Huawei und Britisches Gutachten zur IT-Sicherheit der Produkte

5. Juni, 2019
Huawei und Britisches Gutachten zur IT-Sicherheit der Produkte

Huawei & China – kein wirklich gutes Gefühl herrscht dazu in der westlichen Welt. Die USA haben schon vor einiger Zeit klar Stellung bezogen und Huawei Produkte aus ihrem Land verbannt. Dem chinesischen Huawei Konzern hat das kaum geschadet. Die Verkaufszahlen steigen schneller an, als Huawei’s Konkurrenten lieb ist. Allerdings wird seit Jahren eine Liste der gefundenen Sicherheitsprobleme und generellen Praktiken bei der Softwareentwicklung geführt. Jedes Jahr wird der aktualisierte Bericht veröffentlicht. Und jedes Jahr wird er länger. Er zeigt, wo die kritischen Sicherheitslücken sind aber vor allem deutlich, was Huawai nicht unternimmt, um Sicherheitsrisiken zu mindern oder auszumerzen.

Huawei schließt bekannte Sicherheitslücken nicht

Großbritanniens nationales Cybersicherheitszentrum sieht das Thema Huawei mittlerweile als ein sehr großes Risiko für die Sicherheit von britischen IT-Betreibern. Dies, so der Bericht, sei nicht wegen möglicher Hintertüren, sondern vielmehr, weil Huawei, trotz seiner Versprechen, faktisch nichts unternimmt, um bekannte Sicherheitslücken zu schließen. Warum das so ist, kann niemand so richtig nachvollziehen. Zugegeben: Huawei gehört zu den größten Telekommunikationsunternehmen der Welt, führt die Rangliste als Telekommunikationslieferant an und ist Nummer zwei in der Smartphone-Herstellung. Gleichzeitig gibt es eine ganz Anzahl von Ländern, die Huawei schlichtweg Zugang verwehren. Und immer mehr Länder sehen sehr genau hin beim Überprüfen der Huawei-Technik.

Diverse Klagen gegen Huwei

In diesem Zusammenhang begann das Jahr 2019 für Huawei nicht sonderlich gut. Mit gleich 23 Klagen wegen des Diebstahls geistigen Eigentums, Behinderung der Justiz und Betrug im Zusammenhang mit einer angeblichen Umgehung von US-Sanktionen in der Causa Iran muss es sich in den USA befassen. Der aktuelle Bericht des Huawei Cyber Security Evaluation Centre der britischen Regierung stellte zudem fest, dass Huawei „keine wesentlichen Fortschritte“ bei der Bewältigung der im letztjährigen Bericht hervorgehobenen Sicherheitsprobleme gemacht habe.

Wegen Untätigkeit werden Produkte von Huawei als Sicherheitsrisiko eingestuft

Daher würde es schwierig werden, hieß es weiter, die Risiken der Produkte zukünftig angemessen zu managen. Groß Britannien plant seit einiger Zeit auch die 5G-Einführung. Da Huawei der größte Lieferant der dafür benötigten Technik ist, ist es natürlich ein heikles Thema. Im Prinzip sind alle wirklich besorgt, dass Huawei so eng mit der chinesischen Regierung zusammenarbeitet, und Huawei Produkte höchstwahrscheinlich für dessen Spionagezwecke weltweit eingesetzt werden. Das letzte, entscheidende Wort hat hier das britische Ministerium für Digital, Kultur, Medien und Sport. Was für weite Kreise das Thema Huawei und 5G zieht, wurde deutlich, als die USA ihre europäischen Verbündeten unter Druck setzte, keine 5G-Technik von Huawei einzusetzen. Deutschland wurden Einschränkungen im bilateralen Informationsaustausch angedroht, sollte Huawei-Technik eingesetzt werden.

Bestehende Huawei Systeme entfernen?

Das Huawei Cyber Security Evaluation Centre (HCSEC) sieht die Bedrohung mittlerweile als so groß an, dass sehr wahrscheinlich bestehende Huawei-Systeme entfernt werden müssten, um so die Bedrohung loszuwerden. In dem Bericht werden technische und sicherheitstechnische Fehler in Huawei’s Entwicklungsprozessen aufgeführt und generell Huawei‘s Einstellung zur Sicherheit seiner Mobilfunkgeräte angeprangert. Auch den Spionage-Experten der GCHQ im britischen Zentrum in Oxfordshire entgeht kaum etwas. Sie untersuchen seit Jahren den Softwarecode der Huawei-Technologien extrem genau.

Inkompatibele Dateien

Allerdings kämpfen die Tester generell mit ein paar Hürden. Darunter die binäre Äquivalenz, die Huawei sogar offen zu gab. Software verhält sich demnach bei der Installation in den britischen Telekommunikationsnetzen anders als bei den Tests der HCSEC. Die Binärdateien sind wohl nicht kompatibel. Dazu hieß es „bereits größere Mängel im zugrunde liegenden Build-Prozess wurden offenbart, die behoben werden müssen, bevor die binäre Äquivalenz im Maßstab nachgewiesen werden kann. Solange dies nicht geschieht, kann man sich nicht darauf verlassen, dass der von HCSEC untersuchte Quellcode genau derjenige ist, der zum Erstellen der Binärdateien in den britischen Netzwerken verwendet wird.“

Extrem unübersichtliche Anwendung von OpenSSL im Software-Code inklusive Fehlercode: „pisspoor dev practices“

Huawei nutzt OpenSSL, jedoch leider sehr unübersichtlich und chaotisch. Ebenso sind alte Versionen, die Sicherheitslücken enthalten, in den Produkten eingebunden. Das Huawei Cyber Security Evaluation Centre fand heraus, dass es in der ersten Version der Software 70 Vollkopien von vier verschiedenen OpenSSL-Code-Versionen, mit Teilkopien von 14 Versionen sowie Fragmente von 10 Versionen gab. Selbst als Huawei diesbezüglich mal nachbesserte, fand das Cyber Centre immer noch 10 verschiedene OpenSSL-Schwachstellen im Code, die teilweise aus dem Jahr 2006 (!) stammten.

Huawei bleibt untätig

Huawei selbst spielt schon immer den Unschuldigen und leugnet Fehlverhalten. In offiziellen Stellungnahmen spricht es davon, dass es die im Bericht hervorgehobenen Themen „sehr ernst nehmen würde“. Passieren tut aber nichts. Das kann natürlich aber auch daran liegen, dass ein Ausmerzen der Probleme einen immensen Aufwand bedeuten würde, wie Hardwareaustausch oder dergleichen, was praktisch nicht umsetzbar ist. Allerdings hätte Huawei schon längst was ändern können, denn der jährliche Bericht legt die Fehler immer wieder auf dem Präsentierteller vor.

Nichts geschieht. Gleichwohl tönte Huawei erst vor Kurzem lautstark, dass es 2 Milliarden US-Dollar in die Softwareentwicklung, einschließlich Sicherheitsverbesserungen, investieren würde. Das Huawei Cyber Security Evaluation Centre kann diese Aussage erst dann ernst nehmen, hieß es, wenn Huawei tatsächliche Einzelheiten seines Plans veröffentlichen würde, die eine ernsthafte Veränderung in Sachen IT-Sicherheit erkennen ließen. Wenn doch mal etwas geschieht, wie beispielsweise Verbesserungen im Konfigurationsmanagement, fanden die Experten heraus, dass diese nicht universell über alle Produkt- und Plattform-Entwicklungsgruppen hinweg angewendet wurden.

 

Rob Pritchard von Cyber Security Expert sagte in einem Interview zum Thema:

 

„Ich denke, das stellt die britische Regierung vor ein interessantes Dilemma – das Huawei Cyber Security Evaluation Centre wurde vor allem wegen der Bedrohungslage durch den chinesischen Staat für die kritische nationale Infrastruktur Großbritanniens gegründet. Allgemeine Probleme zu finden ist natürlich eine gute Sache, aber andere Anbieter unterliegen nicht diesen strengen Prüfungen. Wir haben keine wirkliche (zumindest nicht in die Tiefe gehende) Sicherheit, dass Produkte von konkurrierenden Anbietern wirklich sicherer sind.“

Und Pritchard bestätigte im Grunde, was SANS Sicherheitsexperten John Pescatore vor sechs Jahren in einem Gespräch mit dem Direktor des Centres herausfand. Der Direktor erwähnte damals, dass das größte Risiko für Großbritannien bei der Verwendung von Huawei-Produkten eigentlich gar nicht mal die mutmaßliche Beteiligung der chinesischen Regierung sei. Vielmehr war es die

„große Zahl der bekannten (OWASP Top 10) Software-Schwachstellen und wirklich unsauberen Codierungspraktiken, die im Huawei-Code enthalten waren.“

Und weiter:

„Die Fokussierung auf Lieferkettensicherheit durch eine Eliminierung von Anbietern aus bestimmten Ländern, ohne dass Software diese möglichen Anbieter getestet werden müssen, ist ähnlich wie der Einbau von Fenster in U-Booten.“

Artikel von cnet.com, 03.06.2019: Huawei ban: Full timeline on how and why its phones are under fire
Artikel von cnet.com, 28.03.2019: Huawei products bring ’significantly increased risk,‘ British watchdog warns
Artikel von theregister.co.uk, 28.03.2019: Huawei savaged by Brit code review board over pisspoor dev practices
Bericht von HCSEC: HUAWEI CYBER SECURITY EVALUATION CENTRE (HCSEC) OVERSIGHT (PDF)

 

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen