Vom Innenministerium zertifiziert

Ein Schlüssel zu mehr Sicherheit

02.05.2005
Die Trusted Computing Group (TCG) will mit einem Hardwarestandard auf dem Motherboard mehr IT-Sicherheit schaffen. Doch nur ihre Mitglieder wissen, wie es geht. Deshalb will das Bundesinnenministerium die neue Technik künftig weltweit zertifizieren.

Immer neue Viren, Trojaner und DoS-Attacken sorgen für Ausfälle und gefährden Geschäftsprozesse, E-Commerce und Kommunikation. Das soll anders werden. Die Trusted Computing Group (TCG) verspricht mehr Sicherheit durch TPM, das Trusted Platform Module. Geht es nach dem Willen der Mitglieder dieses Konsortiums, wird bald ein Zusatzchip auf dem Mainboard jedes Computers Passwörter oder signierte Schlüssel speichern. Er soll verhindern, dass Programme von anderen Anwendungen manipuliert werden können - wie bei einer "eingelöteten" Smartcard.

Die Technik, die hinter der Sicherheitsphilosophie der TCG steht, basiert neben dem Chip auf dem Mainboard aus der Core Root of Trust Measurements (CRTM) genannten Erweiterung des Basic Input Output Systems (BIOS), das die Kontrolle und Steuerung der Daten zwischen den Hardwarekomponenten übernimmt. Das CRTM überprüft beim Hochfahren des Rechners, ob das TPM aktiviert ist. In diesem Fall werden beim Aktivieren bestimmter Hard- oder Software so genannte Hashwerte gebildet, die am Ende als Gesamtwert im nichtflüchtigen Speicher des TPM-Chips abgelegt werden.

Auch die Firma Microsoft entwickelt mit der Sicherheitsinitiative Next Generation Secure Computing Base (NGSCB, vormals Palladium) eine Systemlösung, die vor allem auf einem gesicherten Betriebsystemkern (Nexus) beruht, der durch Hardwareerweiterungen unterstützt und abgesichert wird. Der Nexus ist ein zweiter Kernel zum bisherigen Windows-Betriebssystem. Erstmals will Microsoft NGSCB in der nächsten Windows-Version "Longhorn" einsetzen. Noch sind jedoch keine Detailinformationen bekannt, ob und wie das TPM von NGSCB mitgenutzt werden wird.

Bei Datenschützern und kritischen Computernutzergruppen wie dem Chaos Computer Club ist die Technologie heftig umstritten. Künftig, so die Befürchtung, dürfe nur noch Soft- und Hardware genutzt werden, die von der TCG zertifiziert ist. Da dies voraussichtlich mit hohen Kosten verbunden ist, könne das die Verbreitung von Open-Source-Programmen behindern. Die Konsequenz daraus: Anwender wenden sich aufgrund von Sicherheitszwängen von quelloffener Software ab. Darüber hinaus fürchten die Kritiker, dass bestimmte Software mit aktivierter Sicherheitstechnik auf Sperrlisten landen und nicht mehr genutzt werden könnte. Dazu kommt: Auch für den kritischen Bereich Digitales Rechtemanagement kann und soll die Technik zum Einsatz kommen.

Versicherer: Trusted Computing ist ein Risiko

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV), der die Einführung von mehr Sicherheit eigentlich begrüßen müsste, beschreibt Trusted Computing in einem Positionspapier als "Risiko" . Begründung: "Die Einführung von Trusted Computing öffnet den Herstellern unter Umständen Zugriff auf die Daten des Unternehmens."

Foto:

Die Sicherheitsphilosophie des Trusted Computings beruhe auf Vertrauen in Verfahren und korrekten Implementierungen der Hardwarelieferanten, die Leistungen und Motive der Softwareanbieter. Dieses Vertrauen sei wegen der hohen Missbrauchsgefahr nicht gerechtfertigt, meint Fred Chiachiarella, Leiter Betriebswirtschaft und Informationstechnologie beim GDV. Er warnt: "Es besteht die Gefahr, dass die Kontrolle über einen Rechner auf denjenigen übergeht, dessen System oder Software der User verwendet." Die Versicherungsunternehmen würden durch lediglich zu neuen Investitionen gezwungen, eine effektive Steigerung der Sicherheit sei nicht erkennbar.

Um das Konzept der Sicherheitslobbyisten zu beeinflussen, begleitet die Bundesregierung die Entwicklungen seit 2002 - als einzige weltweit. "Wir befinden uns in intensiven Beratungen mit der TCG über die Ausgestaltung der neuen Sicherheitstechnik für PC", so Martin Schallbruch, IT-Direktor im Bundesinnenministerium. Die Experten des Bundesinnenministeriums (BMI) fordern mehr Transparenz und die Offenlegung der Schnittstellen im Sicherheitsmodul (TPM). In ihrer mehrseitigen Stellungnahme benennt die Bundesregierung ihre Forderungen.

In der Trusted Computing Group sind auf Vorstandsebene bislang fast nur US-Firmen vertreten - AMD, HP, IBM, Intel, Microsoft und Sun. Aus Japan ist der Elektronikkonzern Sony dabei. Abgesehen von Infineon, Utimaco und Giesecke & Devrient haben sich deutsche Firmen bislang wenig mit der Problematik beschäftigt. Eine mögliche Ursache: Die Preise für die Mitgliedschaft in Zirkeln der Trusted Computing Group sind hoch. Drei Gruppen von Mitgliedern haben neben unterschiedlichen Mitgliedsbeiträgen (7500 bis 50 000 Dollar jährlich) auch unterschiedliche Mitspracherechte. Erst seit kurzem gibt es im Rahmen des "Industry Liaison Program" verbesserte Chancen für Mitglieder aus Wissenschaft und Forschung. Unternehmen mit weniger als 100 Beschäftigten können für 1000 Dollar in die "Adopter"-Gruppe aufgenommen werden.

Die "Promotors" entscheiden

Die Gruppe der "Adopters" darf nicht mit abstimmen, aber Spezifikationsentwürfe frühzeitig einsehen. Die Gruppe der "Contributors" entwickelt die Spezifikationen in den Arbeitsgruppen mit und darf zwei Vertreter benennen, die in den Vorstand gewählt werden können. Zu dieser Gruppe zählen die genannten deutschen Firmen. Über feste Sitze im Vorstand verfügen nur die "Promotors", die aus den genannten Firmen bestehen. Diese entscheiden auch über neue "Promotors"-Mitglieder und Organisationsfragen.

Christiane Laurig, Mitarbeiterin des BMI für den Bereich, hat inzwischen erreicht, dass deutsche Mittelständler am Standard mitarbeiten können: "Wir haben uns bereits mehrmals mit der TCG getroffen und Zugeständnisse etwa über die Höhe des Mitgliedsbeitrags erreicht." Größter Erfolg bisher laut Laurig: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll weltweit die Sicherheitstechnik des Konsortiums zertifizieren, um die Bedenken der Kritiker zu zerstreuen.