Storsender

US Chip Security Act

🇺🇸 US Chip Security Act: Sicherheitsstandard als strukturelle Black Box

Quelle: GovTrack, Cybersecurity Policy Center, EFF, Congressional Technology Review, 2025

🧠 Kontext

Der US-Kongress hat mit dem Chip Security Act (H.R. 3447) ein Gesetz initiiert, das Hersteller von Hochleistungs-KI-Chips verpflichtet, Ortungs- und Kontrollfunktionen zu integrieren. Ziel ist die strategische Überwachung und potenzielle Sperrung von Chips in unerwünschten Einsatzkontexten. Der Gesetzestext wird als Sicherheitsmaßnahme präsentiert – doch unabhängige Expert:innen warnen vor systemischen Risiken und semantischen Täuschungen.

📊 Technische Eigenschaften und politische Einbindung

  • Verpflichtende Ortungstechnologie zur Erfassung des physischen Einsatzorts
  • Standardisierung durch das Handelsministerium – inklusive Telemetrie und Remote-Disable
  • Einbindung des Kriegsministeriums in Bewertung und Entwicklung
  • Keine Transparenz über Firmware, Protokolle oder Eingriffsmechanismen

⚠️ Kritische Bewertungen

  • Cybersecurity Policy Center: Tracking-Standards schaffen neue Angriffsflächen
  • EFF: Nutzerhoheit wird untergraben – Kontrolle liegt außerhalb der Gerätehoheit
  • Congressional Technology Review: Gesetzestext bleibt technisch vage – keine auditierbare Spezifikation

🛠️ Konsequenz

  • Der Chip Security Act erzeugt eine neue Klasse von Hardware: strategisch kontrollierbar, technisch intransparent

🛡️ Handlungsempfehlungen

Umstieg auf RISC-V Boards mit offener Firmware

Sinnhaftigkeit: Hoch

  • RISC-V Architektur erlaubt vollständige Kontrolle über Bootprozesse und Schlüsselverwaltung.
  • Keine versteckten Management-Engines, keine proprietären Firmware-Module.
  • Beispiele: BeagleV, StarFive – ideal für auditierbare Infrastruktur.

Dokumentierte Hardware-Whitelisting in MDM-Frameworks

Sinnhaftigkeit: Mittel bis Hoch

  • Institutionelle Geräteflotten sollten nur verifizierbare Hardware zulassen.
  • Whitelisting verhindert den Einsatz von Chips mit nicht kontrollierbarer Ortungslogik.
  • Schlüsselverwaltung muss auf auditierbarer Hardware basieren – sonst bleibt Black Box erhalten.