Spionageprogramm versteckt sich in Festplatten-Firmware

Festplatten speichern Daten auf magnetischen Schichten – aber nicht nur dort. Neben dem eigentlichen Massenspeicher enthalten Harddisks auch Speicherchips für Cache und Firmware sowie eigene Controller. „Ob man das wohl hacken kann?“ – fragte sich Jeroen Domburg 2013. Und stellte fest: Klar kann man das hacken!

Die Datenretter der Firma Attingo bestätigen das, denn es gehört seit langem zu ihrem Alltagsgeschäft, die Firmware defekter Festplatten zwecks Reparatur zu manipulieren. Aber natürlich kann man das auch böswillig tun. Zum Beispiel, um jemanden auszuspionieren. Da solche Angriffe tief in der Elektronik der Festplatte stecken, sind sie von Virenscannern nicht zu entdecken. Hacker Domburg hielt diesen Eingriff für zu aufwändig: „Ich bezweifle, dass ein Firmware-Schadcode jemals in freier Wildbahn auftauchen wird.“

Wie wir aber seit Snowden wissen, gibt es Organisationen, die keinen Aufwand scheuen. Und am 16.02.2015 meldet Kaspersky tatsächlich einen digitalen Schädling, der sich in der Firmware von Festplatten versteckt und undokumentierte hardwarenahe Schnittstellenbefehle nutzt. Und, was die Sache noch schlimmer macht: Er entstammt einer Organisation, die laut Kaspersky mindestens seit 2002 aktiv ist. Aber Kaspersky hat auch ein kleines Quantum Trost für die geplagten Anwender: Wie die Antivirenfirma mitteilt, kommen diese Manipulationen nur sehr selten vor.

Na, das ist doch mal so richtig beruhigend! Firmware-Schädlinge hebeln ein wichtiges Standard-Verfahren der Datensicherheit aus: den Systemstart von einem sauberen Startmedium. Bisher galt: Wer einen PC mit einem Linux-Live-System auf CD oder DVD startet, ist auf der sicheren Seite. Jetzt nicht mehr.