ChinaCircle-Logo ChinaCircle-Logo
Angeblicher Hackerangriff

Hat China mit einem Minichip Amazon und Apple ausspioniert?

Das chinesische Militär hat offenbar einen Schnüffelchip in die Produktion von Servern eingeschleust. Zu den Opfern sollen Amazon und Apple gehören.

Handelsblatt.com vom 04.10.2018 17:48:00 Uhr

Es ist eine Enthüllung, die das Potenzial hat, die Technologiebranche zu erschüttern – und womöglich sogar die internationalen Beziehungen durcheinanderzubringen. Das Magazin “Businessweek” berichtet in der aktuellen Ausgabe, dass das chinesische Militär mit einer spektakulären Aktion in Systeme von Amazon, Apple und amerikanischen Behörden eingedrungen sein soll.

Die Hacker im Staatsauftrag haben es dem ausführlichen Bericht zufolge geschafft, in die Hauptplatinen des amerikanischen Elektronikherstellers Supermicro einen Chip in der Größe eines Reiskorns einzuschleusen, der unbemerkt vertrauliche Daten aus den Organisationen funkte. Der Zugriff soll bei einem chinesischen Auftragsfertiger und dessen Subunternehmern erfolgt und 2015 aufgefallen sein.

Wie glaubwürdig der Bericht ist, lässt sich indes schwierig einschätzen. “Businessweek”, das zum Medienkonzern “Bloomberg” gehört, ist für eine fundierte Berichterstattung bekannt. Im aktuellen Fall beruft sich das Magazin auf 17 Quellen in Firmen und Behörden, die allerdings alle anonym bleiben, nicht zuletzt weil die Informationen der Geheimhaltung unterlägen. Allerdings dementieren fast alle erwähnten Akteure den Bericht deutlich und spezifisch.

Sollten die Enthüllungen zutreffen, wäre ihre Tragweite enorm. Fast die gesamte IT-Branche lässt in China fertigen. Damit müssten sich zahlreiche Elektronikunternehmen neu die Frage stellen, wie es um die IT-Sicherheit ihrer Produkte bestellt ist. Zudem könnte der Fall die außenpolitischen Spannungen zwischen den USA und China weiter anheizen.

Ein unauffälliger Chip

Der Angriff, den “Businessweek” ausführlich schildert, muss beachtliche technische Fähigkeiten erfordert haben. Eine Einheit der chinesischen Volksbefreiungsarmee entwickelte demnach einen Chip, der “nicht größer als die Spitze eines Bleistifts” war, aber Speicher und Prozessor enthielt. Von außen sah er aus wie ein Kondensator, also ein typisches Bauteil.

Diesen habe die Einheit in die Produktion der Hauptplatinen eingeschleust – nicht bei dem Auftragsfertiger selbst, der für Supermicro die Server zusammensetzt, sondern bei mehreren Subunternehmern, der bei Spitzenlasten aushelfen. Die Militärs arbeiteten mit Bestechungen und Drohungen: Wer nicht mitmachte, der musste mit Inspektionen rechnen.

Das ist nicht trivial, weder technisch noch organisatorisch. Die Hacker müssen die Funktionen der Hardware genauso kennen wie die Produktionsabläufe in der Fabrik. Und sie müssen es schaffen, ihre Schnüffelchips in die komplexe Lieferkette einzuschleusen.

Supermicro ist einer der größten Hersteller von Hauptplatinen, sogenannten Mainboards, die jeder Computer benötigt. 30 Unternehmen nutzten dem Bericht zufolge manipulierte Chips, darunter Amazon und Apple. Über das Start-up Elemental Technologies, das Ausrüstung fürs Videostreaming herstellt, sollen die Produkte aber auch in Teilen der US-Regierung zum Einsatz gekommen sein – es verbaute Komponenten von Supermicro.

All das liegt einige Jahre zurück: Bereits 2015 soll Amazon das ungewöhnliche Verhalten der Platinen entdeckt und an US-Behörden gemeldet haben. Falls es einen Lauschangriff gab, dürfte er nicht bis heute andauern, zumindest nicht in der ursprünglichen Form.

Entschlossene Dementis

Apple, Amazon und andere dementieren den Bericht dagegen mit deutlichen Worten, die relativ wenig Spielraum für Interpretationen lassen. Auf Anfrage des Magazins habe man “rigorose interne Untersuchungen” durchgeführt, lässt etwa der iPhone-Hersteller wissen – man habe für praktisch alle Behauptungen keine Beweise gefunden. Und Supermicro will wegen der Angelegenheit nicht von Behörden kontaktiert worden sein.

Die anonyme Berichterstattung stößt in Fachkreisen auf Kritik. “Hier gibt es zwei mögliche Geschichten”, twittert beispielsweise Matthew Green, Professor für Kryptografie an der John-Hopkins-Universität in Baltimore. Entweder habe es einen Angriff gegeben – oder Teile der amerikanischen Sicherheitsgemeinde verbreiten diese Idee.

Tatsächlich könnte der Artikel außenpolitische Auswirkungen haben – und damit die Interessen verschiedener Akteure bedienen. So warnen amerikanische Geheimdienste davor, Smartphones der chinesischen Hersteller Huawei und ZTE zu nutzen, weil diese unter dem Einfluss der chinesischen Regierung seien. Die Unternehmen weisen das zurück.

Im Frühjahr schloss US-Präsident Donald Trump den Hersteller ZTE zwischenzeitlich gar von amerikanischen Technologien aus, angeblich wegen Verstößen gegen internationale Sanktionen. Der Bericht könnte Hardlinern, die chinesischen Herstellern das Geschäft in den USA erschweren oder gar verbieten wollen, neue Munition geben.

Ein bekannter Sicherheitsforscher, der unter seinem Hackernamen The Grugq öffentlich auftritt, hält sich mit einer Beurteilung des Berichts zurück. Er schreibt aber: “Angriffe auf die Lieferkette sind besorgniserregend, weil das Vertrauen irgendwo anfangen muss. Und wenn das in der Fabrik eines unbekannten chinesischen Subunternehmers ist… ist das vielleicht nicht die ideale Basis.”

Auch in der deutschen Politik stößt der Bericht auf großes Interesse. Der Bericht von “Businessweek” zeige einmal mehr, wie wichtig die Arbeit von Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist”, sagte etwa der SPD-Digitalpolitiker Jens Zimmermann dem Handelsblatt. “Damit solche Gefahren frühzeitig entdeckt und davor gewarnt werden kann, müssen wir sie zukünftig noch weiter stärken und mit den notwenigen Mitteln ausstatten.”

Laut Zimmermann gibt es schon länger Befürchtungen, dass in Hardware Hintertüren durch staatliche Akteure eingebaut werden. “Allerdings gibt es diese Befürchtungen nicht nur für chinesische, sondern auch für US-amerikanische Produkte”, fügte er hinzu. “Der jetzt offenbar aufgedeckte Fall führt diese Strategien nur noch einen Schritt weiter.”

Zudem müssen sich Elektronikhersteller die Frage stellen, ob sie ihre Produktion ausreichend schützen – und schützen können. Fast alle Unternehmen lassen ihre Produkte mittlerweile in China fertigen, wo sich eine große Industrie darauf eingestellt hat.

Vorsicht! Sie nutzen einen alten Browser!
Bitte aktualisieren Sie Ihren Browser um diese Seite anzuzeigen.