Kommentar: Digitale Souveränität zum Schnäppchenpreis – von Europa und Mozilla

Europa schwingt zu digitaler Souveränität nur "müsste man mal"-Reden. Jetzt sollte aber gehandelt werden, denn der Moment ist günstig, meint Felix von Leitner.

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 523 Beiträge

(Bild: Mozilla;Juergen Priewe/Shutterstock.com;heise online)

Von
  • Felix von Leitner

Mozilla, Hersteller des beliebten Firefox-Browsers und des Mailprogramms Thunderbird, hat kürzlich 25 Prozent seiner Belegschaft entlassen. Thunderbird hängt seit Jahren am Wartungstropf, ist sogar schon abgekündigt worden (scheint das aber überlebt zu haben). Firefox ist inzwischen der letzte erwähnenswerte Browser, der nicht bloß eine leicht angepasste Version der Open-Source-Komponenten von Google Chrome ist.

Ein Kommentar von Felix von Leitner

Felix von Leitner ist Hacker alter Schule. Er bietet mit seiner Firma Code Blau Beratungsdienstleistungen für IT-Sicherheit an, und plaudert gelegentlich auf Konferenzen über seine Arbeit aus dem Nähkästchen. Bekannt ist er auch für sein Blog und den Podcast "Alternativlos". Kernfrage seiner Forschung ist, wieso die Menschheit anscheinend nicht in der Lage ist, vertrauenswürdigen und belastbaren Code zu produzieren. Er ist sich sicher, dass es nicht technische Probleme, sondern soziale und ökonomische Anreize sind, die das verhindern.

Was uns zu einem Thema führt, das viele mit dieser Entwicklung bei Mozilla spontan nicht verbinden würden: Digitale Souveränität ist eigentlich die Idee, dass wir genug Kapazitäten vorhalten, um den Bedarf unserer von IT abhängigen Wirtschaft zur Not selbst befriedigen zu können. Wenn die Politik in der EU wie die Chinesen auf 30 bis 50 Jahre Planungshorizont arbeiten würde und nicht auf 4 bis 5 Jahre, dann gäbe es Nixdorf noch und ARM wäre nicht an Softbank verkauft worden.

Die ursprüngliche Befürchtung war, fremde Zulieferer könnten Hintertüren in ihre Produkte einbauen, oder strategisch das Angebot ausdünnen, um die Preise hochzutreiben. Was am Anfang wie eine absurde Verschwörungstheorie klang, ist längst Realität. Die Branche hat praktisch vollständig auf Backdoor-freundliche Architekturen umgestellt, und unsere Verwaltungen sind immer ganz vorne mit dabei, wenn Microsoft künstlich das Angebot ausdünnt (eine Windows-Version abkündigt) und zahlt dann jahrelang für verlängerten Support.

Intel-Prozessoren gibt es seit über 10 Jahren nur noch mit eingebauter "Management-Engine", eine Art Prozessor im Prozessor. Der Code, der auf der Management-Engine läuft, ist für Intel-Kunden nicht einsehbar, nicht prüfbar, nicht entfernbar und nicht ersetzbar. AMD ist nachgezogen und macht es genau so. Das ideale Umfeld für Geheimdienst-Hintertüren! Auch das BIOS ist inzwischen eine Komponenten-Architektur mit nachladbaren Modulen und Persistierbarkeit im Flash-Speicher. Die Vorteile davon haben sich nur für eine Gruppe manifestiert: Für Gangster, die jetzt ihre Malware im BIOS ablegen können.

Der Zug ist also nicht nur abgefahren, sondern auch der Ersatzzug auf der Alternativroute ist weg. Wir können jetzt nur noch auf einer klapprigen Draisine hinterherhumpeln. Die einzige Draisine weit und breit ist im Moment RISC-V, eine offene CPU-Architektur. Stellt sich raus: Offene Lizenzen sind die Wunderwaffe gegen Hintertüren. Open Source ist nicht per se sicher, aber wenn ein Hersteller etwas abkündigt, kann man es zur Not selber weiterpflegen, und wenn ein Hersteller eine Hintertür einbaut, kann man sie (zumindest theoretisch) finden und entfernen.

Allerdings reicht eine vertrauenswürdige Architektur nicht. Man müsste auch verhindern, dass in der Fertigung Hintertüren eingebaut werden. Haben wir denn noch Chipfertigung im Land? Wir haben theoretisch bei Dresden noch ein paar alte, halbwegs konkurrenzfähige Fabriken von AMD/Globalfoundries stehen. Die gehören jetzt leider ein paar Arabern, aber die könnte man ja zurückkaufen.

Es ist übrigens nicht so, dass Europa komplett den Anschluss in Chipfertigungstechnologie verloren hat. Im Gegenteil kommen die zentralen Maschinen aus Europa, auch für die neueste Iteration, die EUV-Belichtung (Extreme Ultraviolet). Technologisch könnte Europa mal eben eine 7-nm-Chipfertigung aus dem Boden stampfen, wenn nur der politische Wille vorhanden wäre. Die Chinesen sind an der Stelle deutlich weiter, wobei man der Fairness halber sagen muss, dass die USA mit ihren Handelskriegen den Chinesen auch deutlich vor Augen geführt haben, dass sie gedenken, den Zugriff auf Technologie zukünftig zu verknappen.

Natürlich ist so eine Chipfertigung teuer. Allerdings kann man bei TSMC sehen, dass sich das amortisiert. Und in einer Chipfertigung wäre unser Geld sicher sinnvoller angelegt als in Rüstungsausgaben für die NATO, weil Donald Trump ein bisschen herumgezetert hat.

Aber kommen wir mal kurz weg von Hardware. Selbst wenn wir es schaffen, ein nicht kompromittiertes Hardware-Fundament für unsere Wirtschaft zu bauen – was nützt das, solange die alle unsichere Software fahren? Auch hier retten uns wieder freie Lizenzen. Wir könnten theoretisch von Windows auf Linux wechseln. Klar, die ganze Betriebs-Software wäre ein Problem, aber da haben wir SAP im Land, da wären wir nicht hilflos.

Bleibt eigentlich nur ein Problem: Die Webbrowser. Die Webbrowser sind zwar Open Source, und das hat uns schon mehrfach gerettet, aber es entwickelt sich gerade eine bedenkliche Monokultur. Praktisch alle Browser da draußen sind Varianten von Google Chrome beziehungsweise deren Open-Source-Basis Chromium. Bis auf Firefox. Firefox wird von der Mozilla Foundation gewartet und ist eine alte, stinkende Codebasis (genau wie Chromium). Wie schlimm das ist, kann man bei ernsthaften Open-Source-Projekten sehen, indem man mal in den offenen Bugtracker guckt, oder in die Release Notes zwischen den Versionen. Dort kann man sehen, wie viele und wie schlimme Sicherheitslücken so geschlossen wurden.

Da sieht es bei Firefox und Chrome seit Jahren katastrophal schlimm aus. Das liegt zum großen Teil daran, dass schneller neuer Code dazukommt, als man den alten säubern kann. Daher ist die aktuelle Strategie bei Chrome nicht, das Problem mal grundsätzlich zu beheben, sondern man hat aufgegeben und fährt die Strategie, die auch traditionell bei Leprakranken angewendet wurde: Isolation. Man erklärt ganze Landstriche im Browser zum Seuchengebiet und sperrt sie in einer sogenannten Sandbox ein, die verhindern soll, dass ein Angreifer, der den Code über eine Sicherheitslücke fernsteuert, schlimme Dinge tun kann. Das Konzept hat sich bisher als halbwegs effektiv erwiesen, aber wir haben immer noch ständig neue Sicherheitslücken, die gepatcht werden müssen.

Mozilla hat es gewagt, das Problem an der Wurzel anzupacken. Die haben auch Sandboxing in ihrem Code, aber sie haben gleichzeitig an langfristiger Besserung gearbeitet. Sie haben eine neue Programmiersprache namens Rust erfunden, die Programmierer mit offensichtlicher Schluderei nicht mehr durchkommen lässt. In Rust haben sie dann angefangen, die komplexesten und fehleranfälligsten Teile des Browsers neu zu schreiben, und dabei auf ordentliche Entkoppelung geachtet. Eigentlich ging es dabei nicht nur um Sicherheit, sondern darum, das Rendering auf mehrere CPU-Kerne und die Grafikeinheit verteilen zu können. Netto kommt aber ein riesiges Sicherheits-Plus dabei heraus.

Leider hat Mozilla sich jetzt entschieden, ausgerechnet im Rust-Team und dem Servo-Team einen personellen Kahlschlag durchzuführen. Das wirft die Utopie von vertrauenswürdigen Webbrowsern um Jahre zurück, wenn wir jetzt nicht handeln. (Und die Nachricht, für Rust sei eine Stiftung geplant, kann, abseits sonstiger Versprechungen, nur hilfreich sein.)

Glücklicherweise kann die Politik gerade praktisch unbegrenzt Geld schöpfen, ohne dafür erwähnenswert Zinsen zahlen zu müssen. Auf der anderen Seite hat die Politik mit ihren ständigen Forderungen nach Hintertüren und Staatstrojanern und Krypto-Aufweichung selbst jede Vertrauensbasis verspielt. Wenn die einen Browser anbieten würden, würde ihn niemand einsetzen.

Selbst wenn das im Moment noch nicht in allen Fällen flächendeckend der Fall ist: Der Webbrowser ist die Plattform der IT der Zukunft. Wenn wir die Webbrowser nicht auf vertrauenswürdige und belastbare Füße stellen, können wir uns den Rest der Bemühungen gleich sparen.

Bleibt nur ein Kompromissmodell: Die Bundesregierung könnte der Mozilla-Stiftung zweckgebundene Spenden zukommen lassen. Die Zweckbindung wäre: Rust und Servo und Webrender vorantreiben. Das wäre die größte Leistung für am wenigsten Geldinvestition, die man im Moment für das Vorantreiben sicherer Infrastrukturen leisten kann.

Und wenn es die EU mit digitaler Souveränität ernst meint, müsste sie bei Hard- und Software handeln. Die beste Variante wäre, wenn sie eine 7-nm-Chipfertigung aufbaut, oder am besten gleich auf 5 nm gehen. Das Knowhow für die Maschinen haben wir. Die Rohstoffe müsste man zum Teil importieren, aber daran sollte es ja wohl nicht scheitern. Für die weniger anspruchsvollen Chips könnte (und sollte!) die EU die Globalfoundries-Werke übernehmen. Die sind im Moment in den Händen arabischer Investoren und dank Wirtschaftskrise wahrscheinlich vergleichsweise günstig einkaufbar. Das könnte zur Not auch Deutschland ohne die EU stemmen.

Eine günstigere Gelegenheit für den Aufbau von digitaler Hardware-Souveränität als in der Mitte einer Wirtschafts- und Corona-Krise wird es so schnell nicht wieder geben. ARM und Globalfoundries sind in den Händen von Investoren. Von Softbank (den Eigentümern von ARM) wissen wir, dass sie an einem Verkauf interessiert sind. Wenn die EU da noch nicht am Verhandlungstisch sitzt, und zwar nicht nur mit dem Ziel des Arbeitsplatzerhalts und kartellrechtlicher Auflagen, dann haben die Zuständigen ihre Aufgabe verschlafen.

Auf Softwareseite sähe ich unser Geld gerne in einer zweckgebundenen Spende an Mozilla investiert. Da würde es sicher mehr für unser aller IT-Sicherheit tun, als wenn wir es in eine neue Cyberagentur stecken, bei der offenbar nicht mal dem Chef klar ist, was die eigentlich inhaltlich tun soll.

Wir haben schon mehrere Züge völlig ohne Not abfahren lassen. Wenn wir jetzt nicht aufspringen, ist auch der letzte Zug abgefahren, und Europa wird in Zukunft keine Rolle mehr spielen außer als Markt für Produkte aus dem Ausland. Das Ende von Verbrennungsmotoren ist seit Jahren absehbar. Das Ende von Chips und Webbrowsern nicht. Wir sollten auch entsprechend investieren.

(mho)