Find ich irgendwie lächerlich dieses Thema.
Kannst du finden wie du magst, dein gutes Recht.
Die Chinesen haben bereits seit etlichen Jahren bewiesen, dass die Schad"software" auf ihren Geräten ausliefern.
Je komplexer das System (FW vs. komplettes OS) desto weitreichender sind die "Zusatzfunktionen".
Und ja, das ist bewiesen, mehrfach.
Das jüngste Beispiel dazu.
Eine Schadsoftware wurde über die Lieferkette in die Firmware von Smartphones eingeschleust und ermöglicht umfassenden Datenzugriff. Betroffen sind weltweit Tausende Geräte.
borncity.com
Kannst du weiterhin alles lächerlich finden, ich finde das maximal problematisch.
Warum ist das so?
Nun, weil solche Bastelbuden IT-Sec nen Feuchten interessiert.
Das sind irgendwelche Nulpen, die in der Schule/Uni Elektronikdesign gelernt haben und jetzt groß die Weltherrschaft an sich reißen wollen.
Und da wird Geld in die eigentliche Technik und Fertigung investiert und sonst nirgends.
Das sind Hinterhofwerkstätten ohne Wissen, was das drumherum angeht.
Und so kommt es, dass sich Schadsoftware einschleicht, wie sonst überall auch.
Ein gewisser Teil mag bewusst induziert sein, der Großteil ist aber Unfähigkeit.
Wenn man sich mal anschaut, was andere Branchen da machen, kann man sich mal ausmalen, was so alles schief läuft.
Die Regelungen UNECE R 155 und UNECE R 156 einfach erklärt: Erfahren Sie alles über die Anforderungen an die Cybersicherheit von Kraftfahrzeugen.
www.newtec.de
Warum macht man das? Evtl. weil es ein echtes Gefahrenpotential von Schadsoftware gibt?
Wenn dein Handy dein Investwallet ausspioniert und Zugriff erlangt, ist das zwar schade, da ist aber am Ende nur Geld weg, doof, aber keiner ist gestorben, zumindest nicht in erster Instanz.
Wenn aber der PKW der Meinung ist, dass der bei 200km/h mal so zum Spaß ne Reboot durchführt, weil die Software so beschädigt ist, dass sie das eben tut, dann wirds ungemütlich, versprochen.
Und daher sorgen solche Normen dafür, dass es Prozesse gibt, die sowas verhindern (sollen).
Wer sich mit IT-Sec beschäftigt, hat sein Leben lang mit sowas zu tun.
Und so ist das auch bei Switches. Man kann auch einem Switch nur noch bedingt trauen.
Warum? Weil die Chips und damit die Software (ja, auch unmanaged) mittlerweile so mächtig ist, dass ziemlich viel geht.
Man kann mit Switches frei definiert Pakete zusammenschrauben. Also wirklich Bit für Bit. Das geht sogar soweit, dass man auch vorhandene Pakete manipulieren kann.
Auch wenn ein Großteil der Kommunikation mittlerweile verschlüsselt ist, ist es eben in den unterlagerten Layern kein Problem.
Ist also vergleichsweise einfach den Netzwerkverkehr zum einen zu überwachen aber auch entsprechend zu manipulieren.
Und da ein Switch sowas auf Hardwareebene kann, sind Datenraten in Lanerate machbar und die Paketanzahl wird nur noch die das Interframegap begrenzt. Bedeutet, so nen Switch kann ganz Botnetze darstellen, liebend gerne an 10GBE Internetuplinks.
Ist das in den Switches drin? Vermutlich nicht. Haben die andere Schwachstellen? Würde ich grundsätzlich mit rechnen.
Ist das bei HPE und Co anders?
Ja, grundsätzlich!
Warum?
Weil diese Player schon länger auf dem Markt sind, als jeder einzelne hier Sauerstoff aus der Atmosphäre zieht. D.h. die haben entsprechende Prozesse, die sowas nicht absolut ausschließen, aber derart Eingrenzen, dass Sicherheitsbehörde das für ihre Anwendungen zertifizieren.
Können da (gewollte) Backdoors drin sein, na bestimmt, aber eben, wenn man so will, gewollte. (das ist bei den Chinesen halt anders)
Was heißt das nun?
Chinesische Hardware ist nicht grundsätzlich problematisch.
Allerdings ist es so, dass derartige Hardware von zwei Problemen betroffen ist.
1. staatlicher Eingriff, und das nicht zu knapp (das kann man auch nachlesen, in China, da braucht es keinen Aluhut)
2. Unfähigkeit in Produktqualität und Prozessqualität
Allerdings ist es so, dass China als Staat (und nicht nur die) eine ernstzunehmende Cyberwarfare Direktive hat. Dabei geht es sowohl um Abwehr aber auch Angriff.
Bei der Abwehr werden die "Sonderfunktionen" von z.B. plane Android abgeschaltet. Also die Funktionen, die dem Nutzer das Leben so einfach machen. Im Gegenzug werden dann "Funktionen" hinzugeführt, die dem chinesischen Nutzer die tolle Userexperience liefern. Ich will jetzt nicht die beiden Welten vergleichen, soll jeder mit sich ausmachen. (die Chinesen tauschen die "Welt" von Google, gegen die Welt von "China")
Aber zu sagen, dass chinesische Produkte unbedenklich seien und das lächerlich finden, lässt für mich nur einen Schluss zu. Die komplexe Welt der Sicherheitslandschaft und geopolitische Gemengelage überfordert einen kognitiv (und ja, das muss ich leider so sagen) und der einzige Ausweg ist die Flucht in die einfache Welt des, sind ja eh alle gleich.
Klar ist, geopolitisch sitzen wir zwischen den Stühlen, als Europäer, aber besonders als einfache Menschen, egal wo.
Auf Arbeit geben wir im Jahr 6-stellige Summen für IT-Security aus.
Auch wir haben natürlich amerikanische Produkte im Einsatz, aber auch Firewalls aus Israel und wenn man sich mal die Geschichte hinter dem Gründer anschaut...
(und ja, auch Chinesische)
Was heißt das? In der IT-Sec traut man niemandem, nicht mal den eigenen Geräten. Und daher bereitet man sich eben auf viele Szenarien vor und findet Lösungen dagegen.
Kann jetzt jeder seine eigenen Schlüsse ziehen.
Fakt ist aber eins, man spart beim Anschaffungspreis der Geräte und gibt gleichzeitig Produktqualität auf, in vielerlei Hinsicht. Dem muss man sich völlig unvoreingenommen und vor allem mit großen offenen Augen stellen.
Vogel-Strauß-Methode mag sich einfach anfühlen, mehr aber auch nicht.
EDIT:
Man kann natürlich jetzt Panik schieben und sich ne Behausung wie bei "Staatsfeind Nr. 1" zusammenbauen, weil hinter jeder Ecke irgendein Geheimagent steht und "was" von einem will. Nur sollte man sich einfach der Gesamtlage bewusst sein und danach handeln, in welche Richtung auch immer.
PS: Würde ich so ein Gerät kaufen, entweder komplett ohne MGMT oder eben so wie
@Zeitmangel. Wie oft spielt man an der Config rum, wenn die Scheiße erstmal läuft? Und wie maximal komfortabel muss es sein, dass das MGMT 24/7 im Netz hängt? Kann ich das MGMT Netz nicht abschotten?
Und wenn es für das Gerät keinen FW-Patch gibt, dann habe ich eben für das gesparte Geld ein buggy Gerät bekommen, ist halt so. (Meine Vodafonestation muss ich auch 1x im Quartal neu starten, und da werden bestimmt regelmäßig noch FWs hinterhergeschoben, also so toll ist "westliche" Technik nun auch nicht.)
Dass eine Kohorte davon nun schlauer ist als ein Einzelner, naja... das ist Chef-Mathe. 
