Mozilla, Hersteller des beliebten Firefox-Browsers und des Mailprogramms Thunderbird, hat kürzlich 25 Prozent seiner Belegschaft entlassen. Thunderbird hängt seit Jahren am Wartungstropf, ist sogar schon abgekündigt worden (scheint das aber überlebt zu haben). Firefox ist inzwischen der letzte erwähnenswerte Browser, der nicht bloß eine leicht angepasste Version der Open-Source-Komponenten von Google Chrome ist.

Ein Kommentar von Felix von Leitner Felix von Leitner ist Hacker alter Schule. Er bietet mit seiner Firma Code Blau Beratungsdienstleistungen für IT-Sicherheit an, und plaudert gelegentlich auf Konferenzen über seine Arbeit aus dem Nähkästchen. Bekannt ist er auch für sein Blog und den Podcast "Alternativlos". Kernfrage seiner Forschung ist, wieso die Menschheit anscheinend nicht in der Lage ist, vertrauenswürdigen und belastbaren Code zu produzieren. Er ist sich sicher, dass es nicht technische Probleme, sondern soziale und ökonomische Anreize sind, die das verhindern.

Viel zu kurzer Planungshorizont

Was uns zu einem Thema führt, das viele mit dieser Entwicklung bei Mozilla spontan nicht verbinden würden: Digitale Souveränität ist eigentlich die Idee, dass wir genug Kapazitäten vorhalten, um den Bedarf unserer von IT abhängigen Wirtschaft zur Not selbst befriedigen zu können. Wenn die Politik in der EU wie die Chinesen auf 30 bis 50 Jahre Planungshorizont arbeiten würde und nicht auf 4 bis 5 Jahre, dann gäbe es Nixdorf noch und ARM wäre nicht an Softbank verkauft worden.

Die ursprüngliche Befürchtung war, fremde Zulieferer könnten Hintertüren in ihre Produkte einbauen, oder strategisch das Angebot ausdünnen, um die Preise hochzutreiben. Was am Anfang wie eine absurde Verschwörungstheorie klang, ist längst Realität. Die Branche hat praktisch vollständig auf Backdoor-freundliche Architekturen umgestellt, und unsere Verwaltungen sind immer ganz vorne mit dabei, wenn Microsoft künstlich das Angebot ausdünnt (eine Windows-Version abkündigt) und zahlt dann jahrelang für verlängerten Support.

Intel-Prozessoren gibt es seit über 10 Jahren nur noch mit eingebauter "Management-Engine", eine Art Prozessor im Prozessor. Der Code, der auf der Management-Engine läuft, ist für Intel-Kunden nicht einsehbar, nicht prüfbar, nicht entfernbar und nicht ersetzbar. AMD ist nachgezogen und macht es genau so. Das ideale Umfeld für Geheimdienst-Hintertüren! Auch das BIOS ist inzwischen eine Komponenten-Architektur mit nachladbaren Modulen und Persistierbarkeit im Flash-Speicher. Die Vorteile davon haben sich nur für eine Gruppe manifestiert: Für Gangster, die jetzt ihre Malware im BIOS ablegen können.

Der Zug ist also nicht nur abgefahren, sondern auch der Ersatzzug auf der Alternativroute ist weg. Wir können jetzt nur noch auf einer klapprigen Draisine hinterherhumpeln. Die einzige Draisine weit und breit ist im Moment RISC-V, eine offene CPU-Architektur. Stellt sich raus: Offene Lizenzen sind die Wunderwaffe gegen Hintertüren. Open Source ist nicht per se sicher, aber wenn ein Hersteller etwas abkündigt, kann man es zur Not selber weiterpflegen, und wenn ein Hersteller eine Hintertür einbaut, kann man sie (zumindest theoretisch) finden und entfernen.

Hardware-Hintertüren

Allerdings reicht eine vertrauenswürdige Architektur nicht. Man müsste auch verhindern, dass in der Fertigung Hintertüren eingebaut werden. Haben wir denn noch Chipfertigung im Land? Wir haben theoretisch bei Dresden noch ein paar alte, halbwegs konkurrenzfähige Fabriken von AMD/Globalfoundries stehen. Die gehören jetzt leider ein paar Arabern, aber die könnte man ja zurückkaufen.

Es ist übrigens nicht so, dass Europa komplett den Anschluss in Chipfertigungstechnologie verloren hat. Im Gegenteil kommen die zentralen Maschinen aus Europa, auch für die neueste Iteration, die EUV-Belichtung (Extreme Ultraviolet). Technologisch könnte Europa mal eben eine 7-nm-Chipfertigung aus dem Boden stampfen, wenn nur der politische Wille vorhanden wäre. Die Chinesen sind an der Stelle deutlich weiter, wobei man der Fairness halber sagen muss, dass die USA mit ihren Handelskriegen den Chinesen auch deutlich vor Augen geführt haben, dass sie gedenken, den Zugriff auf Technologie zukünftig zu verknappen.

Natürlich ist so eine Chipfertigung teuer. Allerdings kann man bei TSMC sehen, dass sich das amortisiert. Und in einer Chipfertigung wäre unser Geld sicher sinnvoller angelegt als in Rüstungsausgaben für die NATO, weil Donald Trump ein bisschen herumgezetert hat.

Das verbliebene, gerade wachsende Problem

Aber kommen wir mal kurz weg von Hardware. Selbst wenn wir es schaffen, ein nicht kompromittiertes Hardware-Fundament für unsere Wirtschaft zu bauen – was nützt das, solange die alle unsichere Software fahren? Auch hier retten uns wieder freie Lizenzen. Wir könnten theoretisch von Windows auf Linux wechseln. Klar, die ganze Betriebs-Software wäre ein Problem, aber da haben wir SAP im Land, da wären wir nicht hilflos.

Bleibt eigentlich nur ein Problem: Die Webbrowser. Die Webbrowser sind zwar Open Source, und das hat uns schon mehrfach gerettet, aber es entwickelt sich gerade eine bedenkliche Monokultur. Praktisch alle Browser da draußen sind Varianten von Google Chrome beziehungsweise deren Open-Source-Basis Chromium. Bis auf Firefox. Firefox wird von der Mozilla Foundation gewartet und ist eine alte, stinkende Codebasis (genau wie Chromium). Wie schlimm das ist, kann man bei ernsthaften Open-Source-Projekten sehen, indem man mal in den offenen Bugtracker guckt, oder in die Release Notes zwischen den Versionen. Dort kann man sehen, wie viele und wie schlimme Sicherheitslücken so geschlossen wurden.

Da sieht es bei Firefox und Chrome seit Jahren katastrophal schlimm aus. Das liegt zum großen Teil daran, dass schneller neuer Code dazukommt, als man den alten säubern kann. Daher ist die aktuelle Strategie bei Chrome nicht, das Problem mal grundsätzlich zu beheben, sondern man hat aufgegeben und fährt die Strategie, die auch traditionell bei Leprakranken angewendet wurde: Isolation. Man erklärt ganze Landstriche im Browser zum Seuchengebiet und sperrt sie in einer sogenannten Sandbox ein, die verhindern soll, dass ein Angreifer, der den Code über eine Sicherheitslücke fernsteuert, schlimme Dinge tun kann. Das Konzept hat sich bisher als halbwegs effektiv erwiesen, aber wir haben immer noch ständig neue Sicherheitslücken, die gepatcht werden müssen.