Huawei mit gravierenden Sicherheitslücken im Firmware-Test: „Man könnte fast an absichtliche Hintertür denken“

Ein renommiertes US-Cybersicherheitsunternehmen hat die Produkte von potenziellen Partnern im 5G-Ausbau einem Stresstest unterzogen. Jene des chinesischen Anbieters Huawei schnitten überdurchschnittlich schlecht ab – insbesondere auch dort, wo es um bekannte und leicht zu behebende Sicherheitsprobleme geht.
Von 26. Juni 2019

Das Computersicherheitsunternehmen Finite State hat – nach Aussage seines CEOs Matt Wyckhouse im Rahmen einer ehrenamtlich und ohne Regierungsauftrag durchgeführten Testreihe – die Sicherheit der Produkte einer Reihe von Unternehmen auf den Prüfstand gestellt, die als potenzielle Partner für den Ausbau des 5G-Mobilfunkstandards in Betracht kommen. Dies berichtet das „Wall Street Journal“ (WSJ).   

Dabei habe von knapp 10 000 Firmware-Images, die in 500 unterschiedliche Variationen von Netzwerkausstattung eingearbeitet waren, fast die Hälfte mindestens eine Schwäche aufgewiesen, die diese für Hackerangriffe und ähnliche Risiken anfällig machen würde. Der Begriff Firmware bezeichnet in der Hardware technischer Geräte eingebettete Software, die diese Komponenten steuert und das Bindeglied zur Anwendersoftware darstellt.

Für die Analyse verwendete Finite State eigene, automatisierte Systeme, die mehr als 1,5 Millionen in die Firmware-Images eingebettete einzelne Dateien auswerten konnten, auf die unter anderem auch 558 Produkte aus dem Huawei-Portfolio zurückgreifen.

„Wir wollen, dass 5G sicher wird“, beschreibt Wyckhouse die Motivation hinter seiner groß angelegten Testreihe. Diese kam dann auch zu einer eindeutigen Einschätzung: Telekommunikationsausstattung des chinesischen Großkonzerns Huawei weist deutlich mehr an Schwächen auf, die Hacker für bösartige Aktivitäten ausnutzen könnten, als die von konkurrierenden Unternehmen.

„Muster von falschen Sicherheitsentscheidungen“

US-Regierungsbeamte haben die Analyse von Finite State als glaubwürdig eingestuft. CEO Matt Wyckhouse verfügt über mehr als ein Jahrzehnt Erfahrung bei Battelle, einem gemeinnützigen US-amerikanischen Institut, das im Auftrag von Behörden der nationalen Sicherheit technologische Vertragsforschung betreibt. Der Testbericht wurde im Laufe der vorangegangen Wochen an hochrangige Regierungsbeamte verschiedener Abteilungen in den USA und Großbritannien versandt, darüber hinaus auch an Parlamentsabgeordnete.

Zwar erhebt Finite State nicht die Behauptung, Huawei würde absichtlich Schwachstellen in seinen Systemen platzieren, und auch zum Verdacht der US-Regierung, Huawei betreibe wahrscheinlich Spionage für das chinesische Regime – was das Unternehmen strikt in Abrede stellt – äußert sich Finite State nicht. Die Rede ist allerdings von „ausgeprägten Mängeln“ in Huawei-Ausrüstungsteilen und einem „Muster von falschen Sicherheitsentscheidungen“ aufseiten der Ingenieure.

US-Präsident Donald Trump dürfte sich jedenfalls durch die Testergebnisse in seiner Einschätzung bestätigt sehen, das global operierende chinesische Unternehmen sollte keinen Zugang zu sensibler US-Technologie erhalten. Außerdem verhalte sich Huawei intransparent.

„Der Bericht bestätigt unsere seit 2009 aufrechten Einschätzungen, Huawei habe einen verdeckten Zugang zu manchen Systemen offengelassen, die es für internationale Kunden entwickelt hatte“, erklärt ein Beamter des Weißen Hauses gegenüber WSJ. „Huawei hat diesen verborgenen Zugang weder gegenüber Kunden noch lokalen Verwaltungen offengelegt. Der Zugang ermöglicht es Huawei, Informationen aufzuzeichnen und Datenbanken auf diesen lokalen Systemen zu modifizieren.

Offen wie ein Scheunentor

Aus der Vorstandsetage von Huawei selbst heißt es, man begrüße unabhängige Forschung, die dabei helfen könne, die Sicherheit der Produkte zu verbessern. Zu Details könne man jedoch nicht Stellung beziehen, da man nicht im Besitz des gesamten Testberichts von Finite State sei. Ein Vorstandsmitglied erklärte: „Ohne Details können wir keine Einschätzung zur Professionalität und Belastbarkeit der Analyse abgeben.“

Das in Shenzhen ansässige Unternehmen ist der weltgrößte Telekommunikationsausstatter und führend im Bereich der kabellosen 5G-Technologie. Der geplante Ausschluss Huaweis vom 5G-Standard in den USA ist ein Element des Handelsstreits zwischen Washington und Peking. Im Mai hatte das US-Handelsministerium Huawei auf eine Schwarze Liste gesetzt. Unternehmen dürfen nicht ohne Zustimmung der US-Regierung aus den USA stammende Technologie mit Komponenten dort aufgeführter Akteure vernetzen.

Mindestens 55 Prozent der Firmware-Images von Huawei hatten den Untersuchungen von Finite State zufolge zumindest eine potenzielle Hintertür aufgewiesen, die es Hackern, die mit der Firmware vertraut sind, ermöglichen könnten, unbemerkt in die Netze der Kunden einzudringen und sich mittels dazugehöriger kryptografischer Schlüssel Zugang zum System zu verschaffen.

Im Bereich der High-End-Netzwerk-Switches ist der Qualitätsunterschied zwischen Huawei und konkurrierenden Anbietern wie Arista oder Juniper besonders augenfällig. In sechs von neuen Untersuchungskategorien sei das Risikopotenzial bei Huawei-Produkten höher gewesen – und zwar mit deutlichem Abstand. Im Zusammenhang mit hart codierten Standardpasswörtern wies der Netzwerkswitch von Huawei eine Risikowahrscheinlichkeit von 91 Prozent auf – im Unterschied zu Arista und Juniper, bei denen sie im Null-Komma-Bereich lag.

„Nach unseren bisherigen Erfahrungen sind das durch die Bank die höchsten Werte, die wir je gesehen haben“, erklärt Matt Wyckhouse dazu.

US-Regierung argwöhnt weiterhin, Schwachstellen könnten gezielt eingebaut worden sein

Bei der Homeland Security schrillen ob der Ergebnisse des Finite-State-Tests die Alarmglocken. Der Abteilungsleiter für Cybersicherheit im Ministerium, Chris Krebs, erklärt, die Resultate zeigten, dass Huawei nicht den Willen oder die Fähigkeit gezeigt habe, seine Sicherheitsstandards anzupassen. Dies habe in US-Behörden Konsequenzen:

„Da Huawei weder die technische Fähigkeit noch die Entschlossenheit gezeigt hat, verlässliches und sicheres Equipment zu schaffen, einzurichten und zu warten, und angesichts der Tatsache, dass die chinesische Regierung in der Lage ist, ein Unternehmen wie Huawei in seinem Gebaren zu beeinflussen oder unter Druck zu setzen, halten wir es für inakzeptabel, heute oder in Zukunft Ausstattung von Huawei zu nutzen.“

Obwohl sich der Bericht nicht explizit in dieser Richtung äußert, will man in der US-Regierung weiterhin nicht ausschließen, dass Huawei bewusst Schwachstellen in seine Systeme einbaue. Immerhin handele es sich um Standardprotokolle, in denen erhebliche Fehler entdeckt werden konnten – darunter in der Fachwelt gut bekannte Sicherheitsprobleme, die man ohne größere Schwierigkeiten vermeiden könnte.

Von den untersuchten Apparaten sei bei 29 Prozent zumindest ein Standard-Benutzername und Passwort entdeckt worden, das, wenn keine weiteren Veränderungen vorgenommen würden, böswilligen Akteuren einfachen Zugriff ermögliche würden. Bei einer upgedateten Firmware hätten sich die Sicherheitsstandards gegenüber der zwei Jahre alten Vorgängerfassung sogar in neun Kategorien verschlechtert. Reichweite und Tiefe der von Finite State aufgedeckten Schwachstellen machen es „schwer zu glauben, dass diese nicht absichtlich platziert wurden“, erklärt auch Michael Wessel von der Überwachungskommission des Kongresses zu Wirtschaft und Sicherheit im amerikanisch-chinesischen Verhältnis.

„Huawei als verlängerten Arm der chinesischen KP begreifen“

Der republikanische Kongressabgeordnete Mike Gallagher aus Wisconsin erklärt, die Ergebnisse des Berichts zeigten, wie wichtig es sei, zu verhindern, dass Huawei den Weltmarkt für Telekommunikationsunterstützung übernehme.

„Ich sage schon lange, dass man Huawei als verlängerten Arm der chinesischen Kommunistischen Partei behandeln sollte“, äußert Gallagher sich gegenüber dem WSJ. „Aber selbst ich bin verblüfft über das Ausmaß an Sicherheitsmängeln, das Bericht innerhalb der Netzwerkarchitektur von Huawei zutage gefördert hat.“



Kommentare
Liebe Leser,

vielen Dank, dass Sie unseren Kommentar-Bereich nutzen.

Bitte verzichten Sie auf Unterstellungen, Schimpfworte, aggressive Formulierungen und Werbe-Links. Solche Kommentare werden wir nicht veröffentlichen. Dies umfasst ebenso abschweifende Kommentare, die keinen konkreten Bezug zum jeweiligen Artikel haben. Viele Kommentare waren bisher schon anregend und auf die Themen bezogen. Wir bitten Sie um eine Qualität, die den Artikeln entspricht, so haben wir alle etwas davon.

Da wir die Verantwortung für jeden veröffentlichten Kommentar tragen, geben wir Kommentare erst nach einer Prüfung frei. Je nach Aufkommen kann es deswegen zu zeitlichen Verzögerungen kommen.


Ihre Epoch Times - Redaktion