Hochsicherheits-Minirechner NitroPC mit quelloffener Firmware im Test

Dank Open-Source-Firmware und deaktivierter Management Engine ist der NitroPC vertrauenswürdiger als andere Rechner. Seine SSD ist standardmäßig verschlüsselt.

Lesezeit: 7 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 52 Beiträge
Von
  • Ronald Eikenberg
Inhaltsverzeichnis

Der kompakte NitroPC des Berliner Herstellers Nitrokey ist nur äußerlich eine Black Box: Innerlich geht es transparent zu, denn nicht nur das vorinstallierte Linux ist Open Source, auch die UEFI-Firmware. Das ist durchaus eine Seltenheit, denn fast alle anderen Rechner sind mit einem proprietären (UEFI-)BIOS ausgestattet, über das man keine Kontrolle hat. Auch die Management Engine (ME) der Intel-Chipsätze ist unkontrollierbar, beim NitroPC ist sie deshalb weitgehend abgeschaltet.

Dies soll den NitroPC besonders vertrauenswürdig machen, wodurch er sich sogar als Hochsicherheitsrechner in Unternehmen und Behörden sowie als Arbeitsrechner für investigative Journalisten eignen soll. Wer möchte, kann die Open-Source-Firmware, eine Kombination aus Coreboot und TianoCore, selbst kompilieren und flashen. Der Hauptvorteil ist jedoch, dass ihr Code öffentlich einsehbar ist. Jeder kann ihn auf Sicherheitslücken und Backdoors abklopfen, allerdings mit Ausnahme einiger proprietärer Binärkomponenten von Intel – sogenannte BLOBs –, etwa dem Firmware Support Package (FSP), ohne die auch der NitroPC nicht auskommt.

Bei einem vollständig proprietären BIOS muss man hingegen darauf vertrauen, dass der Hersteller alles richtig gemacht hat, denn unabhängige Code-Audits sind selten. Dieser Vertrauensvorschuss kann jedoch gefährlich werden: So musste etwa Dell kürzlich ein Sicherheitsloch stopfen, durch das Angreifer Code im Kontext des UEFI-BIOS ausführen konnten – und das ist nur eines von vielen Beispielen. Das BIOS gilt bei Hackern als heiliger Gral. Wer es schafft, sich darin einzunisten, hat das System weitreichend unter Kontrolle und muss nicht fürchten, dass die Infektion jemals vom Virenscanner entdeckt wird.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, MIT Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich 12,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+