Das zweite OS auf dem Intel-Chip

0

In den letzten Monaten häufen sich in den einschlägigen Nachrichtenportalen Meldungen zu Intels Management Engine, oder kurz ME. Dabei geht es insbesondere um Schwachstellen dieses Subsystems, das Teil aller Intel-Prozessoren ist. Wegen dieser Sicherheitslücken deaktiveren einige Hersteller von Laptops die Management Engine bereits. Für den Endanwender ist dabei kaum ersichtlich, wofür Intels ME zuständig ist. Vorab eine Klarstellung: Für AMD-Prozessoren bestehen ganz ähnliche Umstände, auch dort sind vergleichbare Firmware-Elemente enthalten.

Die Management Engine: Ein zweites Betriebssystem

Intels Management Engine und ist seit 2008 Teil aller Computer, die mit Intel-CPUs ausgeliefert werden. Dabei ist sie mit der Zeit in ihrer Komplexität und ihrem Funktionsumfang gewachsen. Die eigentlichen Funktionen stellen die Module der ME bereit. Eines dieser Module ist beispielsweise Secure Boot, das den Startvorgang gegen Malware absichern soll. Aber auch die Active Management Technology AMT gehört zu diesen Modulen. Dabei handelt es sich um ein Fernwartungssystem, das auch bei heruntergefahrenem System funktioniert (Lights Out Management, LOM). Das kann funktionieren, weil in aktuellen Intel-Prozessoren ein energiearmer Mikrokontroller namens „Quark“ verbaut ist, der direkt über das Netzteil des Computers mit Strom versorgt wird. In Verbindung mit dem enthaltenen Webserver ermöglicht AMT eine browsergesteuerte Fernwartung auch von Systemen, auch wenn diese im Standby sind. Diese Funktion ist nicht obligatorisch, sie muss aktiviert werden.

Es handelt sich bei der ME um ein autonomes Subsystem aus Hardware und Software. Teil der ME ist im allgemeinen ein Prozessorkern oder mehrere sowie reservierter Arbeitsspeicher, der unter anderem der Verschlüsselung der ME selbst dient, um diese vor Manipulation zu schützen. Dieses Subsytem enthält sogar ein separates Betriebssystem, das auf Minix basiert.

Freiheit und Sicherheit

Für Institutionen wie die Free Software Foundation, die sich für Geräte einsetzt, die auf komplett quelloffener Software basieren, ist Intels Management Engine ein rotes Tuch. Das liegt daran, dass Intels ME ausgesprochen intransparent ist. Der volle Funktionsumfang des Systems ist unbekannt. Beispielsweise ist nur bekannt, dass die ME auf Minix basiert, weil russische Forscher die Software mit viel Aufwand und Reverse Engineering teilweise durchleuchtet haben. Außerdem lässt sich die ME nicht löschen und durch freie Software ersetzen.

In Verbindung mit den umfassenden Rechten der Management Engine ist dieser Umstand besonders bedenklich. Nicht jeden lässt es kalt, dass auf seinem Computer ein Zweitsystem mit vollem Zugriff auf alle Elemente des Geräts läuft, das jederzeit mitläuft und völlig intransparent ist. Diese Bedenken als Paranoia abzustempeln, tut ihnen Unrecht. Bereits im Mai diesen Jahres sorgte eine Sicherheitslücke in der ME für Schlagzeilen. Besonders gefährdet waren aber nur solche Computer, die über AMT unmittelbar via Internet erreichbar waren. Das Bundesamt für Sicherheit in der Informationstechnik warnte sogar schon im August 2015 vor Intels AMT als gefährlicher Angriffsweg.

Angriffe auf die Management Engine sind allgemein sehr bedenklich: Das Handeln der ME ist für Virenscanner nicht einsehbar. Würde die ME durch Malware manipuliert, würde auch eine komplette Neuinstallation des Betriebssystems auf dem Gerät nichts gegen die Infektion bewirken. Intel ist sich dessen bewusst, daher ist die ME auch sehr aufwendig gegen Angriffe geschützt. Doch auch das ausgefeilteste System ist nicht perfekt sicher, und im September diesen Jahres gelang es zwei Vertretern einer russischen Sicherheitsfirma, Intels ME zu hacken. Im November schaffte ein Mitarbeiter der gleichen Firma es, über einen USB 3.0-Port noch tiefer in die ME vorzudringen. Auf der Arbeit dieser Forscher baut auch die Deaktivierung der ME in den Geräten einiger weniger Hersteller (wie eingangs erwähnt) auf.

Die nachgewiesene Angreifbarkeit der Management Engine bewegt mittlerweile nicht mehr nur Organisationen wie die Free Software Foundation. Auch große Unternehmen interpretieren Intels intransparente Firmware-Komponenten mittlerweile als eine Gefahr für ihre IT-Sicherheit. Google, Cisco und andere Konzerne haben begonnen, mit „Non-Extensible Reduced Firmware“ (NERF) an einer komplett quelloffenen Alternative zum UEFI-BIOS und den meisten ME-Funktionen zu arbeiten.

Inwieweit ist der deutsche Mittelstand nun von diesem Problem betroffen? Die Mehrheit der aktuellen Hardware in deutschen Unternehmen läuft zweifellos auf Intel-Prozessoren. Ein Grund zur Panik ist das freilich nicht. Zum Einen handelt es sich bei den jüngeren Schwachstellen um solche, die nur selten über das Internet ausgenutzt werden können. Die meisten Unternehmen, die Intels Fernwartungssystem AMT nutzen, haben die Rechner so konfiguriert, dass sie nur aus einem internen Netzwerk über AMT angesteuert werden können. Der erwähnte USB-basierte Angriff funktioniert ohnehin nur, wenn ein Angreifer physischen Zugriff auf ein Gerät hat – und dann gibt es einfachere Angriffe als diesen. Ansonsten gilt bei den Schwachstellen ähnliches wie bei gefundenen Schwachstellen in Software: Intel hat Patches bereitgestellt. Wer die Sicherheit vor Angreifern sicherstellen möchte, sollte Patches der betroffenen Geräte in Erwägung ziehen.

Alternativen zu Prozessoren mit Intels ME gibt es nicht wirklich – auch AMDs und ARMs Prozessoren weisen ähnliche Merkmale auf. Einzige Ausnahme bieten die OpenPower-Server, die in einigen Fällen eine Alternative darstellen können, besonders bei bestimmten Einsatzzwecken rund um Datenbanken. Und bei Client-PCs? Dell verkauft in den USA bereits Laptops mit deaktivierter Management Engine – eine Entwicklung, die man beobachten sollte.