HPE verbessert Schutz der Firmware seiner Server-Reihe ProLiant

Auf seiner Kundenkonferenz Discover hat Hewlett Packard Enterprise (HPE) diese Woche in Las Vegas neue Ansätze für die Absicherung seiner kommenden ProLiant-Servern vorgestellt. Die als Gen10-Server bezeichnete nächste Generation will es dabei unter anderem mit einem digitalen Fingerabdruck schützen. Er soll gewährleisten, dass die Firmware nicht manipuliert werden kann beziehungsweise jegliche Manipulationen der Firmware erkannt werden und dann das Hochfahren des Servers unterbunden wird.

Alain Andreoli, als General Manager für die Data Center Infrastructure Group von HPE verantwortlich, preist das Verfahren in einem Blog zwar als Alleinstellungsmerkmal an, echte technische Details dazu kann oder will HPE allerdings offenbar noch nicht verraten. Offensichtlich war die Marketingabteilung schneller als die Technik und musste für die Veranstaltung etwas Neues präsentiert werden. Die auf der HPE-Website augenscheinlich bereits angebotenen Whitepaper zum Thema sollen allesamt erst ab 11. Juli tatsächlich auch verfügbar sein – das wird Interessenten derzeit zumindest mit einem Einseiter lapidar erklärt.

Einzige hilfreiche Informationsquelle ist derzeit ein Video zu dem Konzept zugrundeliegenden Ansatz “Silicon Root of Trust”. Demnach soll damit vor allem dafür gesorgt werden, dass die Firmware in der Lieferkette nicht manipuliert werden kann. Derartige Vorfälle wurden früher etwa schon bei Netzwerkhardware berichtet. Damit würden dann nicht nur kriminelle Aktivitäten, sondern auch Bemühungen staatlicher Stellen, ohne Wissen und Zutun des Herstellers Hintertüren oder Spionage-Software einzuschleusen, unterbunden.

HPE rühmt sich, damit die höchsten Sicherheitsstandards überhaupt erfüllen zu können und ist eigenen Angaben zufolge der einzige Anbieter, der die Anforderungen des CNSA (Commercial National Security Algorithm) erfüllt. Dabei handelt es sich um einen von der NSA propagierten Ansatz, der die Sicherheit für von US-Behörden genutzte Systeme gewährleisten und die verwendeten Algorithmen auch gegen künftige Angriffsversuche durch Quantencomputer schützen soll.

Somit ist einerseits der Anspruch hoch, andererseits das Bekenntnis aber für Organisationen außerhalb der USA aufgrund der früheren Erfahrungen der Behörden des Landes im Umgang mit Verschlüsselungstechnologien und der Behandlung von Sicherheitslücken wahrscheinlich nicht viel wert.

Darüber hinaus verspricht HPE mit dem Ansatz “Silicon Root of Trust” auch ansonsten kaum erkennbare und besonders gefährlichen Angriffe auf die Firmware entdecken und stoppen zu können. Handhabbar gemacht werden sollen die Funktionen durch die Verbindung der HPE-Chips mit der HPE-Management-Software Integrated Lights Out (iLO). Damit wird es im Notfall möglich, die ursprüngliche Server-Software automatisch wiederherzustellen.

Außerdem kann dafür gesorgt werden, dass bei der Außerbetriebnahme des Servers sichergestellt wird, dass danach keine Datenzugriffe und keine Wiederherstellung mehr möglich sind. Zu einem umfassenden Sicherheitskonzept beitragen sollen auch die als Pointnext vermarkteten Services von HPE.

[mit Material von Bernd Kling, ZDNet.de]