Der SPD-nahe Verein „Zentrum für digitalen Fortschritt” D64 e.V. fordert ein Gütesiegel für NSA-freie Hardware. Gesche Joost, Beiratsvorsitzende des D64 und EU-Internetbotschafterin der Bundesregierung verlangt, dass Hardware ohne ein solches Siegel nicht mehr in die EU eingeführt werden dürfe.
Diese Vorschläge enthüllen ein bestürzendes Ausmaß an Naivität.
US-amerikanische Unternehmen arbeiten schon seit Jahren mit den Nachrichtendiensten zusammen. Es bleibt ihnen nach dortiger Gesetzeslage gar keine andere Wahl, der USA Patriot Act und andere Gesetze räumen den Geheimdiensten weitgehende Rechte ein. Über Spionagemaßnahmen und Überwachungseinrichtungen zu reden wird den Unternehmen anschließend regelmäßig untersagt, dafür sorgt dann eine in den sogenannten National Security Letters enthaltene Gag Order.
Ein US-Unternehmen kann also durchaus dazu genötigt sein, ein solches Siegel wider besseres Wissen an ihre Produkte zu kleben.
Aber auch ohne Wissen des Unternehmens können Hintertüren eingebaut sein. Es können Sicherheitslücken vorhanden sein, die dem Hersteller nicht bekannt sind, über die die Experten der NSA aber im Bilde sind. Aus Unterlagen des Whistleblowers Edward Snowden geht hervor, dass die NSA-Spezialabteilung ANT solche Sicherheitslücken gezielt sucht, und Spionagewerkzeuge dafür baut. Selbstverständlich würde sie die Kenntnis über diese Lücken nicht preisgeben. Und selbstverständlich würde sie der zertifizierenden Stelle das niemals verraten.
Geschlossene Firmware lässt sich nicht prüfen
Hardware ist typischerweise mit Firmware ausgestattet, die öffentlich nicht zur Verfügung steht. Eine externe Stelle ist nicht in der Lage, solche Software gründlich auf Fehler oder Hintertüren zu überprüfen. Wie also soll ein vertrauenswürdiges Zertifikat entstehen?
Das Gütesiegel dieser Art ohnehin keine Sicherheit darstellen weiß man nicht erst seit dem Skandal mit fehlerhaften Brustimplantaten, die vom TÜV Rheinland zertifiziert waren.
Es gibt nur eine erfolgversprechende Lösung: Hardware muss mit einer offenen Schnittstellenbeschreibung übergeben werden. Firm- und Betriebssystemsoftware muss offen vorliegen. Nur so lässt sich die Funktionalität solcher Software prüfen. Nur so kann unternehmens- und damit geheimdienstunabhängige Firmware entstehen. Idealerweise bildet sich eine Open Source-Bewegung, die offene Firmware für diese Geräte schreibt. Code wird von vielen Augen begutachtet, Sicherheit wird öffentlich überprüfbar, Fehler werden schneller behoben. Gag-Orders sind nicht mehr möglich.
Open Source als Chance
Genau darin besteht eine Chance für europäische Unternehmen: Hardware mit offenen Spezifikationen vorlegen, Entwicklung und Support für open-source-basierte Firmware leisten, Systeme basierend auf solchen Komponenten bauen und anbieten. Mit steigendem Sicherheitsbewusstsein kann dieser Produktvorteil zu einem Wirtschaftsschub führen, der europäischen Unternehmen unmittelbar nutzt.
Paradoxerweise ist gerade der Heartbleed-Bug ein Beleg dafür, dass Open Source prinzipiell sicherer ist als geschlossene Software. Beim Heartbleed-Bug handelte es sich um einen schwerwiegenden Programmierfehler in der Open Source-Bibliothek OpenSSL, der das Auslesen von sensiblen Serverinhalten inklusive Benutzernamen und Passwörtern ermöglichte.
Nur weil es sich um ein quelloffenes Projekt war, konnte der Fehler von unabhängiger Stelle gefunden und so schnell behoben werden. Nur deswegen gelang die umgehende Information der Öffentlichkeit so gründlich. Das Auffinden von Fehlern ist kein Hinweis auf eine grundsätzliche Schwäche eines Systems, sondern das Zeichen eines erfolgreichen Tests.
Kein Vertrauen in No-Spy-Versprechen
Ein No-Spy-Siegel hingegen würde vermutlich ohnehin denselben Weg gehen wie der Wunsch Deutschlands nach einem No-Spy-Abkommen: Es wird von US-amerikanischer Seite schlicht ignoriert werden. Darüber hinaus würde es die Nutzer in trügerischer Sicherheit wiegen.
Der damalige Kanzleramtsminister Ronald Pofalla erklärte beeits im August 2013 den Spionageangriff westlicher Geheimdienste für beendet. Auch er setzte auf schriftliche Versicherungen, die er von US-amerikanischen Partnern erhalten hatte. Wie unfassbar falsch er damit lag, wissen wir mittlerweile. Es gibt guten Grund, solchen Garantien auch in Zukunft gründlich zu misstrauen.