Apple und Amazon bestreiten Attacke mit Spionage-Chips

Apple und Amazon haben kategorisch dementiert, einer Hardware-Attacke aus China zum Opfer gefallen zu sein. Ihre Stellungnahmen zum Bericht von Bloomberg Businessweek fielen sehr eindeutig aus und waren nicht von schwammigen Formulierungen geprägt, wie sie für halbherzige Dementis typisch sind. Bloombergs Journalisten wiederum beriefen sich auf Informationen von ranghohen Mitarbeitern von Sicherheitsbehörden – außerdem hätten Insider von Apple und Amazon Web Services die Angriffe auf ihre Unternehmen bestätigt.

Laut dem Bericht von Bloomberg Businessweek wurden die Supermicro-Mainboards in der chinesischen Lieferkette mit unauffälligen winzigen Spionage-Chips bestückt, die nicht einmal so groß wie ein Reiskorn sind und sich zwischen Platinenschichten einbetten lassen. Die Hardware von Super Micro wiederum kommt in den Rechenzentren großer Unternehmen, aber auch im US-Verteidigungsministerium und anderen sicherheitsrelevanten Bereichen zum Einsatz. Es ging demnach um eine groß angelegte Spionage-Kampagne einer chinesischen Militäreinheit, bei der es nicht um Verbraucherdaten, sondern vor allem um Wirtschaftsspionage ging. Eine solche Gefährdung sei kaum zu vermeiden, da auch amerikanische Hersteller auf die Fertigung in China angewiesen sind.

Apple erklärte jetzt in einer Stellungnahme sogar ausdrücklich, keinerlei Maulkorb-Verfügung oder anderweitigen Vertraulichkeitspflichten zu unterliegen, die das Unternehmen etwa aus Gründen nationaler Sicherheit an der Preisgabe von Informationen hindern könnte. Zusätzliches Gewicht bekommen die Dementis, da es sich um die beiden Firmen mit dem weltweit größten Börsenwert handelt – und sie bei kursrelevanten Falschinformationen mit kostspieligen Sanktionen der US-Börsenaufsicht SEC zu rechnen hätten.

Auch Super Micro Computer dementierte, Kenntnis von Spionage-Chips auf seinen Mainboards zu haben, die laut Bloomberg bei rund 30 Technikfirmen einschließlich Amazon und Apple zum Einsatz kamen. Wie Apple und Amazon erklärte auch Super Micro, nicht von der berichteten und seit 2015 andauernden Untersuchung durch US-Sicherheitsbehörden zu wissen.

Zumindest die eigenen Anleger schenkten diesem Dementi allerdings wenig Glauben, sondern ließen den Supermicro-Aktienkurs um 41 Prozent in die Tiefe rutschen. Während Apple und Amazon nur wenig nachgaben, gerieten auch die Papiere chinesischer Technikfirmen aufgrund des Spionageverdachts in Turbulenzen. Der Aktienkurs des PC-Herstellers Lenovo verlor während des vormittäglichen Handels um über 23 Prozent. Die in Hongkong gelisteten Aktien des chinesischen Telekomausrüsters ZTE, dem US-Regierungskreise schon früher das Vertrauen absprachen, fielen um rund 11 Prozent.

Mit den nachdrücklichen Dementis von Apple und Amazon steht jetzt Aussage gegen Aussage – hier von renommierten Journalisten einer seriösen Publikation, dort von Konzernen, die viel mehr zu verlieren haben als Vertrauen und einen guten Ruf. Auch erfahrenen Berichterstattern fällt es schwer, sich hier für eine Seite zu entscheiden.

Bei Techcrunch macht sich Zack Whittaker dazu Gedanken, der sich seit fünf Jahren auf Themen wie Cybersicherheit und nationale Sicherheit spezialisiert, darunter für ZDNet.com und CBS. Er schließt zumindest nicht aus, dass selbst das Management von Apple und Amazon im Dunkeln tappt und nicht über die Vorfälle informiert wurde. Bei aktiven Spionage-Ermittlungen sei davon auszugehen, dass nur wenige Mitarbeiter dieser Firmen Kenntnis bekommen. Sicherheitsbehörden informierten hierbei nur diejenigen, die es wirklich wissen müssen – typischerweise den Chefjustiziar eines Unternehmens. Diese wiederum sprächen darüber eher nicht mit Vorgesetzten wie CEO oder Präsident – damit diesen keine kursrelevanten Angaben unterlaufen können, die wissentlich falsch oder irreführend sind.

Kaum umstritten ist die tatsächliche Gefährdung durch Hardware-Hacks wie den von Bloomberg beschriebenen. The Verge zitiert dazu den Informatiker Nicholas Weaver von der Berkeley University, der von einem God-Mode-Exploit sprach. Katie Moussouris, CEO von Luta Security, erklärte es zu einem Katastrophenszenario: „Wenn Sie es schaffen, etwas in der Hardware zu platzieren, ist das nicht nur schwierig zu detektieren. Es ist außerdem etwas, das die aufwendigsten Sicherheitsvorkehrungen bei der Software umgehen kann.“

Der frühere NSA-Hacker Jake Williams und spätere Gründer von Rendition Infosec erklärte den Bericht für glaubhaft und fügte hinzu: „Selbst wenn er sich als unwahr herausstellen sollte, die Voraussetzungen dafür bestehen und Sie müssen die Architektur Ihrer Netzwerke darauf abstellen, es zu erkennen.“

[mit Material von Sean Keane und Alfred Ng, ZDNet.com]