Bundesamt für Sicherheit in der Informationstechnik

Spionage-Chips in Serverplatinen

Ort
Datum 05.10.2018

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Medienberichte zur Kenntnis genommen, in denen über Spionagechips in Serverplatinen des Herstellers Supermicro sowie entsprechende Dementis von Apple und Amazon, die diese Platinen einsetzen, berichtet wird.

Dem BSI liegen derzeit keine Erkenntnisse vor, die eine Einschätzung zum Wahrheitsgehalt der Medienberichte erlauben. Dennoch nimmt das BSI den aktuellen Bericht sehr ernst, denn generell ist das Problem der Hardwaremanipulationen bekannt und konnte im BSI auch anhand von eigenen Beispielen praktisch nachgestellt werden. Chips können heute in sehr kleinen Abmessungen produziert und nahezu unerkannt in vorhandene Schaltungen eingebracht oder versteckte Funktionen direkt in den Schaltplänen berücksichtigt werden. Eine Erkennung, sogar mit Mitteln der Röntgentechnik, ist bei gut durchgeführten Manipulationen kaum möglich. Im Fall von nachträglich eingebrachten Veränderungen besteht theoretisch eine Chance der Erkennung durch Abgleich mit unveränderten Schaltungen. Die Komplexität heutiger Platinen setzt jedoch auch hier Grenzen, vor allem auch wenn eine größere Stückzahl von Geräten zu prüfen ist. Hier kann als einziges probates Mittel nur die Vertrauenswürdigkeit der Hersteller und die vollständige Kontrolle der Lieferketten abhelfen.

Das BSI prüft derzeit die Berichte und ist mit Apple und Amazon in Kontakt getreten und hat um Stellungnahmen gebeten. Zudem fragt das BSI bei den Herstellern von für den Einsatz in der Bundesverwaltung zugelassenen Produkten deren Erkenntnisstand, mögliche Betroffenheit und getroffene Sicherheitsmaßnahmen ab, um ein entsprechendes Lagebild zu erstellen.

Unabhängig davon, ob die aktuellen Medienberichte zutreffen, sollten Unternehmen, die IT-Produkte für den Einsatz in sensiblen Bereichen herstellen oder konfigurieren, wirksame Maßnahmen im Bereich der Supply-Chain-Security treffen. Dazu zählt die lückenlose Dokumentation der Herstellungs- und Konfigurationsprozesse einzelner Komponenten, wie sie etwa bei der Zertifizierung von Smart-Meter-Gateways durch das BSI eingefordert wird. Zertifizierungen können somit wichtige Vertrauensanker für die Sicherheit von IT-Produkten und auch der Zulieferungsketten sein und erhöhen damit das IT-Sicherheitsniveau in Deutschland im Ganzen.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de