Das chinesisch-amerikanische Verhältnis ist schon länger angespannt. Aus Washington werden immer wieder Anschuldigungen der Spionage gegenüber Peking laut, das dafür als Handlanger auch auf verschiedene Konzerne zurückgreifen soll. Unter dieser Prämisse wurden teils schwere Embargos gegen diverse Unternehmen verhängt. Die Auswirkungen sind beachtlich. Die Abtrennung von Googles Services wie auch westlicher 5G-Technologie trug wesentlich dazu bei, dass Huaweis Smartphones abseits von China nur noch wenig gefragt sind.

Strengere Regeln erlassen wurden auch für Behörden und Regierungsorganisationen. Für diese gibt es auch Listen an Unternehmen, deren Equipment entweder nicht gekauft oder dessen Anschaffung zumindest nach Möglichkeit vermieden werden sollte. Der Fall eines Unternehmens von einer solchen Liste, Hualan, zeigt nun aber, dass die technologische Entflechtung zwischen den USA und China gar keine so einfache Sache ist. Verschiedene Organisationen der britischen und amerikanischen Regierung sowie die westliche Militärallianz Nato nutzen Verschlüsselungschips des Konzerns, berichtet "Wired".

Empfehlung gegen Anschaffung

Das Büro für Sicherheit und Industrie im Handelsministerium hatte 2020 das auch als Sage Microelectronics firmierende Unternehmen als verdächtig eingestuft. Es soll in der Vergangenheit – teilweise erfolgreich – versucht haben, US-Equipment anzuschaffen, das schließlich zur Modernisierung der chinesischen Armee (PLA) herangezogen wurde. Verboten ist der Ankauf seiner Produkte nicht, es wird aber davon abgeraten. Untersagt ist US-Firmen allerdings der Export von Komponenten an dieses Unternehmen.

Der Empfehlung, auch nichts mehr von der Firma zu beziehen, wird im Westen aber auch zwei Jahre später nicht Folge geleistet. Inition, ein ursprünglich taiwanesisches Unternehmen, das 2016 von Hualan übernommen wurde, liefert immer noch Microcontroller und Verschlüsselungschips an Speicherhersteller, die ihre Produkte wiederum an diverse Regierungen verkaufen.

Klares Warnsignal

Emily Weinstein, Sicherheitsforscherin an der Georgetown University, betont dazu, dass die Platzierung auf der Liste als klare Warnung in Richtung von Regierungsstellen zu verstehen ist. Das Büro für Industrie und Sicherheit erläutert, dass nicht gelistete Tochtergesellschaften technisch gesehen von solchen Embargos nicht betroffen sind, man aber Verbindungen zu sanktionierten Unternehmen als klares Warnsignal sehen sollte.

Initio-Komponenten finden sich unter anderem in Produkten des britischen Herstellers iStorage wie auch denen der kalifornischen Firmen Securedrive und Apricorn. Diese listen als Kundschaft die Nato, das britische Verteidigungsministerium und die US-Armee. Aus Beschaffungslisten geht auch hervor, dass solche Geräte auch bei der Nasa, der Luftaufsichtsbehörde FAA, der Drogenfahndungsstelle DEA und anderen Departments gelandet sind.

Die Initio-Chips sollen die Datenträger vor unbefugtem Zugriff absichern. Dafür müssen die Käufer dem Hersteller allerdings viel Vertrauen entgegenbringen. Nach außen hin sind diese Komponenten eine Blackbox.

Hualan firmiert auch als Sage Microelectronics, das Hauptquartier steht in Huangzhou.
Sage Microelectronics

Und in der Vergangenheit hat Initio hier nicht immer geglänzt. Der deutsche Sicherheitsforscher Matthias Deeg hatte letztes Jahr etwa Sicherheitslücken bei der von Initio gelieferten Verschlüsselungslösung für einen "sicheren" USB-Stick der Firma Verbatim entdeckt. Diese ermöglichten es ihm, Fingerabdruck- und PIN-Abfragen zu umgehen, Master-Passwörter auszulesen und die verwendeten Keys in kurzer Zeit per Brute-Force-Methode (Durchprobieren verschiedener Varianten) zu knacken. Ob diese Schwachstelle ein zufälliger Mangel war oder absichtlich eingebaut wurde, lässt sich seiner Einschätzung nach nicht sagen.

Das eröffnet ein weiteres Problem: Einige der Produkte mit Hardware von Initio und Hualan bringen ein Zertifikat des Standardisierungsinstituts NIST mit, etwa FIPS 140-2. Für diese wird allerdings nur nach unbeabsichtigten Lücken gesucht, nicht nach solchen, die mit Hintergedanken eingebaut wurden und viel schwerer zu entdecken sind.

Käufer sehen kein Risiko

Hualan reagierte auf eine Anfrage von "Wired" nicht. Initio erklärte, dass man die eigenen Produkte auch selbst produziere, aktuell hauptsächlich Speichercontroller baue und gar nicht die Möglichkeit habe, Hintertüren in Speicherprodukte einzubauen. iStorage wiederum gab zu Protokoll, dass man nicht auf Vertrauen in Hualan oder Initio angewiesen sei, dass die für die Verschlüsselung verwendeten Keys von einem in Frankreich ansässigen Hersteller stammen.

Die Nato, die US Army und das britische Verteidigungsministerium wollten nicht auf einzelne Produkte oder Unternehmen eingehen. Sie verwiesen aber darauf, dass man Risikomanagement in der Beschaffung betreibe und sicherstelle, dass alle zugekauften Produkte auf Sicherheitslücken geprüft werden. Die FAA berief sich darauf, dass man den Vorgaben im National Defense Authorization Act entspreche. (red, 20.6.2023)