Seit den spektakulären Veröffentlichungen Edward Snowdens haben wir uns daran gewöhnt: Kaum jemand kann überblicken, was in seinem Computer so passiert. Das liegt nicht nur an intransparenter Software. Auch die Hardware, vom einzelnen Computerchip bis zum kompletten Gerät, kann manipuliert sein, betont Jean-Pierre Seifert von der Technischen Universität Berlin.

"Und nur die wenigsten, die einen Chip bauen, beherrschen im Wesentlichen von der Idee bis hin zum Silizium die gesamte Kette. In jedem Teil dieser Kette kann ein Trojaner eingebaut werden.

Jean-Pierre Seifert von der Technischen Universität Berlin ist Professor für Sicherheit in der Telekommunikation. Zusammen mit fünf anderen Computerwissenschaftlern hat er ein Forschungspapier zur Souveränität in der Informations-Technologie veröffentlicht. Darin werden Wege aufzeigt, wie Computer so hergestellt werden können, dass eingebaute Hardware-Hintertüren ausgeschlossen sind. So werden zum Beispiel die Baupläne für Halbleiter-Chips in den Chipfabriken mit Hilfe von Computerprogrammen umgesetzt. Diese Programme sind aber nicht transparent. Das bedeutet: Selbst wer den Bauplan kennt, kann nicht sicher sein, dass der in der Herstellung auch tatsächlich wie geplant umgesetzt wird. Hinzu kommt, dass Computerkomponenten fast immer mit Spezial-Software ausgeliefert werden, die für den Betrieb nötig ist. Diese Firmware kann ebenfalls manipulativ sein. Gerade für die Hardware-Manipulationen gebe es erst seit den Snowden-Veröffentlichungen ein größeres Bewusstsein, sagt Jean-Pierre Seifert. In China und Russland werden nun eigene Chip-Produktionen hochgezogen. Das Emirat Abu Dhabi hat schon vor Jahren die Halbleiter-Fabriken von AMD und IBM übernommen.

"Es gibt heutzutage auf der Welt nur noch sehr wenige Fabriken, die tatsächlich in der letztendlich besten Technologie zwischen sieben Nanometer und vierzehn Nanometer eigenes Silizium produzieren können, maximal drei oder fünf."

Um diesem Oligopol entgegenzuwirken, schlagen Seifert und seine Mitautoren, die vor allem von anderen deutschen Hochschulen und zwei Fraunhofer-Instituten kommen, ein umfangreiches Aktionsprogramm auf EU-Ebene vor. Die sollte eine quelloffene Produktion von Computerhardware fördern und die Wissenschaft in diesem Bereich massiv unterstützen. Erforscht werden sollen sowohl wenig bekannte Sicherheitslücken als auch mögliche Geschäftsmodelle auf der Basis frei verfügbarer Chip-Baupläne. Billiger werden müssen dem Forschungspapier zufolge Zertifizierungen für nachweislich sichere Hardware. Als hilfreich wird die Auslagerung von Tätigkeiten an die Allgemeinheit angesehen. So leiste die Gemeinschaft um den quelloffen entwickelten Mikroprozessor RISC five formalisierte Sicherheitsüberprüfungen. Auch andere Vorzeige-Projekte werden erwähnt, am ausführlichsten die fürs Internet of Things relevante Plattform Arduino mit ihrer modularen Erweiterbarkeit. Allerdings halten es Seifert und Kollegen für notwendig, auch quelloffene Chips, die als sicher gelten, zu überprüfen. Denn ein Saboteur in der Chipfabrik könnte einen Produktionsschritt manipulieren, und auch das Fälschen von Chips sei längst üblich.

Am Ende all dieser Bemühungen stünden dem Forschungspapier zufolge auch eine finanzielle Wertschöpfung und niedrigere Preise. Allerdings sieht Jean-Pierre Seifert nur eine sehr geringe Bereitschaft bei europäischen Firmen, diese Schritte mitzumachen. Ihnen käme unter anderem die Aufgabe zu, zusammen mit der Wissenschaft, Prototypen zu entwickeln. Constanze Kurz hält das Arbeitspapier der sechs Forscher für sehr berechtigt. Die promovierte Informatikerin und Sprecherin des Chaos Computer Club ist aber skeptisch, was die nötige politische Unterstützung für das angedachte riesige Projekt angeht.

"Mein Eindruck ist, dass – ich glaube, das haben die vier Jahre NSA-Untersuchung im Bundestag auch gezeigt, dass der politische Wille in unserer Bundesregierung sehr gering ist, diese strukturellen Probleme der IT-Vertrauenskrise anzugehen. Ich glaube, die Abhängigkeit insbesondere von den Amerikanern ist immer noch sehr hoch."

Die EU-Regierungen hätten schon längst Anreize in Richtung digitale Souveränität setzen können und von den Herstellern möglichst sichere Hard- und Software verlangen können.