# taz.de -- Sicherheitslücke bei Prozessoren: Milliarden Geräte gefährdet
> Forscher haben eine Schwachstelle bei Computerchips festgestellt.
> Betroffen können fast alle Systeme sein. Teilweise müssen Prozessoren
> ausgetauscht werden.
IMG Bild: Tech-Unternehmen waren davon ausgegangen, dass von den Prozessoren selbst keine Gefahr drohe
Santa Clara dpa | Durch eine neu entdeckte Sicherheitslücke in
Computerchips von Milliarden Geräten können auf breiter Front vertrauliche
Daten abgeschöpft werden. Forscher demonstrierten, dass es möglich ist,
sich Zugang zum Beispiel zu Passwörtern, Krypto-Schlüsseln oder
Informationen aus Programmen zu verschaffen. Die Tech-Firmen sind dabei,
die seit zwei Jahrzehnten bestehende Lücke mit Software-Aktualisierungen zu
stopfen. Komplett kann das Problem aber nur durch einen Austausch der
Prozessoren beheben.
Die Schwachstelle liegt in einem Verfahren, bei dem Chips möglicherweise
später benötigte Informationen schon im voraus abrufen, um Verzögerungen zu
vermeiden. Diese als „speculative execution“ bekannte Technik wird seit
Jahren branchenweit eingesetzt. Damit dürfte eine Masse von
Computer-Geräten mit Chips verschiedenster Anbieter zumindest theoretisch
bedroht sein. Das Schlimme an der Schwachstelle ist, dass alle auswendigen
Sicherheitsvorkehrungen um den Prozessor herum durch den Design des Chips
selbst durchkreuzt werden könnten.
Sie wüssten nicht, ob die Sicherheitslücke bereits ausgenutzt worden sei,
erklärten die Forscher. Man würde es wahrscheinlich auch nicht feststellen
können, denn die Attacken hinterließen keine Spuren in traditionellen
Log-Dateien.
Der Branchenriese Intel erklärte, es werde gemeinsam mit anderen Firmen an
Lösungen gearbeitet, bezweifelte aber zugleich, dass die Schwachstelle
bereits für Attacken benutzt wurde. Der kleinere Intel-Konkurrent AMD, der
von den Entdeckern der Sicherheitslücke ebenfalls genannt wurde, bestritt,
dass seine Prozessoren betroffen seien. Der Chipdesigner Arm, dessen
Prozessor-Architektur in Smartphones dominiert, bestätigte, dass einige
Produkte anfällig dafür seien.
Die IT-Sicherheitsstelle der US-Regierung, CERT, zeigte sich kategorisch,
was eine Lösung des Problems angeht: „Die Prozessor-Hardware ersetzen.“ Die
Sicherheitslücke gehe auf Design-Entscheidungen bei der Chip-Architektur
zurück. „Um die Schwachstelle komplett zu entfernen, muss die anfällige
Prozessor-Hardware ausgetauscht werden.“
## Seit längerer Zeit bekannt
Die komplexe Sicherheitslücke war von den Forschern bereits vor rund einem
halben Jahr entdeckt worden. Die Tech-Industrie arbeitete seitdem im
Geheimen daran, die Schwachstelle mit Software-Updates soweit möglich zu
schließen, bevor sie publik wurde. Die Veröffentlichung war für den 9.
Januar geplant. Die Unternehmen zogen sie auf Mittwoch vor, nachdem
Berichte über eine Sicherheitslücke in Intel-Chips die Runde machten. Der
Aktienkurs von Intel sackte ab, der Konzern sah sich gezwungen,
„irreführenden Berichten“ zu widersprechen und betonte, es handele sich um
ein allgemeines Problem.
Die Forscher, die unter anderem bei Google arbeiten, beschrieben zwei
Attacken auf Basis der Schwachstelle. Bei der einen, der sie den Namen
„Meltdown“ gaben, werden die grundlegenden Trennmechanismen zwischen
Programmen und dem Betriebssystem ausgehebelt. Dadurch könnte böswillige
Software auf den Speicher und damit auch auf Daten anderer Programme und
des Betriebssystems zugreifen. Für diese Attacke ist den Entdeckern der
Schwachstelle zufolge nahezu jeder Intel-Chip seit 1995 anfällig – sie kann
aber mit Software-Updates gestopft werden.
Die zweite Attacke, „Spectre“, lässt zu, dass Programme einander
ausspionieren können. „Spectre“ sei schwerer umzusetzen als „Meltdown“ –
aber es sei auch schwieriger, sich davor zu schützen. Man könne lediglich
bekannte Schadsoftware durch Updates stoppen. Ganz sei die Lücke aber nicht
zu stopfen. Von „Spectre“ seien „fast alle Systeme betroffen: Desktops,
Laptops, Cloud-Server sowie Smartphones“, erklärten die Forscher. Man habe
die Attacke auf Chips von Intel und AMD sowie Arm-Designs nachgewiesen.
## Leistungseinbußen befürchtet
Die Software-Maßnahmen gegen die Sicherheitslücken dürften zwar die
Leistung der Prozessoren beeinträchtigen, räumte Intel ein. In den meisten
Fällen werde der Leistungsabfall aber bei maximal zwei Prozent liegen. In
ersten Berichten war noch von bis zu 30 Prozent die Rede.
Besonders brenzlig werden könnte das Problem zumindest theoretisch in
Server-Chips, auf denen sich die Wege vieler Daten kreuzen. Die
Cloud-Schwergewichte Google, Microsoft und Amazon erklärten, dass ihre
Dienste mit Software-Updates abgesichert worden seien.
In den vergangenen Jahren hatten die Tech-Unternehmen ihre Geräte und
Dienste unter anderem mit Verschlüsselung geschützt – gingen dabei jedoch
davon aus, dass von den Prozessoren selbst keine Gefahr droht.
4 Jan 2018
## TAGS
DIR IT-Sicherheit
DIR Software
DIR Hacker
DIR Apple
DIR Wlan
DIR Marieluise Beck
## ARTIKEL ZUM THEMA
DIR Sicherheitslücke bei Computerchips: Strengere Regeln für die IT-Branche
Rechner, Smartphones und Tablets gefährdet: Datenschutzexperten sind
alarmiert. Grüne fordern europaweite Regeln für die Hersteller.
DIR Sicherheitslücken bei Intel und Co: Gefährliche Kernschmelze
Sicherheitslücken bei Prozessoren: Hacker könnten sich Passwörter und
andere Daten von Milliarden Rechnern verschafft haben.
DIR IT-Experte über Softwarefehler bei Apple: „Nicht der erste Fehler“
Apples Betriebssystem für Desktop-Computer enthielt eine Sicherheitslücke.
Ein IT-Experte erklärt, wie solche Fehler gefunden und gemeldet werden.
DIR Forscher finden Sicherheitslücke: WLAN-Verschlüsselung mangelhaft
Belgische Sicherheitsforscher haben eine Sicherheitslücke im
Verschlüsselungsprotokoll WPA2 entdeckt. Es gebe keinen Anlass für
Hysterie, beschwichtigen Experten.
DIR Gehackte Daten aus dem Bundestag: Im Visier der Cyberkrieger
2015 kam es zum bislang größten Hacker-Angriff auf den Bundestag. Viele
Dokumente wurden gestohlen. Vor der Wahl könnte das gefährlich werden.