5471976

Sicherheitslücken bei Intel und Co: Gefährliche Kernschmelze

Sicherheitslücken bei Prozessoren: Hacker könnten sich Passwörter und andere Daten von Milliarden Rechnern verschafft haben.

Drei Intel-Prozessoren

Prozessoren sind nicht vor möglichen Hacker-Angriffen geschützt Foto: reuters

Die Sicherheit von Milliarden PCs und Smartphones weltweit ist offenbar gefährdet. Das fanden Experten heraus, die auf eine Schwachstelle bei Prozessoren der Hersteller Intel, AMD und ARM gestoßen sind. Hacker könnten die Lücke nutzen, um an Passwörter und andere persönliche Daten, die auf Computern oder Smartphones gespeichert sind, zu gelangen.

Die betroffenen Hersteller wurden nach Angaben des Expertenteams des „google project zero“ bereits im Juni 2017 informiert. Das Projekt des Internetkonzerns soll Software­lücken aufspüren. Nachdem Medienberichte über eine Sicherheitslücke bei Intel kursierten, bestätigte der Branchenriese am Mittwoch die Gerüchte.

Um die Rechenleistung von Prozessoren zu optimieren, wird seit Jahren eine Technik mit dem Namen „speculative execution“ eingesetzt. Dabei werden Rechenoperationen im Voraus simuliert, um sie später abzurufen. Hacker könnten diesen Vorgang nutzen, um auf gespeicherte Daten zuzugreifen.

Dabei beschreiben die Forscher zwei mögliche Attacken auf der Basis der Schwachstelle. Bei der ersten, der sie den Namen „Meltdown“ (Kernschmelze) gaben, können Hacker Daten auslesen, wie etwa in Browsern gespeicherte Passwörter. Sie lässt sich offenbar mit Software-Updates beseitigen. Bei der zweiten Attacke mit dem Namen „Spectre“ (Geist) können Programme so manipuliert werden, dass sie sich gegenseitig ausspionieren und wichtige Daten preisgeben. Diese Sicherheitslücke sei schwieriger auszunutzen, aber auch nicht so leicht zu beseitigen, heißt es von Experten.

Software-Update nächste Woche

Von „Meltdown“ sind nach Angaben der Forscher ausschließlich Computer oder Smartphones betroffen, die mit Intel-Prozessoren ausgestattet sind. „Spectre“ könne hingegen auch bei Geräten mit Prozessoren der Hersteller AMD und ARM angewendet werden.

Ein Hacker-Angriff auf die Schwachstellen hinterlässt keine Spuren

Ein Hacker-Angriff auf die entdeckten Schwachstellen hinterlässt nach Angaben der Forscher keine Spuren. Deshalb lasse sich nicht feststellen, ob die Sicherheitslücke bereits zum Datenklau genutzt wurde, heißt es aus dem google project zero. Der US-amerikanische Hersteller AMD wies in einer Stellungnahme darauf hin, dass die Forscher über nichtöffentliche Informationen über die Technologie der Prozessoren verfügten. Es sei nicht davon auszugehen, dass Hacker bereits auf die Schwachstelle gestoßen seien.

Intel arbeitet nach eigenen Angaben bereits seit Monaten mit anderen Firmen an einem Software-Update, um Sicherheitslücken zu schließen. Diese sollen Ende nächster Woche bereitstehen – ursprünglich sollte die Öffentlichkeit erst mit dem Erscheinen der Updates von der Sicherheitslücke erfahren.

Der Digitalverband Bitkom erwartet keine nennenswerten wirtschaftlichen Schäden durch die Sicherheitslücken für deutsche Unternehmen. Die Anbieter von Betriebssoftware für Geschäftskunden hätten vorgesorgt und in den vergangenen Monaten bereits Software-Lösungen erarbeitet.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • kditd

    Der einzig (relativ) sichere Computer ist eben einer, der nicht am Netz hängt und in einem verschlossenen Raum steht.

    Ansonsten hat die Entdeckung dieser Hardware-Lücken Kuriositätswert, denn es ist meistens wohl gar nicht nötig, zu solchen Mitteln zu greifen. Es gibt genug andere Angriffspunkte - Paßwörter klauen oder knacken z.B.

    Ich gehe davon aus, daß es für Linux demnächst einen Patch geben wird, der zumindest die erste Lücke schließt. Und damit wohl auch für Android, OSX und andere Unix-ähnliche Systeme. Und Microsoft wird einfach Geld nach dem Problem werfen, bis es weggeht oder auch nicht.

    Totale Sicherheit gibt es eben nicht. Kein Grund, Rechner und Smartphones wegzuschmeißen.

  • Mustardman

    Die gesamte globale, vernetzte IT-Infrastruktur ist noch kaum über den Stand hinausgekommen, den im Vergleich die moderne Medizin zu einer Zeit hatte, in der Ärzte sich zwischen Operationen noch nicht einmal die Hände gewaschen haben.

    Denn es mag Updates für Windows und Linux geben, aber garantiert weder für alte Versionen noch für die meisten Smartphones, Router und sonstigen Kleinkram. Die zentrale Stellung, die solche Systeme in der modernen Welt haben würde eigentlich ganz erheblich mehr Aufwand voraussetzen, wenn man das auch nur halbwegs sicher haben wollte. Das geht schon lange nur mit viel Glück und weil man die meisten Angriffe gar nicht merkt überhaupt noch halbwegs gut.

    Ich arbeite seit langem in diesem Bereich und kann nur sagen: Mit dem entsprechenden Willen, langer Vorbereitung und den Mitteln eines halbwegs entwickelten Staates oder Geheimdienstes könnte man einen digitalen Offensivschlag durchführen, der die ganze moderne Welt in völliges Chaos stürzt. Wenn man die Finanzsysteme samt Geldautomaten, die Telekommunikationsnetze und vielleicht noch die Energieversorgung abschießt, ist jedes moderne Land nach drei Tagen zwischen Bürgerkrieg und Hungersnot angelangt.

    Man kann nur hoffen, dass jedes Land das vorbereitet und weiß, dass die anderen das auch tun, so dass sich eine Entsprechung zum Gleichgewicht des Schreckens im Kalten Krieg ergibt. Und es ist traurig, dass es DAS ist, worauf man hoffen muss.

    Und klar, dass die ganze Welt an Intel und ARM CPUs hängt, ist eine typische Monokultur mit allen Folgen daraus. Es gibt noch eine gewisse minimale Softwarediversität, aber nicht bei der Hardware.

  • hup

    Das sind genau die Art von Lücken, welche die NSA mit hohem Aufwand erforscht und dann geheim hält. Neben Meltdown und Spectre gibt es garantiert noch ein dutzend andere Lücken ähnlichen Kalibers, die bis jetzt nicht der Öffentlichkeit bekannt sind, von der NSA über Exploits aber bereits breit genutzt wird.

    Genau das ist die Munition im Cyberwar. Und diese Lücken lieber als "Waffen" zu horten anstatt schnellstmöglich für Abhilfe zu schaffen, macht die Welt unsicherer. Die NSA ist hier nur ein Platzhalter, die Geheimdienste aller fortgeschrittenen Nationen verfahren genau so.

    Jeder will halt dem anderen lieber eins über die Mütze ziehen als dafür zu sorgen, dass wir alle sicherer sind.

    Die Idee, dass ein PC oder gar ein Smartphone noch eine vertrauenswürdige Maschine ist, die unter der (alleinigen) Kontrolle des User steht ist inzwischen völlig abwegig. Sicherlich, die Geräte stehen nicht allen offen, sondern i.d.R. nur gut ausgestatteten Angreifern - aber diesen voll und ganz und jederzeit. Man wird nicht dauernd überwacht, man kann nur jederzeit und dauernd überwacht werden - die Kopfschere ist das wertvollste Instrument der Überwacher. Das einzige was uns zur Zeit noch halbwegs schützt ist, dass sich Polizei und Gheimdienste nicht mal gegenseitig trauen und auch die dutzende von Geheimndiensten sich untereinander fast nicht austauschen.

    Aber das kommt auch noch.