Wie gefährlich die Chip-Sicherheitslücken wirklich sind

Mit Meltdown und Spectre wurden Mitte des vergangenen Jahres zwei Sicherheitslücken entdeckt, die direkt den Prozessor des Computers angreifen. Betroffen sind alle verfügbaren Prozessoren und somit auch alle verfügbaren Computer. Egal ob PCs, Smartphones oder Tablets. Wie man sich schützt und worauf man achten sollte, wenn man sich demnächst einen neuen Rechner kaufen möchte.

Sendungshinweis

„Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Ö1

Die kürzlich entdeckten Sicherheitslücken bei Computerprozessoren haben es in sich. Betroffen sind Computer, die ab 1995 produziert wurden. Privat-PCs, Firmenrechner, Server und Notebooks ebenso wie Smartphones oder Tablets. Damit dürften also tatsächlich alle Anwender auf die eine oder andere Weise von den Schwachstellen mit Namen Meltdown und Spectre betroffen sein, sagt der Sicherheitsforscher Daniel Gruss von der Technischen Universität (TU) Graz. Daniel Gruss gehört mit seinen Kollegen zu den Entdeckern von Meltdown und Spectre.

Alle persönlichen Daten könnten ausgelesen werden

Cyberkriminelle, die sich etwa über eine Schadsoftware Zugang zu einem Rechner verschaffen, können durch Ausnützen der Schwachstellen erheblichen Schaden verursachen. Es können private Fotos kopiert und persönliche Passwörter ausgelesen werden. Grundsätzlich vermag man an alle sensiblen Daten, die auf dem Rechner gespeichert sind, heran kommen, so Gruss. Auf diese Weise könnten etwa auch Geschäftsgeheimnisse ausspioniert werden.

Die Wahrscheinlichkeit, dass der private PC oder das persönliche Smartphone zum Angriffsziel von Hackern wird, mag gering sein. Man sollte aber bedenken, dass mittlerweile fast alle Computeranwender persönliche Daten auf fremden Rechnern abgelegt haben. Sei es auf Cloudservern, in Onlineshops oder beim Onlinebanking. Grundsätzlich seien alle Rechner angreifbar, die noch nicht über die notwendigen Sicherheitsupdates verfügen, so Gruss.

Prozessor

Getty Images/Catalin Lungu /Eyeem

Alle Prozessoren am Markt weisen die erheblichen Schwachstellen auf

Experte: Cloudserver dürften wieder sicher sein

Grund zu übertriebener Panik besteht aus Sicht des Experten allerdings keine. Banken und Onlineshops würden ihre Systeme mit den mittlerweile verfügbaren Updates ausrüsten. Auch Cloudserver wurden aktualisiert und dürften - soweit möglich – sicher sein. Eine eventuelle Gefahr könnte allerdings von kleinen Anbietern oder Vereinen ausgehen, die Ihre Systeme nicht grundsätzlich auf dem neusten Stand halten, sei es aus Kostengründen oder aus Sorglosigkeit.

Auch Privatanwendern rät der Sicherheitsexperte der TU-Graz daher dringend dazu, verfügbare Sicherheitsupdates umgehend zu installieren. Wer das in der momentanen Situation nicht tut, handelt nachlässig, so Gruss. Besonders gefährdet seien Systeme, auf denen alte Betriebssysteme installiert sind. Rechner, auf denen noch Windows Vista oder auch alte Linux-Ubuntu-Systeme laufen, sollten unbedingt sofort aktualisiert werden. Wer noch Windows XP auf seinem Rechner installiert hat - für dieses System gibt es keine Sicherheitsupdates mehr - sollte wohl überlegen, überhaupt gleich einen neuen Computer zu kaufen, so der Experte.

Updates werden automatisch bereitgestellt

Viele Hersteller, darunter auch der Chip-Hersteller Intel, haben mittlerweile Updates herausgegeben. Mit zweifelhaften Resultaten. Sowohl Intel als auch Microsoft mussten die Verteilung der wohl überhastet programmierten Aktualisierungen stoppen. Bei manchen AMD-Prozessoren führte das Microsoft Update zu Abstürzen, der Intel-Patch ließ einige Computer willkürlich neu starten. Die Empfehlung, Updates zu installieren, sobald sie vom jeweiligen Plattform-Betreiber bereitgestellt werden, bleibt dennoch aufrecht. Da man davon ausgeht, dass viele Privatanwender nicht einschätzen können, ob ihr Prozessor betroffen ist oder nicht, raten die Experten, diese Einschätzung den Geräteherstellern beziehungsweise Distributoren wie Microsoft oder Apple zu überlassen.

Auf eine große Update-Suche muss man sich also nicht begeben. Alle wichtigen Sicherheitsupdates sollten automatisch vom Betriebssystem angeboten werden. Sei es Windows, Mac OS, Linux, IOS oder Android. Diese können die Probleme der Hardware zwar nicht beseitigen, aber sozusagen umgehen. Das bedeutet allerdings, dass es zu Leistungseinbußen kommen kann. Privatanwender sollten davon jedoch kaum etwas mitbekommen, meint Daniel Gruss, die Leistungseinbußen sollten nur bei sehr alten Rechnern oder Großrechnern wie Servern wirklich zum Tragen kommen.

„Neue Prozessortechnik frühestens in fünf Jahren“

Tatsächlich beseitigen könnte man die Probleme nur, wenn die betroffenen Prozessoren getauscht würden. Dies sei momentan jedoch lediglich eine theoretische Option, so Gruss. Würde man die Sicherheitsprobleme dadurch beseitigen, indem man die entsprechenden Hardware-Features ausschaltet, die dafür verantwortlich sind, dann wären die Rechner etwa so schnell wie vor zwanzig Jahren. Die Computer wären also viel zu langsam, um damit ernsthaft arbeiten zu können. Sie wären kaum noch für die Anforderungen des modernen Internets geeignet, meint der Sicherheitsspezialist der TU Graz.

Der Experte geht davon aus, dass man derweil wohl mit Softwarelösungen um das Problem „herumarbeiten“ werde. Die Herausforderung für Computerhersteller bestünde in den kommenden Monaten und Jahren darin, Hardwarebauteile zu entwickeln, bei denen es zu keinen Geschwindigkeitseinbußen durch die Updates mehr kommen kann. Bis tatsächlich eine neue Prozessortechnologie auf den Markt kommt, können fünf Jahre oder mehr vergehen, meint Gruss.

Konsumenten sollten Verjährungsverzicht vereinbaren

Das bedeutet aber, dass momentan de facto mangelhafte Geräte verkauft werden. Juristisch sei das Ganze zwar noch Neuland, sollten die Probleme jedoch wider Erwarten nicht zufriedenstellend gelöst werden, könnte es sein, dass man Gewährleistungsansprüche gegenüber dem Händler hat, meint Help-Jurist Sebastian Schumacher. Die Gewährleistungsfrist beträgt zwei Jahre. Wer also vor weniger als zwei Jahren einen Computer gekauft hat, der sollte versuchen mit seinem Händler einen so genannten Verjährungsverzicht zu vereinbaren, so der Help-Jurist.

Schumacher rät dazu, einen Verjährungsverzicht für etwa ein halbes Jahr abzuschließen. Innerhalb dieses Zeitraums sollte klar sein, ob man den Mangel durch die derzeit angedachten Lösungen auf zufriedenstellende Weise aus der Welt schaffen könne, oder ob hier ein unbehebbarer Mangel vorliegt. Sollte sich herausstellen, dass man ein Produkt gekauft hat, welches ein erhebliches Sicherheitsrisiko beinhaltet, könnte man die Gewährleistungsansprüche dann weiter verfolgen, so Schumacher.

WKO: Fehler darf nicht am Handel hängen bleiben

Der österreichische Computerhandel stehe seinen Kunden in jedem Fall beratend zur Verfügung, sagt Ulrich Fuchs, Obmann der Sparte Maschinen- und Technologiehandel in der Wirtschaftskammer. Sollten Gewährleistungsansprüche an den Handel gerichtet werden, empfiehlt die Kammer ihren Mitgliedern, mittels einer Streitverkündigung an ihren Vorlieferanten umgehend juristische Schritte einzuleiten. Es könne nicht sein, dass der Handel hier unverschuldet zum Handkuss kommt, so Fuchs.

Paul Urban Blaha, help.ORF.at

Mehr zum Thema: