Unfreie Hardware – Wenn Geräte „nach Hause telefonieren“

Sie benutzen quelloffene Software und ein freies Betriebssystem? Sehr gut. Nur so können sie nachprüfen, ob Ihr Computer das tut, was sie wollen. Aber auch Hardware kann ein Eigenleben führen.

Wer sich auskennt und vorsichtig ist, vertraut seine Daten nur freier, quelloffener Software an. Und diese sollte nicht auf irgendeinem Computer in der Cloud laufen, sondern möglichst auf dem eigenen Rechner zuhause. Doch auch das reicht nicht. Wir alle brauchen vertrauenswürdige Hardware, und die dafür nötige Transparenz gibt es nur bei freier Hardware.

Wikipedia definiert freie Hardware als „eine Hardware, die nach lizenzkostenfreien Bauplänen hergestellt wird.“ Andere Definitionen erfordern außerdem, dass die in der Hardware fest verbaute Software (Firmware) quelloffen sein muss.

Status quo: Computer sind black boxes

Aral Balkan, Gründer von Ind.ie, spitzt die aktuelle Lage so zu: „most mainstream tech is malware“ („gängige Computertechnik ist verwanzt“). Wie kommt das?

Es geht nicht nur um von NSA & Co. nachträglich eingebaute Hintertüren und Wanzen (NSA-Hintertüren in IT-Hardware). Viele Bestandteile eines Computers enthalten Kleinstcomputer (Microcontroller), die ein Eigenleben führen können.

Unfreie Hardware ist unsicher

Hardware-Hintertür bei Samsung

Anfang 2014 fanden die Entwickler der komplett quelloffenen Android-Variante Replicant heraus, dass die von diesem Projekt bis dahin bevorzugte Telefon- und Tablet-Hardware „Samsung Galaxy“ eine Hintertür im Modem-Prozessor hat, durch die aus der Ferne Daten auf diesen Geräten ausgelesen und geschrieben werden können, ohne dass das Betriebssystem dies verhindern könnte.

Nach solchen Vorfällen müssen einige traditionelle Annahmen überprüft werden. So kann man ohne freie Hardware nicht ausschließen, dass Daten beim Auslesen aus einer CD-ROM unverfälscht bleiben: Tor-Mitentwickler Jacob Appelbaum warnte im Juli 2015: „DVD drives are programmable computers until we find evidence suggesting the opposite.“ („DVD-Laufwerke sind programmierbare Computer, so lange wir keine Beweise für das Gegenteil haben.“)

Lenovo-BIOS mit Eigenleben

Im August 2015 wurde bekannt: Das Lenovo-BIOS lädt ungefragt über einer unverschlüsselte Verbindung Daten über den Computer zum Hersteller hoch und installiert (immer wieder) automatisch Lenovo-Software in Windows. Lenovo-Crapware hat einen besonders schlechten Ruf, seit die Firma die extrem unsichere Adware Superfish vorinstallierte. Der neue Lenovo-Fehltritt missachtet nicht nur die informationelle Selbstbestimmung der Käufer und Benutzer. Die unverschlüsselte Verbindung erlaubt auch das Einschleusen beliebiger Schadsoftware.

Ein Hacker-News-Kommentar wies darauf hin, dass die fundamentalistisch anmutenden Forderungen Richard Stallmans nach Free Hardware in diesem Zusammenhang gar nicht mehr so verrückt klingen (via).

Ist alte Hardware die Lösung?

Wer ganz konsequent auf binäre Treiber („blobs“) verzichten will, muss zur Zeit noch auf bestimmte Hardware zurückgreifen, die 2008 oder früher produziert wurde. Die in diesen Fragen sehr strenge Free Software Foundation empfiehlt den LibreBoot X200, der im Prinzip ein ThinkPad X200 aus dem Jahr 2008 mit dem freien BIOS von Libreboot ist. Für Minimalisten ist das eine sehr gute Wahl, aber beim Surfen im heutigen Web mit einem aktuellen Browser kommt so alte Hardware schnell ins Schwitzen.

Alternativen

Das Projekt Purism

Abhilfe schaffen will zum Beispiel die per Crowdfunding finanzierte Initiative Purism. Der erste auf diese Weise produzierte Laptop, Librem 15, wurde schon ausgeliefert. Zur Zeit läuft die Finanzierungsrunde für das kompaktere Modell Librem 13. Weil sich Intel wenig kooperativ zeigt, musste Purism einige Kompromisse eingehen: Kritisiert wird besonders, dass die erste Ausgabe des Librem 15 nicht das freie BIOS Coreboot verwendet. Gegenwärtig arbeitet Purism daran, in künftigen Geräten Coreboot verwenden zu können.

ARM: Es geht auch ohne Intel und AMD

Smartphones enthalten heute Prozessoren, die nicht nur stromsparend, sondern auch sehr schnell sind. Sie sind auch hervorragend für Laptops (und Server) geeignet. Dass sie nicht IBM-kompatibel sind, ist nur für die ein Problem, die von Closed-Source-Software wie zum Beispiel Skype abhängig sind. Alle anderen können auch auf ARM-kompatibler Hardware einfach die Linux-Distribution ihrer Wahl installieren und haben fast dieselbe gigantische Menge an Software-Paketen zu Auswahl.

Der überraschende Erfolg des Einplatinenrechners Raspberry Pi zeigt, wie vielfältig sich ARM-Hardware auch von Laien verwenden lässt. Leider ist sein Hardware-Design nicht frei. Mit Arduino, dem BeagleBone und dem OLinuXino sind jedoch ähnliche Kleinstrechner als freie Hardware preisgünstig erhältlich. Zum Betrieb solcher Einplatinenrechner braucht man ein externes Netzteil, eine Tastatur und einen Bildschirm. Das macht sie nur bedingt portabel. Wie sieht es mit Laptops und Tablets aus?

Computer-Baukastensystem Novena

Das modulare, quelloffene Computer-Baukastensystem Novena erreichte 2014 mehr als 300% seines Finanzierungsziels. Der fertig montierte Novena-Laptop ist leider momentan nicht mehr lieferbar, sondern nur die Hauptplatine (Stand: 21.08.2015).

Smartphones und Tablets, die tun, was ich will

Wenn Mobilprozessoren so open-hardware-freundlich sind, gibt es doch bestimmt Mobiltelefone mit freier Hardware? Ja. Das klobige Smartphone mit dem ebenso klobigen Namen OpenPhoenux GTA04 und sein Vorgänger sind bisher die einzigen Smartphones mit komplett offengelegter Hardware.

Aber auch hier besteht Aussicht auf Besserung: Mit dem Neo 900, ist ein unabhängiger, aktualisierter Nachfolger für das Nokia N900 in Vorbereitung. Das modulare Smartphone Phonebloks soll 2015 erscheinen. Die großen Hersteller bewegen sich allerdings auch auf diesem Sektor noch keinen Millimeter auf Kunden zu, die Wert darauf legen, im Umgang mit ihrer Computer- und Kommunikationstechnik der Souverän zu sein.

Aktualisierung im August 2016

Derzeit läuft eine Crowdfunding-Initiative für eine Computer-Karte und passendes Zubehör nach dem EOMA68-Standard. Dieses modulare Computersystem besteht aus einem Einplatinenrechner im Steckkartenformat, der sich in ein ebenfalls angebotenes Mikro-Desktop-Gehäuse einstecken lässt oder in ein dafür vorbereitetes Laptop-Gehäuse, das man kaufen oder mit einem 3D-Drucker selbst ausdrucken kann. Am billigsten ist es aber, die Computer-Karte mit einem speziellen Adapterkabel an vorhandene Peripheriegeräte anzuschließen. Der Clou an diesem Baukasten-System: Die Computer-Karte mit dem ARM-kompatiblen System-on-a-Chip A20 der chinesischen Firma Allwinner ist nicht teuer und lässt sich später leicht durch eine schnellere oder noch besser dokumentierte ersetzen. Diese kann auch von einem anderen Hersteller sein, sofern sie dem EOMA68-Standard genügt. Ein vollwertiges Linux-Betriebssystem ist vorinstalliert, und es kommen nur freie, quelloffene Treiber zum Einsatz. Dafür gibt es dann auch das „Respects Your Freedom“-Zertifikat (RYF) der Free Software Foundation. Die Leistungsfähigkeit sollte sich in etwa auf RaspberryPi-3-Niveau bewegen, aber mit doppelt so viel RAM (2 GB). Dieses Computersystem dürfte das praktikabelste sein, das umwelt-, freiheits- und sicherheitsbewusste Anwender zur Zeit kaufen können. Geduld aber ist noch nötig: Wenn das Crowdfunding erfolgreich ist, sollen die ersten Geräte im März 2017 ausgeliefert werden.

Aktualisierung im April 2017

Eine weitere Crowdfunding-Initiative nährt die Hoffnung, dass es bald möglich sein wird, zuhause ein NAS zu betreiben, das mit Open Hardware und quelloffener Software realisiert wurde: die GnuBee Personal Cloud 1. Wenn bis zum 4. Mai 2017 genug Kaufinteressenten verbindlich zusagen, wird man für $168 ein Gerät mit offenem Gehäuse kaufen können, in das man bis zu 6 Festplatten im Laptop-Format 2.5” einstecken kann. Diese Festplatten bzw. SSD-Platten können per Software-RAID ausfallsicher betrieben werden. Der Herz bildet ein Einplatinencomputer mit MIPS-CPU. Als Betriebssystem hat man die Wahl zwischen Debian GNU/Linux und OpenWRT. Man muss aber kein Linux-Experte sein, um das Gerät einzurichten: Mit openmediavault kann man es mit einer komfortablen Web-Oberfläche als Filer oder Medienserver konfigurieren. Geübtere können es aber auch als Webserver betreiben und zur aus dem Internet erreichbaren privaten Cloud-Alternative ausbauen, um etwa Kalender und Aufgabenlisten per Web-Interface oder per Smartphone zu nutzen und automatisch abzugleichen. Solche Funktionen bieten auch andere NAS-Anbieter, aber dieses NAS könnte das erste sein, das die Kriterien des Respects-Your-Freedom-Zertifikats der Free Software Foundation erfüllt, denn es werden nur quelloffene Treiber verwendet.

Aktualisierung im Mai 2017

Wie Anfang Mai 2017 bekannt wurde, ist die Fernwartungsfunktion der Intel Management Engine (ME) seit Jahren von Unbefugten ausnutzbar. Betroffen sind alle modernen Intel-Server, die Intel ME in den Varianten Active Management Technology (AMT) oder Intel Standard Manageability (ISM) betreiben, also v.a. in Firmen und anderen großen Organisationen. Das war vorhersehbar. Mit offener Hardware wäre das nicht passiert.

Aktualisierung im August 2018

Die Free Software Foundation hat neue Geräte mit dem Respects-Your-Freedom-Zertifikat ausgezeichnet, darunter den Zerocat Chipflasher, mit dem es so einfach ist wie noch nie, Laptops mit der freien Firmware Libreboot auszustatten. Hoffen wir, dass dadurch das Angebot an befreiter und vertrauenswürdiger Hardware steigt!

Unterdessen wurden weitere Sicherheitsprobleme bekannt, die durch Intels Management Engine verursacht werden, die seit 2008 in fast allen Intel-basierten Systemen verbaut wird. Hoffentlich gibt es bald Alternativen dazu.


Text: Christian Pietsch / Digitalcourage AG-Text


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein.
Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.