Neue Sicherheitslücke trifft viele Geräte
4. Januar 2018
Ganze Generationen von Computer- und Smartphonechips sowie Cloude-Servern sind betroffen. Experten entdeckten die Sicherheitslücke, durch die Angreifer an vertrauliche Daten kommen könnten. Die professionellen und von Tech-Unternehmen bezahlten Hacker demonstrierten, dass es möglich sei, sich Zugang zum Beispiel zu Passwörtern, Krypto-Schlüsseln oder Informationen aus Programmen zu verschaffen.
Die Schwachstelle ist die sogenannte "speculative execution". Durch dieses Verfahren können Chips später benötigte Informationen vorab berechnen, um Verzögerungen beim tatsächlichen Abruf dieser Informationen zu vermeiden. Diese Technik wird seit Jahren eingesetzt. Damit dürfte eine Masse von Computer-Geräten zumindest theoretisch bedroht sein. Ob diese Sicherheitslücken ausgenutzt worden seien, wüssten sie nicht, erklärten die Experten. Eine Feststellung sei wahrscheinlich nicht möglich, da die Attacken keine Spuren hinterlassen würden, fügten sie hinzu.
Wurde es bereits ausgenutzt?
Die Sicherheitslücke ist den Herstellern schon seit Längerem bekannt. Erst jetzt wurde die Schwachstelle publik. Besonders der Branchenriese Intel und dessen Konkurrent AMD sind betroffen. Deren Prozessoren stecken in Milliarden Geräten. "Handys, PCs, alles wird etwas davon betroffen sein, aber die Auswirkungen werden von Produkt zu Produkt unterschiedlich sein", sagte Intel-Chef Brian Krzanich dem TV-Sender CNBC. Es werde seit längerem gemeinsam mit anderen Firmen an einer Lösung gearbeitet, bestätigte Intel. Software-Aktualisierungen sollen diese Sicherheitslücke schließen.
Diese Software-Maßnahmen gegen die Sicherheitslücken dürften zwar die Leistung der Prozessoren beeinträchtigen, räumte Intel ein. In den meisten Fällen werde der Leistungsabfall aber bei maximal zwei Prozent liegen und für den Normaverbraucher kaum bemerkbar sein. In ersten Berichten war noch von bis zu 30 Prozent die Rede. Besonders brenzlig werden könnte das Problem zumindest theoretisch in Server-Chips, auf denen sich die Wege vieler Daten kreuzen.
Intel bezweifelte aber, dass die Schwachstelle bereits ausgenutzt worden sei. Intel und ARM betonten, dass es sich nicht um einen Design-Fehler handele. ARM, dessen Prozessor-Architektur in Smartphones dominiert, bestätigte, dass einige Produkte anfällig für einen derartigen Angriff seien. ARM erklärte, Software-Patches seien bereits an zahlreiche Handy-Hersteller und andere Kunden übermittelt worden. Chipdesigner AMD bestritt, dass seine Prozessoren betroffen seien.
Intels Aktienkurs fällt
Eigentlich war die Veröffentlichung des Sicherheitsrisikos für den 9. Januar geplant. Die Unternehmen zogen sie vor, nachdem Berichte über eine Sicherheitslücke in Intel-Chips die Runde machten. Der Aktienkurs von Intel sackte ab, der Konzern sah sich gezwungen, "irreführenden Berichten" zu widersprechen und betonte, es handele sich um ein allgemeines Problem.
Die Experten, die unter anderem für das Google Project Zero und mit Forschern von Universitäten und aus der Industrie zusammenarbeiten, beschrieben zwei Attacken auf Basis der Schwachstelle. Für die erste Hackervariante namens "Meltdown" ("Kernschmelze") ist den Entdeckern zufolge nahezu jeder Intel-Chip seit 1995 anfällig - sie kann aber mit Software-Updates geschlossen werden. Die zweite Attacke trägt den Namen "Spectre" ("Geist") sei schwerer umzusetzen, aber es sei auch schwieriger, sich davor zu schützen. Man könne aber zumindest bekannte Schadsoftware durch Updates stoppen. Von dieser Angriffsmöglichkeit seien "fast alle Systeme betroffen: Desktops, Laptops, Cloud-Server sowie Smartphones", erklärten sie.
Google: Smartphones mit Android sind geschützt
Die Cloud-Schwergewichte Google, Microsoft und Amazon sicherten ihre Dienste mit Software-Updates. Google erklärte, dass die eigenen Smartphones Nexus und Pixel dank des jüngsten Software-Updates geschützt seien. Dies gelte auch für die Handys anderer Hersteller mit dem Google-Betriebssystem Android. Auch Nutzer des E-Mail-Dienstes Gmail müssten nicht tätig werden. Allerdings müssten Nutzer der Chromebook-Laptops, des Internet-Browsers Chrome und der Google-Clouddienste mit einem eigenen Betriebssystem Updates installieren. Apple äußerte sich zunächst nicht dazu und es war unklar, inwieweit Produkte des iPhone-Konzerns betroffen sind. Auch Microsoft äußerte sich zunächst nicht. In den vergangenen Jahren hatten die Tech-Unternehmen ihre Geräte und Dienste unter anderem mit Verschlüsselung abgesichert - gingen dabei jedoch davon aus, dass von den Prozessoren selbst keine Gefahr droht.
Bundesamt: Updates installieren!
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) riet Nutzern unterdessen zum Installieren von Updates. Privatanwendern und Unternehmen werde empfohlen, Sicherheitspatches für Betriebssysteme und insbesondere Internetbrowser einzuspielen, sobald diese von den Herstellern zur Verfügung gestellt würden, erklärte das BSI. Auch für mobile Geräte wie Smartphones sollten Sicherheitsupdates unmittelbar installiert werden.
Grundsätzlich gelte, dass Software und Betriebssysteme stets auf dem aktuellen Stand gehalten werden sollten, teilte das BSI weiter mit. Zudem sollten Apps nur aus vertrauenswürdigen Quellen bezogen werden. Die Chip- und Hardwarehersteller rief das Bundesamt dazu auf, die Schwachstelle zu beheben. Der Fall sei ein erneuter Beleg dafür, "wie wichtig es ist, Aspekte der IT-Sicherheit schon bei der Produktentwicklung angemessen zu berücksichtigen", erklärte BSI-Präsident Arne Schönbohm. Dem Bundesamt zufolge handelt es sich bei den in zahlreichen Prozessoren entdeckten Schwachstellen um generell "schwer zu behebende IT-Sicherheitslücken".
Bitkom: Keine größeren Kosten für Unternehmen
Für die deutschen Unternehmen dürften dem Digitalverband Bitkom zufolge keine größeren Kosten durch die Schwachstellen in Computerchips entstehen. "Die Belastung der deutschen Wirtschaft durch die jüngst bekanntgewordenen Sicherheitslücken in Mikroprozessoren dürfte gering ausfallen", sagte der für IT-Sicherheit zuständige Bitkom-Experte Nabil Alsabah. "Die Anbieter von Betriebssystemen haben in den vergangenen Monaten bereits daran gearbeitet, die am Mittwoch enthüllten Hardware-Lücken über Softwarelösungen zu schließen." Bitkom rät den Unternehmen generell dazu, das Thema Sicherheit zur Chefsache zu machen. Der Basisschutz sollte stets ergänzt werden um Verschlüsselung und spezielle Angriffserkennung.
sti/sam/se (dpa, rtr)