Vermurkst

Weshalb Firmware längst ausgerotteten Sicherheitslücken eine Renaissance beschert

Wissen | Reportage

Die tagtäglich eintrudelnden Berichte über Sicherheitslücken machen klar: Die Behauptung, Firmware sei löchrig wie Schweizer Käse, geht als Untertreibung des Tages durch. Doch wie kommt es dazu? Warum tappen Entwickler immer wieder in die gleichen längst bekannten Fallen? Eine Spurensuche.

Ein Paradoxon gleich vorweg: Im Folgenden bezieht die moderne UEFI-Firmware von PCs Prügel – stellvertretend für grundsätzliche Probleme bei der Firmware-Entwicklung. Einige der in den vergangenen Jahren publik gewordenen Fehler mögen einem die Haare zu Berge stehen lassen, und doch ist das neue UEFI-BIOS keineswegs vom Prinzip her unsicherer oder schlechter als das klassische PC-BIOS. Im Gegenteil: Es ist nur besser erforscht und dokumentiert. Die allgemein zugängliche Spezifikation des Unified Extensible Firmware Interface (kurz UEFI) macht es Sicherheitsforschern leichter, Fehler zu finden, als das früher bei proprietären BIOS-Versionen möglich war.

Das gereicht UEFI – im Vergleich mit anderer Firmware – zum Vorteil, denn die Erfahrung zeigt: Vertuschung und Geheimhaltung machen keineswegs sicher. Nur umgekehrt wird ein Schuh daraus: Je mehr unabhängige Experten ein Stück Software einsehen und analysieren, desto sicherer wird es. Doch davon ist man auch bei UEFI noch weit entfernt. Immerhin gibt es eine kritische Diskussion darüber und ein offenes Konsortium wacht über die UEFI-Spezifikation. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

Artikelstrecke
Anzeige
Anzeige