 |
# taz.de -- Sicherheitslücke bei Prozessoren: Milliarden Geräte gefährdet |
|
|
|
> Forscher haben eine Schwachstelle bei Computerchips festgestellt. |
|
> Betroffen können fast alle Systeme sein. Teilweise müssen Prozessoren |
|
> ausgetauscht werden. |
|
|
 |
Bild: Tech-Unternehmen waren davon ausgegangen, dass von den Prozessoren selbst… |
|
|
|
Santa Clara dpa | Durch eine neu entdeckte Sicherheitslücke in |
|
Computerchips von Milliarden Geräten können auf breiter Front vertrauliche |
|
Daten abgeschöpft werden. Forscher demonstrierten, dass es möglich ist, |
|
sich Zugang zum Beispiel zu Passwörtern, Krypto-Schlüsseln oder |
|
Informationen aus Programmen zu verschaffen. Die Tech-Firmen sind dabei, |
|
die seit zwei Jahrzehnten bestehende Lücke mit Software-Aktualisierungen zu |
|
stopfen. Komplett kann das Problem aber nur durch einen Austausch der |
|
Prozessoren beheben. |
|
|
|
Die Schwachstelle liegt in einem Verfahren, bei dem Chips möglicherweise |
|
später benötigte Informationen schon im voraus abrufen, um Verzögerungen zu |
|
vermeiden. Diese als „speculative execution“ bekannte Technik wird seit |
|
Jahren branchenweit eingesetzt. Damit dürfte eine Masse von |
|
Computer-Geräten mit Chips verschiedenster Anbieter zumindest theoretisch |
|
bedroht sein. Das Schlimme an der Schwachstelle ist, dass alle auswendigen |
|
Sicherheitsvorkehrungen um den Prozessor herum durch den Design des Chips |
|
selbst durchkreuzt werden könnten. |
|
|
|
Sie wüssten nicht, ob die Sicherheitslücke bereits ausgenutzt worden sei, |
|
erklärten die Forscher. Man würde es wahrscheinlich auch nicht feststellen |
|
können, denn die Attacken hinterließen keine Spuren in traditionellen |
|
Log-Dateien. |
|
|
|
Der Branchenriese Intel erklärte, es werde gemeinsam mit anderen Firmen an |
|
Lösungen gearbeitet, bezweifelte aber zugleich, dass die Schwachstelle |
|
bereits für Attacken benutzt wurde. Der kleinere Intel-Konkurrent AMD, der |
|
von den Entdeckern der Sicherheitslücke ebenfalls genannt wurde, bestritt, |
|
dass seine Prozessoren betroffen seien. Der Chipdesigner Arm, dessen |
|
Prozessor-Architektur in Smartphones dominiert, bestätigte, dass einige |
|
Produkte anfällig dafür seien. |
|
|
|
Die IT-Sicherheitsstelle der US-Regierung, CERT, zeigte sich kategorisch, |
|
was eine Lösung des Problems angeht: „Die Prozessor-Hardware ersetzen.“ Die |
|
Sicherheitslücke gehe auf Design-Entscheidungen bei der Chip-Architektur |
|
zurück. „Um die Schwachstelle komplett zu entfernen, muss die anfällige |
|
Prozessor-Hardware ausgetauscht werden.“ |
|
|
|
## Seit längerer Zeit bekannt |
|
|
|
Die komplexe Sicherheitslücke war von den Forschern bereits vor rund einem |
|
halben Jahr entdeckt worden. Die Tech-Industrie arbeitete seitdem im |
|
Geheimen daran, die Schwachstelle mit Software-Updates soweit möglich zu |
|
schließen, bevor sie publik wurde. Die Veröffentlichung war für den 9. |
|
Januar geplant. Die Unternehmen zogen sie auf Mittwoch vor, nachdem |
|
Berichte über eine Sicherheitslücke in Intel-Chips die Runde machten. Der |
|
Aktienkurs von Intel sackte ab, der Konzern sah sich gezwungen, |
|
„irreführenden Berichten“ zu widersprechen und betonte, es handele sich um |
|
ein allgemeines Problem. |
|
|
|
Die Forscher, die unter anderem bei Google arbeiten, beschrieben zwei |
|
Attacken auf Basis der Schwachstelle. Bei der einen, der sie den Namen |
|
„Meltdown“ gaben, werden die grundlegenden Trennmechanismen zwischen |
|
Programmen und dem Betriebssystem ausgehebelt. Dadurch könnte böswillige |
|
Software auf den Speicher und damit auch auf Daten anderer Programme und |
|
des Betriebssystems zugreifen. Für diese Attacke ist den Entdeckern der |
|
Schwachstelle zufolge nahezu jeder Intel-Chip seit 1995 anfällig – sie kann |
|
aber mit Software-Updates gestopft werden. |
|
|
|
Die zweite Attacke, „Spectre“, lässt zu, dass Programme einander |
|
ausspionieren können. „Spectre“ sei schwerer umzusetzen als „Meltdown“… |
|
aber es sei auch schwieriger, sich davor zu schützen. Man könne lediglich |
|
bekannte Schadsoftware durch Updates stoppen. Ganz sei die Lücke aber nicht |
|
zu stopfen. Von „Spectre“ seien „fast alle Systeme betroffen: Desktops, |
|
Laptops, Cloud-Server sowie Smartphones“, erklärten die Forscher. Man habe |
|
die Attacke auf Chips von Intel und AMD sowie Arm-Designs nachgewiesen. |
|
|
|
## Leistungseinbußen befürchtet |
|
|
|
Die Software-Maßnahmen gegen die Sicherheitslücken dürften zwar die |
|
Leistung der Prozessoren beeinträchtigen, räumte Intel ein. In den meisten |
|
Fällen werde der Leistungsabfall aber bei maximal zwei Prozent liegen. In |
|
ersten Berichten war noch von bis zu 30 Prozent die Rede. |
|
|
|
Besonders brenzlig werden könnte das Problem zumindest theoretisch in |
|
Server-Chips, auf denen sich die Wege vieler Daten kreuzen. Die |
|
Cloud-Schwergewichte Google, Microsoft und Amazon erklärten, dass ihre |
|
Dienste mit Software-Updates abgesichert worden seien. |
|
|
|
In den vergangenen Jahren hatten die Tech-Unternehmen ihre Geräte und |
|
Dienste unter anderem mit Verschlüsselung geschützt – gingen dabei jedoch |
|
davon aus, dass von den Prozessoren selbst keine Gefahr droht. |
|
|
|
4 Jan 2018 |
|
|
|
## TAGS |
|
|
 |
IT-Sicherheit |
|
Software |
|
Hacker |
|
Apple |
|
Wlan |
|
Marieluise Beck |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Sicherheitslücke bei Computerchips: Strengere Regeln für die IT-Branche |
|
|
|
Rechner, Smartphones und Tablets gefährdet: Datenschutzexperten sind |
|
alarmiert. Grüne fordern europaweite Regeln für die Hersteller. |
|
|
|
Sicherheitslücken bei Intel und Co: Gefährliche Kernschmelze |
|
|
|
Sicherheitslücken bei Prozessoren: Hacker könnten sich Passwörter und |
|
andere Daten von Milliarden Rechnern verschafft haben. |
|
|
|
IT-Experte über Softwarefehler bei Apple: „Nicht der erste Fehler“ |
|
|
|
Apples Betriebssystem für Desktop-Computer enthielt eine Sicherheitslücke. |
|
Ein IT-Experte erklärt, wie solche Fehler gefunden und gemeldet werden. |
|
|
|
Forscher finden Sicherheitslücke: WLAN-Verschlüsselung mangelhaft |
|
|
|
Belgische Sicherheitsforscher haben eine Sicherheitslücke im |
|
Verschlüsselungsprotokoll WPA2 entdeckt. Es gebe keinen Anlass für |
|
Hysterie, beschwichtigen Experten. |
|
|
|
Gehackte Daten aus dem Bundestag: Im Visier der Cyberkrieger |
|
|
|
2015 kam es zum bislang größten Hacker-Angriff auf den Bundestag. Viele |
|
Dokumente wurden gestohlen. Vor der Wahl könnte das gefährlich werden. |
