Gefunden in der WAZ digitale Ausgabe

Sicherheitslücke Computerchip
Die IT-Welt ist erschüttert: Milliarden Prozessoren sind angreifbar. Die wichtigsten Fragen und Antworten
Jan Mölleken

Berlin. Es ist ein IT-Sicherheitsgau gigantischen Ausmaßes: Durch eine schwere Sicherheitslücke in Computerchips von Milliarden Geräten können vertrauliche Daten und Passwörter gestohlen werden. Verantwortlich ist laut Sicherheitsforschern ein weit verbreitetes Verfahren zur Prozessorbeschleunigung, das in Chips von Intel, AMD und ARM steckt. Weltweit sind PCs, Cloud-Server sowie Smartphones und Tablets betroffen.
Was können Verbraucher jetzt tun? Antworten auf die wichtigsten Fragen.
Wie kommt es zu dieser Schwachstelle und was ist besonders an dieser Lücke? Üblicherweise treten Sicherheitslücken durch einen fehlerhaften Programmcode auf. Solche Softwarefehler lassen sich durch eine korrigierte Version des betreffenden Codeabschnitts – Update oder Patch genannt – meist rückstandslos beseitigen. Der nun gefundene Fehler ist allerdings Teil einer fest in den Chips verbauten Funktion. Er lässt sich nicht einfach reparieren und betrifft ausnahmslos alle Betriebssysteme für diese Prozessoren. So kann Schadsoftware die tiefgreifendsten Sicherheitsmechanismen von Prozessor und Betriebssystem umgehen und sensible Daten wie Passwörter aus dem Speicher ausspähen.
Das Problem ist den Herstellern bereits seit Juni vergangenen Jahres bekannt, teilte eine Gruppe von Sicherheitsforschern mit. Sie hatten die Schwachstelle ursprünglich entdeckt. Deshalb hatten Unternehmen wie Intel, Google oder Microsoft bereits Zeit, an entsprechenden Lösungen zu arbeiten. Denn auch wenn der Fehler auf ewig in Milliarden Chips steckt, können die jeweiligen Betriebssysteme, also Windows, Linux oder Android, durch entsprechende Updates ihrerseits verhindern, dass die Sicherheitslücke ausgenutzt werden kann.
Was bedeuten in diesem Zusammenhang die Namen „Spectre“ und „Meltdown“? Die Sicherheitsforscher haben zwei grundsätzliche Möglichkeiten entdeckt, wie die Prozessorschwachstelle angreifbar ist, und diese „Meltdown“ und „Spectre“ genannt.
Meltdown betrifft laut den Forschern hauptsächlich Intelprozessoren, die seit 2010 gebaut wurden. Womöglich sind sogar fast alle Prozessoren seit 1995 betroffen. Der Angriff erlaubt einer Schadsoftware Zugriff auf den Speicher des Betriebssystemkerns. Dort lassen sich sensible Daten wie Passwörter auslesen.
Ob Meltdown auch auf Prozessoren von AMD oder ARM (sie werden in einer Vielzahl von Smartphones und Tablets eingesetzt) funktioniert, konnten die Forscher nicht beweisen, halten es grundsätzlich aber nicht für ausgeschlossen.
Spectre beschreibt ein Angriffsszenario, bei dem die Sicherheitsgrenzen zwischen unterschiedlichen Programmen eingerissen werden. Schadsoftware kann dann eigentlich sicher programmierte Anwendungen dazu bringen, sensible Daten preiszugeben. Dieses Angriffsszenario sei zwar schwerer anzuwenden, gleichzeitig aber auch schwerer zu verhindern, erklärten die Forscher. Diese Schwachstelle ließ sich auf Prozessoren von Intel, AMD und ARM ausnutzen.
Welche Geräte sind von den Sicherheitslücken betroffen? Betroffen ist ein Großteil der heute genutzten Computer: Egal ob Desktop-PC, Cloud-Server, Smartphone oder Tablet – alle sind über Spectre, viele auch zusätzlich über Meltdown angreifbar. Grundsätzlich sollten Verbraucher davon ausgehen, dass auch ihre Geräte betroffen sind. Laut Aussage von Herstellern und Sicherheitsforschern ist bislang nicht bekannt, ob die Lücke bereits tatsächlich ausgenutzt wurde.
Da die Hersteller viel Zeit hatten, sich auf das Bekanntwerden der Schwachstelle vorzubereiten, dürften für Geräte bald Sicherheitspatches bereitstehen. Nutzer veralteter Betriebssysteme können jedoch nicht unbedingt darauf hoffen, dass sie ebenfalls Updates erhalten.
Laut ersten Berichten soll das Sicherheitsupdate unter Windows die verbauten Prozessoren langsamer machen. Wie groß sind die Leistungseinbußen? Tatsächlich ist die problematische Funktion ein Mittel zur Leistungssteigerung des Prozessors – Geschwindigkeitseinbußen sind also tatsächlich denkbar. Die IT-Website „The Register“ hatte bereits am Dienstag über den Fall berichtet und über mögliche Leistungseinbrüche von fünf bis 30 Prozent berichtet. Allerdings, so schränkt das Portal in einem späteren Artikel ein, hänge das stark von der Art der Belastung ab.
Privatanwender, die lediglich im Netz surfen, Office nutzen oder Videos streamen, dürften keine nennenswerten Geschwindigkeitsverluste spüren, auch Gamer nicht.
Anders sehe das möglicherweise aber bei Cloud-Servern und anderen Systemen aus, die etwa viele Datenbankabfragen machen, so „The Register“.

Die Situation ist für Verbraucher derzeit noch etwas unübersichtlich. Immerhin: Laut Sicherheitsforschern kann die Lücke nicht grundsätzlich einfach über das Internet ausgenutzt werden. Die Schadsoftware müsse direkt auf dem jeweiligen Gerät ausgeführt werden, um zu funktionieren. Deshalb, so die Experten, ist es jetzt um so wichtiger, seine Browser, Browserplugins wie Flash und natürlich sein Virenschutzprogramm auf den neusten Stand zu bringen. Zudem sollte nur Software aus vertrauenswürdigen Quellen, also etwa den offiziellen App-Stores, installiert werden. Aktuell bemühen sich die Betriebssystemhersteller ihrerseits, Patches (Korrektursoftware) anzubieten, die ein Ausnutzen der Schwachstelle verhindern. Betriebssystem Android: Google etwa hat erklärt, dass eine erste Lösung für das Problem unter Android bereits im jüngsten Sicherheitsupdate vom 2. Januar stecke. Das ist eine gute Nachricht für Besitzer von Googles Pixel-Smartphones, denn sie erhalten die Updates automatisch. Besitzer von Android-Geräten anderer Hersteller sind darauf angewiesen, dass diese den Patch möglichst schnell übernehmen und weiterreichen. Windows: Am stärksten betroffen sind Intel-Prozessoren und damit viele Millionen PCs weltweit. Microsoft stellte für Windows 10 bereits am vergangenen Mittwoch einen Patch bereit, der bei vielen Nutzern automatisch installiert werden sollte. Allerdings werden sie aktuell nicht jedem Anwender angeboten. Hintergrund ist, dass einige Antivirenprogramme mit dem Patch nicht kompatibel sind und für Systemabstürze sorgen könnten. Sobald der Virenhersteller ein entsprechendes Update bereitstellt, sollte auch der Sicherheitspatch für Windows verfügbar sein. Man habe die Antivirenhersteller rechtzeitig darauf hingewiesen, weshalb Updates zeitnah zur Verfügung stehen sollten, so Microsoft. Nutzer von Windows 7 und Windows 8.1 erhalten die Updates regulär am offiziellen Patchday, kommenden Dienstag. Apple: Auch in Apple-Computern stecken Intel-Chips, weshalb auch diese potenziell von der Sicherheitslücke betroffen sind. Der Sicherheitsforscher Alex Ionescu will den entsprechenden Patch in dem bereits im Dezember veröffentlichten Update auf macOS 10.13.2 entdeckt haben. Apple selbst äußerte sich bislang nicht dazu. Browser: Google rät Chrome-Nutzern, die Website-Isolation zu aktivieren, damit eine geöffnete Website nicht Daten von anderen geöffneten Websites stehlen könne. Dazu in die Adresszeile „chrome://flags/#enable-site-per-process“ eintippen, Enter drücken, dann „Aktivieren“ anklicken. Für den Firefox-Browser solle es bald ein Update geben.

Quelle WAZ digital Jan Mölleken