Maßnahmen gegen Spionageschnittstellen in Computerhardware der Bundesverwaltung
der Abgeordneten Jimmy Schulz, Frank Sitta, Renata Alt, Nicole Bauer, Jens Beeck, Nicola Beer, Dr. Jens Brandenburg (Rhein-Neckar), Mario Brandenburg (Südpfalz), Britta Katharina Dassler, Bijan Djir-Sarai, Hartmut Ebbing, Dr. Marcus Faber, Daniel Föst, Otto Fricke, Thomas Hacker, Markus Herbrand, Katja Hessel, Manuel Höferlin, Reinhard Houben, Ulla Ihnen, Olaf in der Beek, Thomas L. Kemmerich, Pascal Kober, Carina Konrad, Ulrich Lechte, Oliver Luksic, Till Mansmann, Alexander Müller, Roman Müller-Böhm, Hagen Reinhold, Dr. Wieland Schinnenburg, Matthias Seestern-Pauly, Judith Skudelny, Bettina Stark-Watzinger, Benjamin Strasser, Linda Teuteberg, Michael Theurer, Stephan Thomae, Nicole Westig und der Fraktion der FDP
Vorbemerkung
Am 4. Oktober 2018 berichtete das US-amerikanische Magazin Bloomberg Businessweek (www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies, letzter Abruf: 5. Oktober 2018), dass bereits im Jahr 2015 Amazon und Apple sogenannte Supermicro-Chips auf den Mainboards, die bei der Herstellung der Serverinfrastruktur ihrer Cloudservices Amazon Web Services (AWS) beziehungsweise iCloud verwendet werden, entdeckt hätten. Zunächst sei Amazon während einer Due-Dilligence-Prüfung im Rahmen des Übernahmeprozesses des US-Softwareunternehmens Elemental Technologies auf die kleinen Chips aufmerksam geworden. Die Komponenten seien an unauffälligen Stellen platziert worden, hätten lediglich die Größe eines Reiskorns und ähnelten Signalkopplern (je nach Quelle auch Kondensatoren), welche häufig in Mainboards (zentrale Platine eines Computers, welche alle Komponenten miteinander verbindet) verbaut werden. Eine Überprüfung der Zulieferkette habe ergeben, dass die Chips von Supermicro verbaut worden seien – eine Firma mit Sitz in den USA und Fertigungsstätten in China.
Ermittlungen hätten ergeben, dass unter anderem die Komplexität der Hardwareattacke auf die Arbeit einer entsprechenden Spezialabteilung in der chinesischen Volksbefreiungsarmee hindeuten würde. Die Chips seien dann während des Fertigungsprozesses der Hardwarekomponenten installiert worden.
In den Servern der Unternehmen verbaut, hätten diese Chips Datensätze auf dem Weg zum Prozessor abfangen und an anonyme externe Computer kommunizieren können. Zudem hätten die Chips das System so modifizieren können, dass dieses von sich aus anfangen könnte, Daten an fremde Server auszuleiten – so die Angaben von Bloomberg.
Auch wenn die Angaben aus dem Bericht noch nicht bestätigt wurden, so stellen sich hinsichtlich der Kompromittierbarkeit von Hardware bei der Anschaffung Fragen nach den Sicherheitsmaßnahmen, ein solches Szenario zu verhindern, in der bundesdeutschen Verwaltung.
Wir fragen die Bundesregierung:
Fragen12
In welchen Behörden und Bundesministerien (bitte auflisten) ist oder war Hardware des chinesischen Herstellers Supermicro in Betrieb?
Haben die amerikanischen Sicherheitsbehörden, die an der Aufklärung dieses Falls laut Medienberichten seit 2015 arbeiten, die deutschen Sicherheitsbehörden über dieses Sicherheitsrisiko informiert?
a) Falls ja, wann hat diese Information stattgefunden?
b) Falls ja, welche Behörden wurden informiert?
c) Falls ja, welche Maßnahmen wurden getroffen (bitte nach Bundesministerien aufschlüsseln)?
d) Falls nein, warum nicht?
e) Falls nein, welche regelmäßigen Austauschformate im Bereich IT-Sicherheit existieren?
f) Falls nein, sieht die Bundesregierung sich in der Pflicht, aktiv nachzufragen? Ist dies passiert?
Welche Maßnahmen werden beim Einkauf von Computerhardware für Bundesbehörden getroffen, um Spionagetätigkeiten durch manipulierte Hardware auszuschließen?
Ist es zutreffend, dass die Hardware und Software in den sicherheitseingestuften Behördennetzwerken des Bundes wie z. B. dem Informationsverbund Berlin-Bonn (IVBB) nach dem Sicherheitsstandard EAL4+ zertifiziert ist (https://de.wikipedia.org/wiki/Common_Criteria_for_Information_Technology_Security_Evaluation)? Welche Behördennetzwerke sind nach höheren Standards geprüft?
Werden im Rahmen der genannten Sicherheitsstandards in der Antwort zu Frage 4 Computer auf eingeschleuste Spionagehardware geprüft? Wenn ja, wer führt diese Prüfung durch?
Werden alle eingekauften Hardwarekomponenten auf eingeschleuste Fremdhardware geprüft?
a) Falls ja, auf welche Weise und mit welcher Technologie passiert diese Prüfung?
b) Falls nur stichprobenartig geprüft wird, wie viel Prozent der Hardware wird überprüft?
c) Falls ja, finden die in den Fragen 6a und 6b genannten Überprüfungen standardmäßig im Rahmen der Zertifizierung nach Sicherheitsstandard EAL4+ statt?
d) Falls nein, warum wird diese Prüfung nicht durchgeführt?
Welche sonstigen Zertifizierungen sind notwendig für den Betrieb von Hardware im sicherheitsrelevanten Bereich?
Welche Prüfungen erfolgen beim Einkauf von Computerhardware für Behörden oder Bundesministerien in Bezug auf die Sicherheit der Hardware nach Lieferung?
Welche Prüfungen erfolgen beim Einkauf von Computerhardware für Behörden oder Bundesministerien in Bezug auf die Sicherheit der Firmware von Systemkomponenten wie z. B. dem (UEFI)BIOS (Unified Extensible Firmware Interface Basic Input Output System)?
Wie gedenkt die Bundesregierung in Zukunft sicherzustellen, dass keine Fremdhardware, z. B. zu Spionagezwecken, in Computerhardware für den behördlichen Einsatz eingebracht wird?
Welche zusätzlichen Sicherheitsprüfungen plant die Bundesregierung für Computerhardware, die zukünftig erworben werden soll?
Werden Computersysteme der Bundesregierung oder der Behörden und Bundesministerien regelmäßig auf Fremdhardware im Rahmen von IT-Sicherheitsaudits überprüft (siehe insbesondere die laut Bundestagsdrucksache 19/2587, Antwort zu Frage 13a regelmäßig durchgeführten Tests)?