Der Angreifer sitzt in der Software und Hardware

Eine weitere beträchtliche Gefahr geht von den eingekauften IT-Produkten aus, handle es sich dabei nun um Software oder Hardware. Entsprechende Komponenten können nämlich bereits vor der Lieferung kompromittiert oder manipuliert werden.

Neben der eigentlichen Gefahr durch solche Schwachstellen und Backdoors kommt hier noch die fehlende Risiko­wahrnehmung als weiterer Unsicherheitsfaktor hinzu. Diese ist bei den eingekauften Technologieprodukten nämlich stark eingeschränkt, da die Schwachstellen gut versteckt sind. Die Risiken sind somit faktisch unsichtbar oder können nur mithilfe äusserst aufwendiger Tests überhaupt aufgedeckt werden. Für IT-Sicherheitsverantwortliche diesbezüglich besonders bitter: Da diese Form der Supply-Chain-Gefahr nicht so offensichtlich ist, wird es auch schwierig, von der Firmenleitung die entsprechenden Ressourcen für deren Eindämmung zu erhalten.

Derweil kann das Ausmass nur erahnt werden. «Ohne effektive Qualitätsprüfung von digitalen Produkten muss davon ausgegangen werden, dass kompromittierte Komponenten und Cyberprodukte bereits heute in Industrie und Behörden im Einsatz sind, auch wenn diese noch nicht unmittelbar sichtbar sind», meint Stefan Frei, Dozent für Cyber Security an der ETH Zürich. Er vergleicht die Situation mit jener in der Autoindustrie in den 1960ern. «Damals gab es noch keine verbindlichen Anforderungen an die Sicherheit der Fahrzeuge, die Schuld wurde auf den Kunden geschoben, mit entsprechend vielen fatalen Vorfällen», sagt Frei.

In Sachen Hardware-Kompromittierung zählt Frei hauptsächlich drei Angriffsarten auf. Zum einen würden Fälschungen oder qualitativ minderwertige Hardware in die Lieferkette gelangen und würden so zum Einfallstor für Attacken. Zweitens können Angreifer mittels präparierter Bauteile die Hardware infiltrieren. So können Chips auf Platinen oder in Computern durch kompromittierte Versionen getauscht werden oder es werden Schaltkreise in das Package eingebracht. Schliesslich lässt sich das Chip-Design sozusagen von Beginn weg kompromittieren. Angesichts der Menge an jährlich neu entwickelten Chips, ist die Wahrscheinlichkeit gross, dass auch manipulierte Halbleiter in den Verkehr kommen. Frei spricht von Tausenden von Unternehmen mit Hunderttausenden Entwicklern, die pro Jahr über 5000 neue Chips entwickeln. Wenn nur einer von tausend Chipdesignern in Betracht ziehe, ein Design zu manipulieren, sei es für Wettbewerbsvorteile, Profit oder aus einem anderen Grund, entspreche dies noch Hunderten von Spezialisten mit entsprechendem Know-how und Zugang, gibt Frei zu bedenken. «Die Annahme, dass Chips niemals absichtlich kompromittiert werden, ist angesichts der Cybersecurity-Erfahrungen der letzten Jahre schlicht nicht haltbar», warnt Frei folglich.

Kompromittierte Hardware ist denn auch kein neues Phänomen. Schon Mitte der 1970er-Jahre, also mitten im Kalten Krieg, hatten beispielsweise sowjetische Geheimagenten Kugelkopfschreibmaschinen von IBM in der US-amerikanischen Botschaft in Moskau mit Kleinstsendern versehen, welche die Signale an den Typenkopf aufnahmen, dortselbst zwischenspeicherten und per Funk an Abhöranlagen in umliegenden Gebäuden übermittelten. Die Sowjets konnten so während gut acht Jahren nach­vollziehen, was auf den Schreibmaschinen getippt wurde. Sie verwendeten also die frühe Form eines Keyloggers. Erst durch aufwendige Untersuchungen durch die NSA konnte das Leck entdeckt werden.

Auch westliche Geheimdienste hörten die Gegenseite mit kompromittierten Geräten ab, wie die erst vor ­Kurzem aufgedeckte Affäre rund um die Zuger Crypto AG ver­deutlicht. Hier wurden bis 2018 im Rahmen der «Ope­ration Rubikon» manipulierte Chiffriermaschinen aus der Pro­duktion des Schweizer Unternehmens von der CIA und dem deutschen Geheimdienst BND dazu ­missbraucht, die Kommunikation von über 100 ­Staaten
abzuhören.