TCPA/Palladium: mehr Sicherheit oder mehr Kontrolle?

17.07.2003
Die Trusted Computing Platform Alliance (TCPA) macht in letzter Zeit viel von sich reden. Doch wo die Hersteller mit einem kleinen Hardwarebaustein Vertrauen zum Computer erzeugen wollen, herrscht auf der Anwenderseite auch viel Unsicherheit und Misstrauen.

Stein des Anstoßes ist ein TPM oder Fritz genannter winziger Chip, der sich für die kryptografischen Schlüssel und Passwörter des Anwenders wie ein "Datentresor" verhält und Manipulationen in der Rechnerkonfiguration aufdeckt beziehungsweise unmöglich macht. Dieser Baustein soll antreten, um der wachsenden Flut von Hacker- und Virenangriffen Einhalt zu gebieten, sagen die Mitglieder des TCPA-Konsortiums. Die Gegner mit Sicherheitsguru Ross Anderson als ihr wichtigstes Sprachrohr sehen in dem Chip und den Palladium/NGSCB-Plänen von Microsoft etwas ganz anderes. In Wahrheit gehe es den TCPA-Mitgliedern um digitale Urheberrechte bis hin zur Kontrolle über die IT-Industrie.

"TCPA - Sicherheit um jeden Preis?", lautete der provokante Titel im IBM Media Talk vorige Woche in München, bei dem Vertreter der Industrie bemüht waren, die Argumente der Gegner auseinander zu pflücken und TCPA wieder ins "rechte Licht" zu rücken. Mit dabei waren Felix Rümmele, PC-Marketingleiter bei IBM, AMD-PR-Manager Jan Gütter, Trend-Micro-Europachef Raimund Genes, Informatikprofessor Michael Hortmann von der Universität Bremen und Volker Grassmuck, Medienforscher und freier Autor als einziger echter TCPA-Kritiker.

Nur mit sicherer Hardware auf dem Endgerät des Benutzers könne es einen effektiven Schutz vor Viren und Trojanern geben, um E-Government, E-Commerce und die digitale Signatur sicherer zu machen, neue Geschäftsmodelle im Internet zu ermöglichen und Digital-Rights-Management zu verbessern, meint Hortmann. Wie andere Teilnehmer der Runde betonte er, dass es sich bei dem Chip um ein passives Bauelement handele, das bei Auslieferung des PCs im Boot-Verzeichnis deaktiviert sei. Fast schien es aber so, als würde er sich daran weiden, dass Microsoft den TCPA-Einsatz künftig erzwingen könnte, um mit Bezahlinhalten Geld zu machen und Konkurrenzprodukte zu unterdrücken. Was Gegner und Datenschützer nämlich besonders beunruhigt, ist die laut Anderson in den TCPA-Spezifikationen vorgesehene Möglichkeit, dass illegale Daten für den Nutzer fremdgesteuert automatisch gelöscht werden.

Dies gebe vor allem den Unternehmen, die das TCPA-Konsortium oder die TCG anführten - Intel, IBM, AMD, HP und Microsoft - eine unglaubliche Machtfülle, auch wenn immer wieder betont wird, dass die Kontrolle der Inhalte unabhängigen Gremien überlassen werde. Was, wenn die Kontrolle in die Hände eines Staates fällt? Vielleicht ist diese Vorstellung mit ein Grund, warum TCPA bei europäischen Politikern und Datenschützern nicht gerade beliebt ist. Hinzu kommt, dass der TPM die europäische Smartcard überflüssig machen könnte.

Keine Sorgen um die Zukunft des eigenen Unternehmens hat Raimund Genes von Trend Micro. Boot-Viren würden nicht mehr auftreten, aber ansonsten gebe es auch in einer TCPA-Welt noch viel zu tun, denn letztendlich hänge alles von einem "gesicherten Betriebssystem" ab. Auch die Hacker und Virenbastler schliefen nicht. Um die meisten Angriffe aber abzuwehren und die Daten vor fremden Zugriffen wirksam zu schützen, müsse man mit einem Hardwarebaustein schon auf einer sehr tiefen Systemeben ansetzen.

Wichtigste Zielgruppe für TCPA sind laut IBM-Manager Rümmele die Unternehmen. 2001 sei allein in den USA eine halbe Million Notebooks mit vielen unschätzbaren Unternehmensdaten gestohlen worden. Von Hacker- und Virenangriffen abgesehen sind aber für die Unternehmen der größte Unsicherheitsfaktor die eigenen Mitarbeiter, und sei es, dass diese sich während der Arbeitszeit auf Porno- oder gar Nazi-Seiten herumtreiben.

Lesen Sie dazu auch den Kommentar auf Seite 8.

www.trustedcomputing.org

www.notcpa.de

Was hat es mit TCPA und Palladium auf sich?

TCPA ist eine von Intel und anderen Branchenriesen wie HP, IBM und Microsoft geführte Initiative und steht für die 1999 gegründete Trusted Computing Platform Alliance (Allianz für eine vertrauenswürdige Computerplattform). Ziel des Konsortiums mit bis vor kurzem rund 200 Mitgliedern ist und war die Entwicklung eines gemeinsamen Standards für Sicherheitshardware im Kampf gegen Hacker, Viren und Spam-Mails, so die offizielle Verlautbarung. Vor drei Monaten formte sich die TCG (Trusted Computing Group), die als Nachfolgeorganisation allen Mitgliedern der TCPA offen steht und unter anderem ein Logo-Programm für Sicherheitshardware entwickeln soll.

Palladium ist eine Software, die später in NGSCB (Next Generation Secure Computing Base) umbenannt wurde und die Microsoft in kommende Windows-Versionen integrieren will. Diese Software setzt auf TCPA auf, ist aber, wie das Konsortium betont, weder Motor der Initiative noch einziges Tool zum Betreiben der Sicherheitshardware.

Kernstück der TCPA-Entwicklung ist ein TPM (Trusted Platform Module) oder Fritz-Chip, benannt nach dem Senator von South Carolina, Fritz Hollings, einem unermüdlichen Streiter für TCPA auf allen PCs. Dieser laut Versprechen des Konsortiums passive, bei Auslieferung des PCs deaktivierte Chip wird als eine Art Dongle auf das Motherboard gelötet oder nach dem neuesten Standard in den Prozessor integriert und soll alle Anwendungen auf TCPA-Konformität und Autorisierung überprüfen.

Was sich vordergründig wie ein Vertrauensschutz für den Anwender anhört, schützt nach Meinung von Kritikern vielmehr die Interessen der Industrie, Stichwort DMR (Digital-Rights-Management). Denn im Zusammenspiel können TCPA und Palladium verhindern, dass der Anwender die auf der Computerplattform laufenden Anwendungen manipulieren oder kopieren kann. (kh)