Was haben die Europäische Prozessorinitiative (EPI), die Prozessor-Sicherheitslücken Spectre und Meltdown sowie die chinesische Spionage durch Infiltration wichtiger Hardware-Zulieferer gemeinsam?
Sie alle betreffen die Sicherheit und Integrität von Europas IT-Systemen. Insbesondere Unternehmen und die öffentliche Hand sollten die genannten Probleme nicht auf die leichte Schulter nehmen und haben nicht nur für Militär und Sicherheitsdienste hohe Relevanz. Aber auch der einfache Computernutzer sollte aufhorchen, wenn es um die Sicherheit des eigenen Systems geht.
Mit EPI will Europa einen eigenen Prozessorhersteller nach dem Vorbild von Airbus in der Luftfahrtbranche schaffen. Man möchte sich zunächst aber auf die Märkte der Hochleistungsserver, Datenzentren und Industrieanwendungen beschränken. Die Zielstellung umschreiben die zuständigen Kommissare Andrus Ansip und Mariya Gabriel wie folgt:
The European Processor Initiative is an important step of a strategic plan to develop an independent and innovative European supercomputing and data ecosystem and will ensure that the key competence of high-end chip design remains in Europe, a critical point for many application areas. Thanks to such new European technologies, European scientists and industry will be able to access exceptional levels of energy-efficient computing performance. This will benefit Europe's scientific leadership, industrial competitiveness, engineering skills and know-how and the society as whole.Es soll also mehr europäische DNA in Computersystemen verankert werden und auch entsprechendes Know-How in Europa aufgebaut werden. Heute sind ansonsten vor allem Taiwan, China und Japan sowie die USA wichtige Zentren der Branche. Europa möchte mit der Initiative international wettbewerbsfähig werden, bislang war man eher in der Forschung aktiv. Die Wirtschaftlichkeit im Blick zu behalten ist auch ein wichtiges Ziel des neuen Projekts. Man erinnere sich nur an den Aufbau der Mikroelektronik in der DDR, wie man es besser nicht angehen sollte. Dort hinkte der planwirtschaftliche Ansatz der schnellen Entwicklung auf dem Weltmarkt sehr schnell hinterher.
Doch wirtschaftliche Gründe dürften nicht einmal die wichtigsten für diese Initiative sein, sondern die Kontrolle über sicherheitsrelevante Designelemente der Technik. Denn Angriffe auf die Sicherheit von Computersystemen sind umso schwerer zu entdecken, je tiefer die Schwachstelle bereits auf der Ebene der Hardware vorhanden ist. Wenn der Zufallsgenerator in der Kryptografieeinheit etwa nicht so zufällige Ergebnisse liefert, wie er sollte oder Hash-Algorithmen genutzt werden, die als unsicher gelten, ist die Sicherheit schon früh kompromittiert.
Aber nicht nur Fehler in der Hardwarearchitektur, sondern auch deren reguläre Funktionsweise können mitunter ausgenutzt oder manipuliert werden. Die im Januar 2018 publik gewordenen Schwachstellen Spectre und Meltdown bauen etwa auf der Funktionsweise aller moderner Prozessorarchitekturen auf und blieben über Jahrzehnte unentdeckt. Insbesondere Intel, der Marktführer im Server- und Desktopmarkt, war von ihnen durch ihre Implementierung besonders stark betroffen. Je nach Anwendungsszenario gingen die bisherigen Ansätze zur Schadensminimierung zum Teil stark auf Kosten der Leistung und Energieeffizienz. Die in diesem Jahr intensivierte Forschung dürfte auch noch weitere Schwachstellen aufdecken, denn das Ausnutzen der üblichen Funktionsweise der Computerhardware war zuvor kein Forschungsschwerpunkt, bislang standen Softwareschwachstellen im Fokus.
Als Instruktionensatz von EPI wurde für die erste Generation die ARM-Plattform gewählt, die sich heute in fast jedem Smartphone wieder findet und jüngst auch im Serverbereich Einzug gehalten hat. Zwar ist ARM nach dem Aufkauf durch Softbank nicht mehr in europäischer Hand, hat aber zumindest britische Wurzeln - nach dem Brexit bleiben diese nur noch geografisch erhalten. Langfristig möchte man jedoch auf die noch in der Entwicklung befindliche (aber offenere) RISC-V Architektur umsteigen. Diese hat zwar ihre Wurzeln an der University of California (Berkeley) in den USA, doch sind auch mehrere europäische Firmen in deren Steuerungsgremium vertreten. Zudem passt deren Entwicklungsmodell besser für eine völlige Neuentwicklung, die allerdings einige Zeit brauchen wird.
Bei allem Zuspruch für den europäischen Ansatz bleibt genug Raum für Kritik. So ist etwa der Zeitplan auf den ersten Blick ambitioniert, man möchte den ersten Chip für ein vor-Exascale System bereits 2021 produzieren - angesichts der üblichen Entwicklungszeiten in der Chipindustrie ist das zügig. Andererseits gehen die Bemühungen im Ausland bereits weiter, so möchte man in China bereits 2020 ein Exascale-System aufbauen, während man in Europa erst 2023 so weit sein möchte. Hier droht man schon zu Beginn der Entwicklung durch die insgesamt doch als konservativ zu bewertende Zielsetzung dem Stand der Technik um drei Jahre hinterher zu hinken.
Auch die Beschränkung in der Ausrichtung auf den Servermarkt und Automotive-Bereich lässt an der Wirtschaftlichkeit Fragen aufkommen. So wäre etwa auch eine Ausführung für Desktop-Systeme in Behörden denkbar. Durch die Nutzung proprietärer alter Software ist man hier jedoch noch länger abhängig von Microsoft. Interessanterweise will aber auch Microsoft sich besser für ARM-Prozessoren aufstellen. Von einer Portierung auf RISC-V ist derzeit aber noch nichts bekannt. Der Portierungsaufwand ist je nach Komplexität der Software auch nicht trivial. Hier hat quelloffene Open Source-Software strukturell deutliche Vorteile - so hatte etwa Red Hat in nur wenigen Monaten einen Großteil des bestehenden Archivs von Softwarepaketen auf RISC-V portiert. Konsequenterweise müsste die EU-Kommission und die teilnehmenden Mitgliedsstaaten sich selbst unabhängiger von Microsoft-Produkten und proprietären Speziallösungen machen und stärker in ein offenes Softwareökosystem investieren.
Der EPI-Ansatz greift zudem zu kurz. Sich allein auf die Entwicklung eines Prozessors und eines Beschleunigers zu beschränken reicht nicht aus. Das hat bereits technische Gründe, doch auch was die Kontrolle über die Technik angeht, täte es gut den Horizont zu erweitern. Der eingangs genannte Fall der Infiltration von Zulieferern für Server-Mainboards durch den chinesischen Geheimdienst hat etwa gezeigt, dass auch ein Aufbau der Zulieferkette in Europa ein Ziel sein muss. Dafür sprechen neben dem Sicherheitsaspekt auch wirtschaftliche Gründe, denn wenn man die Wertschöpfung in Europa fördern möchte, sollte ein möglichst großer Teil der Wertschöpfungskette sich auch in Europa befinden und Arbeitsplätze schaffen. Das über Jahrzehnte gewachsene Umfeld in Asien dürfte es den Europäern schwer machen ein wettbewerbsfähiges Umfeld zu etablieren. Die fortschreitende Automatisierung der Fabrikation als auch Unsicherheiten im globalen Welthandel sowie ein Steigen der Transportkosten könnten hier aber künftig den Europäern in die Karten spielen.
Selbst wenn sich einige namenhafte europäische Hersteller bei EPI engagieren, fällt auf, dass die Initiative überproportional von den Forschungszentren, Umsetzern und Anwendern geprägt wird, und nicht so stark von der Halbleiterindustrie selbst. Das muss kein Nachteil sein und durch die geleistete Vorarbeit von ARM im Prozessordesign dürfte eine Anpassung auch vergleichsweise leicht und zügig umsetzbar sein. Der nötige Erfahrungsaufbau, das Umschwenken und die Etablierung von RISC-V dürfte aber Zeit und mehr Geld kosten. Zeit ist in der Technikbranche ein besonders knappes Gut.
Ob die Entscheidungsstrukturen der EU sich ebenso als konkurrenzfähig erweisen, wird gleichfalls bei dem Vorhaben unter Beweis gestellt. Hoffen wir, dass die Bemühungen erfolgreicher sein werden als damals in der DDR!