://www.bloomberg.com/news/articles/2018-10-09/new-evidence-of-hacked-supermicro-hardware-found-in-u-s-telecom


From China with Love?
Im Kern der ganzen Story geht es um politische und industrielle Spionage: Bis zu vier auf dem chinesischen Festland befindliche Auftragsfertiger von Supermicro sollen im Jahre 2015 von Seiten des chinesischen militärischen Geheimdienstes durch Bestechung und Drohungen dazu gezwungen worden sein, das Platinen-Layout von spezieller Bladeserver-Hardware heimlich zu modifizieren. Dadurch konnte angeblich ein mikroskopisch kleiner Chip während der Produktion unbemerkt in die Hardware integriert werden.

Das von den Abmessungen extrem kleine Bauteil – es soll kleiner als eine Bleistiftspitze sein – soll es ermöglicht haben, das Baseboard Management der Server zu kompromittieren. Das Baseboard Management – besser bekannt unter der Bezeichnung KVM/ILOM – ist ein von allen namhaften Serverherstellern verbauter separater kleiner »Computer-im-Computer«. Er ermöglich es Administratoren den entsprechenden Server zu überwachen, zu warten, und auf diesen zuzugreifen. Der eingeschleuste Chip soll Softwarecode auf der KVM/ILOM Hardware ausführen können und damit eine »feindliche Übernahme« der Serverhardware ermöglichen.

Des Weiteren sollen ungenannte hochrangige Mitarbeiter von den betroffenen Unternehmen Apple und Amazon, sowie ebenfalls anonyme Quellen aus FBI und amerikanischem Geheimdienst, Kenntnis über die Vorgänge aus 2015 und diese der Businessweek bestätigt haben.


Die IT-Abhängigkeit des Westens
Server des US-amerikanischen Herstellers Supermicro werden in sehr großen Stückzahlen in den Rechenzentren der Welt genutzt. Der Hersteller ist als Technologieführer anerkannt und bekannt dafür, Hardware an Kundenanforderungen auch in großen Stückzahlen anpassen zu können – und dass bei moderaten Preisen. Wie nahezu ausnahmslos bei allen anderen Herstellern, gilt auch bei Supermicro das Prinzip »Designed by Supermicro in USA – Made in China«.

Eine relativ geringe Anzahl global agierender Auftragsfertiger produzieren als »Werkbank der Welt«, vorzugsweise auf dem chinesischen Festland, den Großteil aller Smartphones, Unterhaltungselektronik aber auch eben Server-, Storage- und Netzwerk-Hardware für Unternehmen – egal unter welchem Label sie auch verkauft werden. Die bekanntesten unter ihnen sind: Foxconn Technology Group, Taiwan Semiconductor Manufacturing Company (TSMC) und Pegatron Corporation. Fabriken dieser Auftragsfertiger findet man mittlerweile auch in Europa, den USA und der weiteren westlichen Welt. Erschwerend kommt hinzu, dass viele der Auftragsfertiger die elektronischen Basiskomponenten aus Kostengründen mittlerweile selbst herstellen.

Es ist selbsterklärend, dass – bei aller ernstgenommenen Kontrolle durch die Auftraggeber – diese Kontrolle endlich ist und ein grundsätzliches Vertrauen zwischen Auftraggeber und Auftragnehmer bestehen muss.


Klare Dementis
Von den circa 30 betroffenen Unternehmen sind namentlich aktuell nur die Firmen »Apple« und »Amazon« bekannt. Die beiden Unternehmen bestreiten ungewöhnlich deutlich, dass sie Kenntnis von den beschriebenen Vorgängen gehabt hätten. Dies hätten sie auch der Businessweek vor der Veröffentlichung, als sie auf den geplanten Artikel angesprochen wurden, mehrfach mitgeteilt. Als börsennotierte Unternehmen wären sie zur Veröffentlichung der massiven Sicherheitslücke ohnehin verpflichtet gewesen. Die Firma Apple ist bereits so weit gegangen, dass deren höchstrangiger Security Manager, Ausschüsse des US-Senats und Homeland Security unterrichtet hat.

Sowohl das britische »National Cyber Security Center« als auch das »U.S. Department of Homeland Security« haben sich geäußert, dass sie keinerlei Gründe hätten den Aussagen von Apple und Amazon nicht zu glauben.

https://www.cnbc.com/2018/10/08/apple-tells-congress-it-found-no-signs-of-a-hacking-attack.html


Gut möglich – aber wo sind die Beweise?
Aktuell gibt es keinerlei Beweise, die die Behauptungen der Artikel der Businessweek unterstreichen. Es wird aktuell bis auf die Quelle des zweiten Bloomberg-Berichts – Yossi Appleboum, Mitgründer der auf Hardware-Security spezialisierten Firma Sepio Systems – namentlich niemand erwähnt. Und auch die genannte Quelle des ersten Bloomberg-Berichts macht mittlerweile einen Rückzieher: Joe Fitzpatrick, Gründer von Hardware Security Resources LLC, bestreitet gegenüber Bloomberg nicht die technische Möglichkeit des Hacks, äußert aber erhebliche Zweifel an der veröffentlichten Geschichte. Dazu passt, dass es – aktuell immer noch – keine detaillierte technische Beschreibung der Funktionsweise des Chips gibt, ebenso wenig wie echte Fotos.

Das perfide an der gesamten Situation: Genau wie Fitzpatrick sind sich die Security-Experten weltweit einig, dass die beschriebene Vorgehensweise technisch funktionieren könnte. Wenn die global akzeptierte Lieferkette wirklich von einem Staat auf diese Weise gehackt worden wäre, dann ist das gesamte Konstrukt der ausgelagerten Produktion durch Auftragsfertiger auf dem chinesischen Festland in Frage gestellt.

Auffällig ist weiterhin, dass die Situation zur aktuellen Konfrontation zwischen China und den USA passt. Zufall? Und ausgerechnet der amtierende Präsident der USA, der sonst keine Steilvorlage auslässt und gerade wichtige Wahlen Anfang November anstehen, hält sich mit seinen Tweets zur Situation zurück. Bisher gab es von offizieller Seite lediglich ein Statement des Vizepräsidenten Mike Pence:

https://www.cnbc.com/video/2018/10/04/vice-president-mike-pence-comments-on-china-chip-hacking.html  

Wie dem auch sei und wie man es auch immer bewerten mag: man muss das Ganze sehr ernst nehmen und weiterverfolgen. Genau das tun wir und informieren unsere Kunden, sobald relevante und belastbare Neuigkeiten für oder gegen den Hack auftauchen. Wir bleiben also gespannt.



WIR FÜR SIE: EMAIL ODER 05241 74 33 63-0