Wir leaken: Deutschland und China gegen den Rest der Welt – Wundersame Einigkeit bei Trusted Computing

via Trusted Computing? Yes or No

20 Ja-Stimmen und 12 Enthaltungen gegen die Ablehnungen von Deutschland und China in allen vier Teilabstimmungen. So sieht das Ergebnis einer Abstimmung zu einer Revision des „Trusted Platform Module“-Standards im technischen Ausschuss der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) aus.
Das, und warum das so ist, zeigen Abstimmungsdokumente und Kommentierungen der jeweils nationalen Standardisierungsorganisationen, die wir an dieser Stelle gesammelt veröffentlichen und erklären.

Trusted Platform Module und Trusted Computing

Ein Trusted Platform Module (TPM) ist ein Chip, der erweiterte Sicherheitsmechanismen auf einem Computer umsetzt. Das kann zum Beispiel die sichere Verwahrung von Schlüsseln sein, mit denen Daten verschlüsselt werden. Oder mit denen festgestellt werden kann, ob die erwartete Hardware im Einsatz ist und nur zugelassene Programme installiert sind und ausgeführt werden. Was als fürsorgliche Unterstützung des Nutzers beim Vermeiden von Risiken daherkommt, stellt sich jedoch schnell als ganz eigenes Risiko heraus.

Denn natürlich kann nicht nur vermeintlich schädliche Software davon abgehalten werden, auf einem System mit TPM zu laufen, sondern auch schlichtweg unerwünschte. Konkurrenzprodukte beispielsweise. Professor Dr. Rüdiger Weis von der Beuth-Hochschule in Berlin beschäftigt sich schon seit langem mit Trusted Computing. Er kommentiert:

Rein privatwirtschaftlich betrachtet sind natürlich die Angebote von Mitbewerbern nicht unbedingt erwünscht. Hardwareunterstützte Lösungen bieten Firmen Sicherheit gegen wechselde Kunden.

Das wir besonders interessant, wenn man sich anschaut, wer in der Trusted Computing Group (TCG) vertreten ist, die an den Spezifikationen arbeitet. Prominent vertreten sind unter anderem Microsoft, Intel, IBM.

TPM ist kein neues Phänomen. Schon 2003 existierte die Spezifikation TPM 1.2, die 2009 in der ersten Version des TPM-Standards ISO/IEC 11889 veröffentlicht wurde. Schon seit Jahren bauen viele Hersteller TPM-Chips in ihre Hardware ein. Mittlerweile finden sich TPM-Chips in beinahe jedem Gerät und ein neuer Standard ist auf dem Weg. Die Spezifikationen zu TPM 2.0 wurden von der TCG veröffentlicht und sollen nun zu einem internationalen Standard werden.

Warum 2.0 hier nicht besser ist

Die Revision des ISO-Standards hin zu Version TPM 2.0, die sich derzeit im Abstimmungsprozess befindet, ist zweifelsohne notwendig geworden. Denn seit Beginn der Entwicklung von Trusted Platform Modules hat sich technisch einiges verändert. Beispielsweise sind einige der Algorithmen, die für Sicherheit sorgen sollten, längst nicht mehr als sicher anzusehen – etwa der Hashalgorithmus SHA1. In TPM 2.0 reagierte man auf dieses Problem, allerdings auf wenig zufriedenstellende Art und Weise. Man strich SHA1 nicht etwa aus der Liste der zugelassenen Hashalgorithmen. Man erweiterte die Liste lediglich und fügte SHA2 als sicherere Alternative hinzu. SHA1 wird weiterhin unterstützt. In kommentierten Auflistungen zu jedem der vier Teildokumente des angestrebten Standards äußern die Vertreter Deutschlands folgende Bedenken:

Da die SHA1-Hashfunktion seit mehreren Jahren gebrochen ist, haben alle führenden Standardisierungsorganisationen gefordert, SHA1 nicht weiter zu nutzen. Leider ist die Trusted Computing Organisation diesem Rat nur teilweise gefolgt. Der vorliegende Vorschlag erlaubt immer noch die Nutzung von SHA1. Da der Wechsel zu einer sichereren Hashfunktion einen zusätzlichen Aufwand darstellt ist es nicht unwahrscheinlich, dass manche Implementierungen weiterhin unsichere Kryptoalgorithmen nutzen werden, da dies im vorgeschlagenen Dokument nicht verboten ist.

Weiterhin bestand bei TPM 1.2 das „Problem“, dass die TPM-Chips zwar in einem Großteil der am Markt befindlichen Hardware verbaut waren, genutzt wurden sie jedoch nur selten – sehr zum Ärgernis der Hersteller. Der Nutzer hatte die Kontrolle darüber, ob er den Chip aktivieren wollte und für welche Funktionen. In TPM 2.0 „löst“ die TCG dieses Problem, indem sie den Nutzer größtenteils übergeht, den Chip von Haus aus anschaltet und auch eine nachträgliche vollständige Deaktivierung unmöglich macht.

Kombiniert mit der Einführung von Windows 8 vergrößern sich die Konsequenzen: Microsoft bestimmt, welche Programme auf einem Rechner ausgeführt werden dürfen, das TPM wird zur Umsetzung dieser Einschränkungen genutzt. Wenn der Chip also nicht mehr ausschaltbar sein soll, befindet sich ein Nutzer vollkommen in der Abhängigkeit des Wohlwollens eines Betriebssystemherstellers. Darf er die Open-Source-Alternative eines kommerziellen Programmes nutzen, an dem Microsoft sonst mehr verdienen würde?

Doch nicht nur, wenn man Microsoft (und den anderen Beteiligten) böse Absichten unterstellt, ist die Situation ein Horrorszenario. Wenn man sich einige der zahlreichen Patchdebakel der letzten Monate ansieht, die mitunter zum Ausfall oder der Unbenutzbarkeit von Systemen und Systemkomponenten geführt haben, bekommt man Bauchschmerzen. Auch Rüdiger Weis sieht eine Gefahr:

Ein ungefragt eingespielter, fehlerbehafteter Windowspatch könnte große Teile der Wirtschaft lahm legen. Die Patchdebakel der letzten Monate war besorgniserregend nahe an diesem Schreckensszenario.

Der Fehler eines einzigen Marktgiganten kann so zum unkontrollierbaren Ausfall unzähliger Computersysteme führen – nicht „nur“ privater PCs. Deutschland fordert:

Das TPM muss vollständig ausgeschaltet sein, wenn ein IT-Gerät an den Käufer ausgeliefert wird und darf nur durch eine ausdrückliche, bewusste und informierte Entscheidung des jeweiligen Besitzers angeschaltet werden. […] Es ist die Freiheit des Gerätenutzers, ob er und welche Funktionen des TPMs er nutzen möchte. Das gilt dementsprechend auch für Untersysteme, die TPM-Funktionalitäten nutzen.

Dazu kommt der Faktor des unmöglichen „Vertrauens“ in die Funktionsweise der Chips, die durch die Intransparenz der Herstellung erforderlich wäre. Im August 2013 ging die Meldung „BSI warnt vor Windows 8“ durch die Medien, deren Überschrift jedoch kurz darauf auf Anordnung einer Einstweiligen Verfügung abgeschwächt wurde. Darin wird das Problem der Vertraulichkeit und Integrität eines Systems aufgegriffen, dessen Intransparenz Hintertüren zu einschlägigen Geheimdiensten mehr als nur möglich erscheinen lässt. Deutschland redet davon, dass die Erfüllung des „Grundrechts auf die Vertraulichkeit und die Integrität informationstechnischer Systeme“ unter diesen Umständen nicht garantiert werden könne und die Plattform sich nicht mehr unter voller Kontrolle des Besitzers befinde.

Deutsche Interessen könnten betroffen sein, zum Beispiel die von deutschen Regierungssystemen, die unter Fremdkontrolle stehen.

Das Vertrauen in die Funktionsweise sinkt weiter, wenn man sich die weiteren Kommentare Deutschlands zu dem Entwurfsverfahren des neuen Standards durch die Trusted Computing Group (TCG) ansieht.

ISO/IEC International Standards sollen spätestens fünf Jahre nach ihrer Veröffentlichung überprüft werden. […] Im Falle von ISO/IEC 11889-3:2009 gab es keine systematische Abstimmung, trotzdem hat die Trusted Computing Group ein Fast-Track-Verfahren einer anderen PAS-Einreichung gestartet, um die aktuelle Version von ISO/IEC 11889-3 zu ersetzen. Allein aus formalen Gründen kann das vorgestellte Dokument nicht als Revision akzeptiert werden.

Deutschland lehnt den Standardisierungsvorschlag auf allen Ebenen ab, sowohl was das Verfahren an sich als auch die technischen Spezifikationen angeht. Und verweist dabei auch darauf, dass sie unvereinbar mit dem „Eckpunktepapier der Bundesregierung zu Trusted Computing und Secure Boot“ seien. Das 2013 zurückgenommene „Vor Windows 8 wird gewarnt“ ist damit wieder präsent und – dank der hier veröffentlichten Dokumente mit eindeutigen Aussagen – nicht ohne Weiteres wieder zu relativieren, spätestens mit folgendem Fazit der DIN:

Eine Standardisierung der aktuellen TPM-2.0-Specifikation in ISO/IEC JTC 1 ist mindestens verfrüht und auch davon abgesehen nicht empfehlenswert, betrachtet man die Weitgefasstheit dieser Spezifikation und den Mangel an Sicherheitsgarantieen.

Warum Deutschland und China? Warum nicht alle?

Die obigen Gründe, den von US-Wirtschaftsinteressen dominierten TPM-Standard zurückzuweisen, sind so vielfältig wie einleuchtend. Warum wehren sich also nicht noch mehr Länder gegen diese Sackgasse der technologischen Souveränität? Besonders bizarr scheint das, wenn man die Kommentierungen anderer Standardisierungsorganisationen liest, beispielsweise Frankreichs AFNOR (alle Dokumente und Kommentare gesammelt im tar-Archiv). Dort werden zum Großteil die gleichen Argumente gegen die Standardisierung vorgebracht wie von Deutschland und anderen, trotzdem stimmen die Vertreter in der Abstimmung für die Norm. Von den USA gibt es leider keinen Kommentar zur Zustimmung zum Standard, der Kommentar Chinas ist nicht besonders ausführlich und konzentriert sich auf die Forderung, einen spezifischen, in China verbreiteten Signaturalgorithmus mit in den Standard aufzunehmen.

Die Free Software Foundation Europe, die Entwicklungen rund um Trusted Computing schon seit einiger Zeit begleitet, sieht in der Abnickhaltung der meisten Länder den Verlust staatlicher Souveränität:

Bei Trusted Computing geht es um die Frage, kontrollieren wir unsere Computer, oder werden wir durch Computern kontrolliert. Wollen wir uns von privaten Unternehmen vorschreiben lassen, welche Funktionen auf deutschen Regierungscomputern, geschäftlichen Laptops sowie privaten Router, Kühlschränken, Autos oder Herzschrittmachern erlaubt und welche verboten sind? Für einen souveränen Staat ist es notwendig, dass Eigentümer von IT-Geräten selbst die Kontrolle über ihre IT-Geräte haben.

Glückwunsch an die Deutsche Bundesregierung, dass sie eine klare Position vertritt! Doch nun müssen wir Politikern in anderen Ländern bewußt machen: ein „Ja“ zu TPM 2.0 bedeutet das Ende des souveränen Staates.

Was bringt Deutschland und China dazu, sich als einzige halb-öffentlich gegen die Dominanz US-amerikanischer Unternehmen zu bekennen? Oder noch spannender: Wer lobbyiert eigentlich die ganzen Standardisierungsorganisationen? Hinweise gern über die üblichen Kanäle.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

21 Ergänzungen

  1. Danke für die interessante Zusammenstellung! Dieses Thema erfährt viel zu wenig Aufmerksamkeit.

    Ein nicht zu vernachlässigender Aspekt ist die Struktur der deutschen IT-Wirtschaft, wo sich viele Mittelständler tummeln, denen in Siegeszug von Trusted Computing den Marktzugang erschweren bzw. verhindern würde.

    Interessant hierzu vielleicht auch eine Politikempfehlung zu Trusted Computing, die wir an der Hertie School im Vorfeld der letzten Bundestagswahl geschrieben haben: http://www.hertie-school.org/blog/trusted-computing-offene-plattformen-fur-innovation-und-wahlfreiheit/


  2. Das wir besonders interessant, wenn man sich anschaut, wer in der Trusted Computing Group (TCG) vertreten ist, die an den Spezifikationen arbeitet. Prominent vertreten sind unter anderem Microsoft, Intel, IBM.

    und Lenovo und Cisco und Fujitsu und Infineon und Google und Red Hat und San Disk und und und
    Also alle.

    Und zur Frage, wer die Standardierung lobbyiert? Wer die Frage stellt, hat Standardisierung nicht verstanden. Standardisierung wird immer von den Herstellern getrieben.

    1. Schon klar, die Frage ist semi-rhetorisch. Aber interessant herauszufinden, wer genau in welchem Gremium welcher Länder-Standardisierungsbehörde sitzt und mit welcher Firma derjenige verbandelt ist/war, wäre es trotzdem.

    2. In diesem Kontext hat zB NIST unter mehr als einem Aspekt sehr schoen vorgefuehrt, dass Standardisierung nicht nur von Herstellern getrieben wird. Clipper war eine aehnliche Initiative, aber offener und weniger gut mit dem kommerzieller Interessen einiger Hauptakteure abgestimmt.

      1. NIST ist ja auch die Große Ausnahme, da das Normierung/Standardisierung im Auftrag des US Department of Commerce ist. Aus gutem Grund sind ja deshalb DIN/IEC/ISO nicht-staatlich (obwohl sie manchmal so tun…).

  3. Ueber den als gegeben anzunehmenden Zugriff auf die keys bekommt die USA damit die Kontrolle ueber die Verwendbarkeit aller entsprechend ausgestatteten Rechner, beherrscht also lebenwichtige Infrastruktur. Der „Hauptschalter“ des Internets ist nichts dagegen.

    1. Das ist wohl eher eine Anekdote als das Kontrolle über Schlüssel in TPM 1.2 oder 2.0 durch Unautorisierte möglich ist. Das als gegeben anzunehmen ist schlicht weg falsch, unwahr und Blödsinn.

      1. Es ist fuer einen Nation State Player relativ einfach, authorisierten Zugriff auf Schluessel vom jeweiligen Lande angesiedelten zu kommen. Was schon gezeigt wurde.

  4. Das TPM hat durchaus seine Berechtigung, allerdings nur dort wo es sinnvoll ist. Für Mobilgeräte (Stichwort: BYOD) zum Beispiel oder im Embedded-Systems-Bereich, insbesondere in kritischen Bereichen (Stichwort: Smart Grid).

    Natürlich darf es nicht dazu missbraucht werden, dass Hersteller oder OS-Entwickler dem Benutzer vorschreiben dürfen, was dieser auf seinem gekauften Gerät zu installieren hat und was nicht. Aber dieses Problem ließe sich durch eine entsprechende deutsche und/oder europäische Gesetzgebung vergleichsweise einfach umgehen, beim leidigen Internet Explorer Monopol hat es ja auch funktioniert. Wenn der Vertrieb derart „gesicherter“ Systeme grundsätzlich verboten ist, dann müssen auch Hersteller wie Microsoft und Intel sich daran halten, ganz einfach. Denn den europäischen Markt wird sich keiner von denen entgehen lassen wollen. Aber ob jemand in Berlin/Brüssel die Eier dazu hat, das ist eine ganz andere Frage.

    Das TPM und auch SecureBoot von Haus aus zu verteufeln halte ich für absolut falsch, beide haben ihre Berechtigung in vielen Bereichen. Allerdings muss die Gesetzgebung dem Missbrauch einen Riegel vorschieben.

    Ich möchte mir zumindest nicht vorstellen was passieren würde, wenn kritische Infrastruktur (z.B. Smartmeter usw.) kompromittiert werden würde und keiner würde es merken. Das TPM kann in solchen Szenarien, wenn es richtig angewendet wird, die Sicherheit massiv erhöhen und solchen Problemen vorbeugen.

    1. Das Problem ist nicht die HW oder SW. Das Problem ist HW oder SW, die zwangsweise nicht unter der Kontrolle des Nutzers steht sondern unter beliebig intransparenter Kontrolle Dritter.

      1. …und natuerlich wird jede HW/SW, die das per Standard zulaesst, bei Gelegenheit ganz einfach auch dazu verwendet. Was mittlerweile jedem klar sein sollte, es gibt mehr genug Beispiele.

  5. Besonders paradox an dieser Situation ist, dass ausgerechnet für Deutschland der Status als „souveräner Staat“ alles andere als unumstritten ist. Immer wieder liest man Artikel, in denen Gründe dagegen genannt werden, meist basierend darauf, dass Deutschland immer noch ein Grundgesetz hat und somit eigentlich immer noch alliiertes Besatzungsgebiet wäre. Und auch die ansonsten zu Recht kritisierte neutrale Haltung unserer konservativen Regierung bezüglich der Spionage durch in- uns ausländischen Geheimdienste sowie sogenannter „Freihandelsabkommen“ fördert eher die Vermutung, dass der Schutz einer staatlichen Souveränität Deutschlands eher von untergeordnetem Interesse sei. Bei dieser ausnahmsweise lobenswerten Haltung gegen „Trusted Computing“ kann es sich doch wohl nur um ein Versehen handeln? Oder wird deutschen Politikern wirklich langsam bewusst, dass man wirtschaftsdominierter Politik nicht „vertrauen“ kann wie einem „Freund“? — Ach was. Politiker leben in einem Paralleluniversum, umgeben von einem Problem-Anderer-Leute-Feld (siehe Douglas Adams). Und das Regieren überlassen sie ohnehin schon längs „dem Markt“. Zumindest meistens.

    1. „Besonders paradox an dieser Situation ist, dass ausgerechnet für Deutschland der Status als “souveräner Staat” alles andere als unumstritten ist“

      Nur, wenn du dich von Nazi/Pegida propanda einlullen lässt.

  6. Was soll hier das Genörgel, dass SHA-1 nicht ganz sicher sei? Ich meinerseits würde mich eher darüber freuen.
    Um wessen Sicherheit geht es denn?

  7. Dumme Frage, aber kann TC das Ausführen von Schadsoftware überhaupt effektiv vermeiden? Bzw hat es das bisher?

    1. Nein und Nein. Trusted Computing möchte sozusagen Hardware, die initiale Software und deren Wechselwirkungen „sicher“ machen, fertig. Was TC verhindert ist beispielsweise, sich in Bootloader und/ oder BIOS/ UEFI einzunisten, bootrelevante Dateien auszutauschen oder nicht-„zertifizierte“ Hardware zu benutzen.

      Hast Du jedoch Deinen Rechenknecht eingeschaltet und „aufgemacht“, so hindert Dich im Anschluß daran nichts und niemand, auf „Rechnung.pdf.exe“ der Firma Jobbewilligungen Müller & Meinhardt zu klicken und Dir damit einen Trojaner oder Keylogger einzufangen — sofern letztere auf die manigfaltig vorhandenen, alternativen Startmethoden in modernen Systemen setzen.

  8. Sofern Deutschland noch ein souveräner Staat ist, könnte unsere Position durch Importverbote durchgesetzt werden. Aber das will TTIP schließlich verhindern.

  9. Die Frage „wer lobbyiert Standardisierungsorganisationen“ ist müßig. Standardisierungsorganisationen werden von Herstellern mit dem Ziel getragen, gemeinsame Standards zu entwickeln. Die Kompetenz dieser Organisationen liegt gerade darin, durch die Verfahren sicher zu stellen, dass niemand jemand anderen übervorteilen kann. Deshalb sind die Verfahren bis ins kleinste Detail hinein auch so formalisiert. Allerdings kann sich nicht jeder Hersteller und nicht jede Behörde eine Teilnahme an diesen oft langwierigen Verfahren leisten. Gerade im IT-Sektor haben sich neben den klassischen Standardisierungsorganisationen Konsortien und Foren herausgebildet, die sektorspezifische Standards entwickeln. Viele der dort entwickelten Standards werden mittlerweile in sogenannten Fast-Track-Verfahren auf das Niveau eines ISO/IEC-Standards gehoben (zB die UTF-Standards des UTF-Konsortiums). Zu diesen Konsortien und Foren zählen die ECMA (Europäisches Herstellerkonsortium) ebenso, wie die IETF (verantwortlich für Internet-Standards aller Art). Im Vergleich zu den klassischen Standardisierungsorganisationen gelten diese als nicht so wettbewerbsneutral, weil die Verfahren für den Interessenausgleich und die Sicherstellung zur diskriminierungsfreien Teilnahme aller Stakeholder zu Gunsten schnellerer Verfahren „hemdsärmeliger“ gestaltet sind. Viele dieser Foren begegnen diesem Umstand durch besondere Transparenz- und Öffnungsregeln (offene Standards). Etwa die sogenannten RFCs der IETF sind für jedermann jederzeit abrufbar und nutzbar.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.