Sicherheitslücken gefährden Geräte weltweit

Einstellen Kommentar Drucken

In Computerchips von Geräten weltweit ist eine Sicherheitslücke entdeckt worden. Hacker könnten an sensible Daten wie Kreditkarteninformationen gelangen.

Das sollten sie dann auch installieren, denn durch den Fehler könnten Angreifer Zugriff auf den Speicherbereich der Prozessoren bekommen, der normalerweise für andere Programme unsichtbar ist. Vielmehr geht es um Seitenkanalangriffe auf Mechanismen der spekulativen Befehlsausführung (speculative execution) und dem Umsortieren von Befehlen (out-of-order execution).

Die Schwachstelle liegt in einem Verfahren, bei dem Chips möglicherweise später benötigte Informationen schon im Voraus abrufen, um Verzögerungen zu vermeiden. Diese Technik wird seit Jahren eingesetzt. Zu den bisher befürchteten massiven Leistungseinbrüchen gibt es, zumindest unter Windows und bei Spielen, Entwarnung von Computerbase.

Wurde Meltdown oder Spectre bereits ausgenutzt?

Die Forscher beschrieben zwei mögliche Attacken auf Basis der Schwachstelle. Betroffen sind Chips der Hersteller Intel, AMD und ARM, wie Sicherheitsexperten von Google am Mittwoch mitteilten. Diese Maßnahmen könnte die Leistung der Prozessoren beeinträchtigen, doch in den meisten Fällen werde der Leistungsabfall bei maximal zwei Prozent liegen. In ersten Berichten war noch von bis zu 30 Prozent die Rede gewesen. Besonders brenzlig werden könnte das Problem zumindest theoretisch in Server-Chips, auf denen sich die Wege vieler Daten kreuzen. Doch dann wurden vorab bereits Einzelheiten bekannt, vor allem zu Prozessoren von Intel. Intel selbst kann den Fehler offenbar nicht durch ein Update beheben, daran arbeiten derzeit aber die Hersteller von Betriebssystemen. Der Chipdesigner Arm, dessen Prozessorarchitektur in Smartphones dominiert, bestätigte dagegen, dass einige Produkte anfällig dafür seien.

Die Berichte über die Sicherheitslücke von Intel-Prozessoren hat sich direkt an der Börse niedergeschlagen: Seit dem ersten öffentlichen Bekanntwerden der Lücke am 2. Januar verlor die Intel-Aktie an der New Yorker Börse zeitweise um bis zu 7 Prozent an Wert. Sie wurde jedoch vorgezogen, nachdem Medienberichte über eine Sicherheitslücke in Intel-Chips erschienen waren. Der Aktienkurs von Intel fiel, der Konzern sah sich gezwungen, "irreführenden Berichten" zu widersprechen und betonte, es handele sich um ein allgemeines Problem.

Die komplexe Sicherheitslücke war von den Forschern bereits vor rund einem halben Jahr entdeckt worden. Denn sie erlaubt es, vereinfach ausgedrückt, dass ein Programm ein anderes ausspäht. "Dieses Update greift aber die zentrale Arbeitsweise von schnellen Prozessoren an und könnte sich vor allem in seiner Geschwindigkeit bemerkbar machen", erklären Lipp und seine Kollegen. Amazon hat daher ein großes Sicherheitsupdate für Freitag angekündigt, Microsoft für sein Cloudsystem Azure am kommenden Dienstag. Das ist eine gute Nachricht für Besitzer von Googles Pixel-Smartphones, denn sie erhalten die Updates automatisch. Dies gelte auch für die Handys anderer Hersteller mit dem Google-Betriebssystem Android. Auch Nutzer des E-Mail-Dienstes Gmail müssten nicht tätig werden. Diejenigen aber, die Chromebook-Laptops, den Internetbrowser Chrome und die Google-Clouddienste nutzen, müssten mit einem eigenen Betriebssystem Updates installieren. Auch Microsoft äußerte sich zunächst nicht. Grundsätzlich sollten Verbraucher davon ausgehen, dass auch ihre Geräte betroffen sind.

Grundsätzlich gelte, dass Software und Betriebssysteme stets auf dem aktuellen Stand gehalten werden sollten, teilte das BSI weiter mit. Dem Bundesamt zufolge handelt es sich bei den in zahlreichen Prozessoren entdeckten Schwachstellen um generell "schwer zu behebende IT-Sicherheitslücken". "Die Belastung der deutschen Wirtschaft durch die jüngst bekanntgewordenen Sicherheitslücken in Mikroprozessoren dürfte gering ausfallen", sagte der für IT-Sicherheit zuständige Bitkom-Experte Nabil Alsabah. Bitkom rät den Unternehmen generell dazu, das Thema Sicherheit zur Chefsache zu machen.

Comments