Eine Gruppe von Mitarbeitern aus Forschungsinstituten hat ein Whitepaper vorgelegt, das darlegt, warum es Open-Source-Hardware geben sollte und was dafür notwendig wäre. Diese Rahmenbedingungen sind der Haken. Von Ludger Schmitz*

Der Titel ist reichlich schwerfällig und versteckt das eigentliche Anliegen: „Sovereignty in Information Technology. Security, Safety and Fair Market Access by Openness and Control of the Supply Chain“ (kostenloses Download ohne Registrierung hier).

Whitepaper-Aufmacher. Pixabay, CC0

Hinter dem 52-seitigem Papier stehen sechs Mitarbeiter des Instituts für Technikfolgenabschätzung und Systemanalyse am Karlsruher Instituts für Technologie (KIT), von Fraunhofer Singapur, dem Fraunhofer Institute for Secure Information Technologie (SIT), der Hochschule RheinMain und der Technischen Universität Berlin.

Die Autoren zeigen einleitend auf, dass nicht nur die Angriffe per Software zunehmen, sondern insbesondere die Gefahren durch Hardware, die Hintertüren aufmacht. Komponenten, die im Prinzip grundsätzlich Black Boxes sind, sei letztlich nicht zu trauen. Und daran ändern auch softwarebasierende Sicherheitsmaßnahmen nichts. Es braucht aber unbedingt sichere Hardware, vor allem in sensiblen Bereichen (nationale Sicherheit) und wo Geräte jahrelang im Einsatz sind, also Autos, Haushaltsgeräte oder Internet of Things.

Letztlich bestehe nur eine Möglichkeit nachzuweisen, dass es in IT-Komponenten keine unerwünschten Funktionen gebe, nämlich Open-Source-Hardware. Und dabei muss dann alles offen sein: das Design der Chips samt der dafür verwendeten Tools und der Produktionsmittel. Um Vertrauen zu gewinnen haben Nvidia und Western Digital bereits offene Prozessoren angekündigt. Die Mehrheit der Hersteller verfolgt aber die gegenteilige Ausrichtung.

Als wirksamstes Mittel, zu Open-Source-Hardware zu kommen, schätzen die Autoren der Studie Maßnahmen von Regierungen ein. Diese könnten per Gesetz die Verifizierung kritischer Komponenten und eine Haftpflicht der Hersteller bei Fehlern und Hintertürchen vorsehen. Außerdem könnten Regierungen einen nationalen Plan zur Herstellung offener Computer aufstellen. Die Autoren berufen sich auf den Security-“Papst“ Bruce Schneier: „Viele neue Technologien haben zur Bildung neuer regulierender Regierungsbehörden geführt. Bei den Zügen war es so, bei Autos, Flugzeugen… Wir brauchen die Regierung, um sicherzustellen, dass Firmen gute Sicherheitspraktiken befolgen.“

Die Studie ist ein Appell an Risikokapitalgeber und IC-Hersteller, auf die Zukunft zu setzen. Die Autoren warnen sie, frühere Größen der Unix-Welt seien nicht mehr am Markt, weil sie nicht auf Linux setzten, während IBM gerade wegen dieser Orientierung überlebt hat. Als weitere Triebkraft setzen die Verfasser auf engagierte Privatpersonen und Forschungseinrichtungen. Hauptsächlich aber setzen sie auf Maßnahmen von Regierungen.

Genau das ist der Haken an der Sache. Denn die Autoren gehen wohl davon aus, dass Regierungen von Staaten, die nicht zu den großen Chipherstellern gehören, von Hintertürchen freie Chips haben wollen. Dem ist aber erstens ganz und gar nicht so. Wohl sämtliche Regierungen, die deutsche hier ausdrücklich eingeschlossen, würden in den Chips nur zu gerne Hintertürchen haben – nur die eigenen Türchen sollen es halt sein – und natürlich streng geheim. Die Regierungen jeder Staatsform haben längst begriffen, dass Überwachung und Informationen Voraussetzung zum Erhalt der Macht und des jeweiligen Staatssystems sind. Die weiche Ware Information ist eine stärkere und dezentere Waffe als Vollmetallgeschosse.

Zweitens ist die Präferenz von Regierungsmaßnahmen ziemlich realitätsfern. Vor fast 20 Jahre haben IBM und SAP Linux und dem Open-Source-Entwicklungsmodell in der IT-Industrie zur allgemeinen Anerkennung verholfen. Selbst Microsoft und Oracle kommen nicht an Open Source vorbei. Doch Regierungen, vor allem die deutsche, sind nicht mal annähernd Open-Source-affin. Sie erkennen nicht die Vorteile, sondern setzen vermehrt auf proprietäre Lösungen. Noch übler: Die entscheidenden Leute wissen nicht einmal, was Open Source ist.

Das Ansinnen der Whitepaper-Autoren ist völlig richtig. Aber die Chancen, dass Regierungen aktiv werden, sind marginal. Zuerst müssen Regierungen zur viel einfacheren und kostensparenden Erkenntnis gelangen, dass schon Open-Source-Software Souveränität und Sicherheit voranbringt. Offene Hardware ist notwendig – aber noch fernere Zukunftsmusik.

*Ludger Schmitz ist freiberuflicher Journalist in Kelheim.