Chip-Sicherheitslücke trifft Milliarden Geräte

Ganze Generationen von Computerchips sind anfällig für Attacken, mit denen Passwörter und Kryptoschlüssel gestohlen werden können. Die Tech-Branche beeilt sich, Computer, Smartphones und Cloud-Server sicherer zu machen. Zum Teil müssen aber die Chips ausgetauscht werden. Alle bedeutenden Hersteller sind betroffen.

Durch eine neu entdeckte Sicherheitslücke in Computerchips von Milliarden Geräten können vertrauliche Daten abgeschöpft werden. Forscher demonstrierten, dass es möglich ist, sich Zugang zu Passwörtern, Krypto-Schlüsseln oder Informationen aus Programmen zu verschaffen. Die Tech-Firmen sind dabei, die seit zwei Jahrzehnten bestehende Lücke mit Software-Aktualisierungen zu stopfen. Komplett kann das Problem aber nur durch einen Austausch der Prozessoren beheben.

Sicherheitsvorkehrungen könnten durchkreuzt werden

Die Schwachstelle liegt in einem Verfahren, bei dem Chips möglicherweise später benötigte Informationen schon im voraus abrufen, um Verzögerungen zu vermeiden. Diese als „speculative execution“ bekannte Technik wird seit Jahren branchenweit eingesetzt. Damit dürfte eine Masse von Rechnern mit Chips verschiedenster Anbieter zumindest theoretisch bedroht sein. Das Schlimme an der Schwachstelle ist, dass alle Sicherheitsvorkehrungen durch das Design des Chips selbst durchkreuzt werden könnten.

Sie wüssten nicht, ob die Sicherheitslücke bereits ausgenutzt worden sei, erklärten die Forscher. Man würde es wahrscheinlich auch nicht feststellen können, denn die Attacken hinterließen keine Spuren in traditionellen Log-Dateien.

US-Behörde: Chip-Hardware muss getauscht werden

Der Branchenriese Intel erklärte, es werde gemeinsam mit anderen Firmen an Lösungen gearbeitet, bezweifelte aber zugleich, dass die Schwachstelle bereits für Attacken benutzt wurde. Der kleinere Intel-Konkurrent AMD, der von den Entdeckern der Sicherheitslücke ebenfalls genannt wurde, bestritt, dass seine Prozessoren betroffen seien. Der Chipdesigner Arm, dessen Prozessor-Architektur in Smartphones dominiert, bestätigte, dass einige Produkte anfällig dafür seien.

Die IT-Sicherheitsstelle der US-Regierung, CERT, zeigte sich kategorisch, was eine Lösung des Problems angeht. Man müsse die betroffene Prozessor-Hardware komplett ersetzen, um die Schwachstelle zu entfernen, so die Behörde.

Sicherheitslücke seit sechs Monaten bekannt

Die komplexe Sicherheitslücke war von den Forschern bereits vor rund einem halben Jahr entdeckt worden. Die Tech-Industrie arbeitete seitdem im Geheimen daran, die Schwachstelle mit Software-Updates soweit möglich zu schließen, bevor sie publik wurde. Die Veröffentlichung war für den neunten Jänner geplant. Die Unternehmen zogen diese nun auf Mittwoch vor, nachdem Berichte über eine Sicherheitslücke in Intel-Chips die Runde machten. Der Aktienkurs von Intel sackte ab, der Konzern sah sich gezwungen, „irreführenden Berichten“ zu widersprechen und betonte, es handele sich um ein allgemeines Problem.

Meltdown und Spectre

Die Forscher, die unter anderem bei Google arbeiten, beschrieben zwei Attacken auf Basis der Schwachstelle. Bei der einen, der sie den Namen „Meltdown“ gaben, werden die grundlegenden Trennmechanismen zwischen Programmen und dem Betriebssystem ausgehebelt. Dadurch könnte böswillige Software auf den Speicher und damit auch auf Daten anderer Programme und des Betriebssystems zugreifen. Für diese Attacke ist den Entdeckern der Schwachstelle zufolge nahezu jeder Intel-Chip seit 1995 anfällig - sie kann aber mit Software-Updates gestopft werden.

Alle großen Chip-Hersteller betroffen

Die zweite Attacke, „Spectre“, lässt zu, dass Programme einander ausspionieren können. „Spectre“ sei schwerer umzusetzen als „Meltdown“ - aber es sei auch schwieriger, sich davor zu schützen. Man könne lediglich bekannte Schadsoftware durch Updates stoppen. Ganz sei die Lücke aber nicht zu stopfen. Von „Spectre“ seien „fast alle Systeme betroffen: Desktops, Laptops, Cloud-Server sowie Smartphones“, erklärten die Forscher. Man habe die Attacke auf Chips von Intel und AMD sowie Arm-Designs nachgewiesen.

Die Software-Maßnahmen gegen die Sicherheitslücken dürften zwar die Leistung der Prozessoren beeinträchtigen, räumte Intel ein. In den meisten Fällen werde der Leistungsabfall aber bei maximal zwei Prozent liegen. In ersten Berichten war noch von bis zu 30 Prozent die Rede.

Verfügbare Updates sofort installieren

Nach Bekanntwerden der Sicherheitslücken hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Nutzern zum Installieren von Updates geraten. Privatanwendern und Unternehmen werde empfohlen, Sicherheitspatches für Betriebssysteme und insbesondere Internetbrowser einzuspielen, sobald diese von den Herstellern zur Verfügung gestellt würden, erklärte das BSI. Auch für mobile Geräte wie Smartphones sollten Sicherheitsupdates unmittelbar installiert werden. Microsoft hat einen entsprechenden Patch mittlerweile zur Verfügumg gestellt. Apple will in den kommenden Tagen einen Patch herausgeben.

Link

• Microsoft Support

Mehr zum Thema:

• Sind User-ID und Passwort noch zeitgemäßer Datenschutz?