(SZ vom 11.2.2003) - Computer sicherer zu machen, ist ein nobles Anliegen. Viren, Würmer und Hacker plagen schließlich Privatnutzer wie Firmen. Wer wäre da nicht begeistert von der Idee, die Sicherheit tief unten in der Hardware eines PCs zu verankern? Zu diesem Ziel wurde 1999 die Trusted Computing Platform Alliance (TCPA) gegründet, initiiert von den fünf Konzernen Intel, Microsoft, IBM, Hewlett-Packard und Compaq. Inzwischen machen weit über 100 Firmen mit. Das Grundprinzip erscheint einfach: Auf der Platine arbeitet neben dem Prozessor ein neuartiger Chip, der einem Programm nur dann die Arbeit gestattet, wenn es sich quasi ausweisen kann. Dieses gelegentlich "Fritz-Chip" genannte Bauteil - in Anspielung an den US-Senator Fritz Hollings, der seit Jahren auf die Einführung einer derart rigorosen Sicherheitsarchitektur drängt - würde Computerschädlinge bei ihrem Tun ausbremsen (siehe unten).
In zahlreichen Online-Foren der Freie-Software-Gemeinde werden regelrechte Weltuntergangs-Szenarien an die Wand gemalt, bis hin zum Ende der freien Software.
Viele Kritiker sehen aber TCPA, wie neben dem Gremium inzwischen das Prinzip heißt, als trojanisches Pferd. Es sind nicht nur Musikfreunde, die dann keine getauschten Lieder mehr anhören können, nicht nur Spielefreunde, denen "geliehene" Programme den Dienst verweigern. Ein großer Teil der europäischen Wirtschaft könnte langfristig unter dem Sicherheitssystem leiden. "Wir brauchen eine breite Debatte über die wirtschaftlichen und gesellschaftlichen Folgen", fordert die CDU-Bundestagsabgeordnete Martina Krogmann. Darum plant sie, der Bundesregierung in Kürze eine parlamentarische Anfrage vorzulegen, wie diese den potenziellen Schaden begrenzen will.
Denn Verluste wird es geben, sagen viele Beobachter. Da sind zum einen die kleinen und mittleren Softwarehersteller. Sollen ihre Produkte ab 2004 auf TCPA-konformen Rechnern laufen, müssen sie jede Programmversion zertifizieren lassen. 600 Dollar soll die Lizenz kosten, wenn stimmt, was zurzeit verbreitet wird. "Mit 60 verschiedenen Business- und 100 Consumerprodukten - die internationalen Versionen eingeschlossen - lägen wir dann bei 100.000 Dollar", sagt Frank Brennecke, Geschäftsführer von Map&Guide, einem Hersteller von Navigationssoftware.
Selbst preiswertere Zertifikate auf einem niedrigeren Sicherheitsniveau dürften innovative Garagenfirmen stark belasten. Sie vertreiben ihre Produkte nicht selten als so genannte Shareware, deren Bezahlung erst nach einer Testzeit fällig wird, um so überhaupt an Kunden zu kommen. Und Freeware, die ganz umsonst von Enthusiasten bereit gestellt wird und sich großer Beliebtheit erfreut, dürfte dann gar keine Chance mehr haben. Dabei ist die Szene, die Programme auf diese Art vertreibt, kreativ wie kaum jemand sonst: Viele ihrer Ideen werden später von kommerziellen Anbietern aufgekauft oder schlicht nachgemacht.
Unter TCPA leiden dürfte auch die Open Source-Szene, in der ganze Betriebssysteme (Linux) und Büropakete (Open Office) entwickelt werden. Ihr Prinzip ist es, dass jeder Interessierte den Quellcode der Programme einsehen und verändern kann. Eine starre Sicherheitsdefinition, wie sie aus dem derzeitigen Stand des TCPA-Projekts hervorgeht, wäre damit nicht vereinbar. Sobald nämlich jemand sein Betriebssystem verändert oder sich ein Werkzeug maßschneidert, würde das Zertifikat seine Gültigkeit verlieren.
"Ist auch nur ein kleiner Teil eines Systems nicht offen und kontrollierbar, bricht das Open Source-Prinzip zusammen", betont Rafael Laguna, Vizepräsident der Suse Linux AG. "Eine Zertifizierung von Software in schnellen Produktzyklen und großen Zahlen ist nicht bezahlbar." In zahlreichen Online-Foren der Freie-Software-Gemeinde werden daher regelrechte Weltuntergangs-Szenarien an die Wand gemalt, bis hin zum Ende der freien Software. Als einziger Hoffnungsschimmer gilt vielen, dass die TCPA-Gründer IBM und Hewlett-Packard zu den Linux-Unterstützern gehören.
Bisher ist zudem überhaupt nicht abzusehen, wer die TCPA-Zertifikate ausstellen darf. "Wenn sich daraus ein Markt für Zertifizierer entwickelt, wäre das ein fairer Ansatz", sagt Thilo Zieschang von der Eschborner Firma Eurosec, die für Banken Software-Gutachten erstellt. Derzeit sei es aber ebenso gut denkbar, dass ein Zertifizierungsmonopol entsteht. Das kann sich Frank Brennecke kaum vorstellen: "Wir glauben nicht, dass es die europäischen Regierungen zulassen werden, dass die Software in Europa von einer amerikanischen Clearingstelle für sicher und sauber erklärt wird. Denn das trifft ja auch die Regierungen und deren Daten."
Dennoch wird auf allen Ebenen der Verdacht geprüft, mit TCPA solle eigentlich ein Monopol errichtet oder zementiert werden. Microsoft wolle damit auf elegantem Wege die Linux-Konkurrenz vom Markt fegen, vermuten viele Open Source-Anhänger. Aber auch die Kartellwächter der Europäischen Union beraten, ob sich Microsoft mit "Palladium" einen wettbewerbswidrigen Vorteil verschafft. Unter diesem Codenamen will die Software-Firma die TCPA-Vorgaben schon in der nächsten Version des Windows-Betriebssystems umsetzen; angesichts der massiven Kritik hat Microsoft die Initiative vor kurzem in "Next Generation Secure Computing Base" umgetauft.
All das ist seit längerem bekannt. Auch die Geheimniskrämerei der TCPA-Mitglieder liegt offen zutage: Weder kann man auf der Webseite der Allianz eine Mitgliederliste einsehen noch einen aktuellen Entwurf der technischen Spezifikationen in der Version 1.2 finden, die bereits diskutiert wird. Dennoch sehen Mittelstand und Politik bislang offenbar keinerlei Handlungsbedarf.
Bei der Softline AG etwa, einem Vertreiber für kleine und mittlere Softwarehersteller, hat man zwar schon über das Thema "gesprochen", aber öffentlich äußern will man sich vorerst nicht. Ähnlich, nur wortreicher, klingt es bei der Bundesregierung. Auf eine erste schriftliche Anfrage der Abgeordneten Martina Krogmann hatte das Wirtschaftsministerium geantwortet: Durch TCPA "könnten erhebliche Marktzutrittshindernisse für Softwarehersteller errichtet werden. Im gegenwärtigen frühen Stadium lassen sich die Auswirkungen allerdings noch nicht definitiv beurteilen." Das gelte auch für kartellrechtliche Fragen. "Dem Bundeskartellamt liegen zur Zeit keine Beschwerden von Soft- oder Hardwareherstellern vor."
Das beruhigt Krogmann nicht: "Wir hinken in der Politik leider immer hinterher, mit den Rahmenbedingungen für neue Technologien nachzukommen." Dabei gäbe es in der Literatur Vorbilder, an denen sich die Politiker orientieren könnten. Auch beim Televisor, dem allgegenwärtigen Überwachungs- und Propaganda-Instrument in George Orwells Roman "1984", ist eine Manipulation, eine Anpassung der Maschine an die eigenen Bedürfnisse, verboten. Dort kann man das Gerät nicht abschalten.