Werbung
In den USA ist man seit einigen Jahren und vor allem nach den Veröffentlichungen von Edward Snowden sehr bedacht darauf, eine sichere Lieferkette innerhalb seiner IT-Infrastruktur gewährleisten zu können. Dass die eigenen Geheimdienste allerdings ein großer Bestandteil dessen sind, dass man nicht mehr jeder Hardware trauen kann, es hier aber auch schon diverse Manipulationsversuche gab und gibt, lässt man in den USA gerne unter den Tisch fallen.
Auf den ersten Blick deutete sich auch im Falle falsch geschriebener Lizenz-Sticker in teuren Netzwerk-Switches eine mögliche Manipulation an. Aber egal ob man nun von diesem Worst-Case ausgeht, oder den weniger schlimmen Fall annimmt, dass hier einfach nur gefälschte Lizenzen zum Einsatz kommen: Die von ServeTheHome veröffentlichte Story wirft kein gutes Licht auf die Sicherheit und das Vertrauen der Lieferkette für Server-Hardware.
Was ist eigentlich geschehen? ServeTheHome beschäftigt sich mit allerlei Server-Hardware und testet diese auf Herz und Nieren. Dazu gehören moderne Netzwerk-Switches, wie sie in Rechenzentren zum Einsatz kommen und fünfstellige Euro-Beträge kosten. Am 3. Oktober wurde ein Test des Dell S5232F-ON veröffentlicht und bereits einen Tag später fiel einem Zuschauer des dazugehörigen YouTube-Videos auf, dass ein Aufkleber auf einem Chip des Servers nicht "American Megatrends" zeigte, sondern "American Megatrands". Ein falsch geschriebener Hersteller auf derart teurer Hardware? Eher unwahrscheinlich.
ServeTheHome hat daraufhin American Megatrends (AMI) über den Fund informiert. Zugleich wurde Dell darüber informiert und die erste Vermutung war, dass es sich um eine Fälschung handelt, um ohne Lizenz die MegaRAC-Firmware auf dem BMC betreiben zu können. Zunächst wurde vermutet, dass ein Händler der Switches hier entsprechende Veränderungen vorgenommen hat. Inzwischen aber hatte ServeTheHome gleich vier Switches (Dell S5232F-ON und Dell S5224F-ON) untersucht, die von unterschiedlichen Händlern und aus unterschiedlichen Ländern stammen. Allesamt hatten diese den "American Megatrands"-Aufkleber. Selbst inzwischen zwei bis drei Jahre alte Switches hatten diesen offensichtlichen Rechtschreibfehler und auch solche von HPE konnten identifiziert werden.
Dell berief sich auf American Megatrends, die daraufhin offenbar eine Untersuchung starteten. Die Antwort von AMI aus Taiwan ist kurios:
"AMI acknowledges the misspelling in the label on AMI’s MegaRAC PM royalty label. AMI has sent out affirmation letters, which state the royalty label is authentic and fully authorized by AMI, and that there are no legal concerns to affix the ‘American Megatrands’ royalty label onto the products. The royalty label will continue to be implemented and shipped by AMI in the future up until further notification by AMI."
AMI räumt den Schreibfehler ein, bestätigt aber, dass die Lizenzsticker authentisch sind und autorisiert deren weitere Verwendung. Auch zukünftig wird man diesen Sticker mit Schreibfehler weiterverwenden. Ein Schreibfehler, der als Marke etabliert werden soll also.
Wie sicher ist die Lieferkette im IT-Sektor?
Das, was im Oktober in einem YouTube-Video erstmals aufgefallen war, entwickelte sich rasant zu etwas, das am Ende ein einfacher Schreibfehler sein soll? Kaum zu glauben eigentlich, zumal die Lieferkette in diesem Bereich besonders gut überwacht sein sollte. Im Nachhinein stellte sich heraus: Bereits auf der Supercomputing 2018 wurden Server ausgestellt, die mit dem "American Megatrands"-Aufkleber versehen waren. Mehr als drei Jahre soll dies keinem der Hersteller aufgefallen sein?
Dies wirft kein gutes Licht auf die doch so sichere Lieferkette, denn mehrere Mitspieler müssten den fehlerhaften "American Megatrands"-Aufkleber erkannt haben. Falls dies nicht der Fall ist, wäre dies sogar noch besorgniserregender, denn wenn ein solcher Schreibfehler nicht auffällt, was ist erst mit tiefergehenden Manipulationen an der Hardware – zumindest wenn man glaubt, dass diese theoretisch möglich sind?
Aber selbst wenn die Akteure darüber informiert waren, wovon nach den Reaktionen nicht auszugehen ist, hätte man dann nicht schneller reagieren müssen? Die Aufkleber sogar austauschen müssen, anstatt sie für gültig zu erklären und weiterhin zu verkaufen? Am Ende wird man womöglich nicht mehr genau erklären können, was hier schief gelaufen ist. Ein Vertrauensgewinn in die Sicherheit der Lieferkette sind solche Geschichten sicherlich nicht.
Die ganze Story mit noch mehr Hintergrundinformationen findet sich bei ServeTheHome.