Düsseldorf Es ist eine der gravierendsten Sicherheitslücken, die jemals in Computerchips gefunden wurde. Am Mittwoch wurden die beiden Schwachstellen namens „Meltdown“ und „Spectre“ öffentlich. Was Nutzer jetzt wissen müssen.
Worum geht es?
IT-Sicherheitsexperten haben zwei schwerwiegende Sicherheitsprobleme in praktisch allen Mikroprozessoren entdeckt, die derzeit in PCs, Smartphones, Tablets und Servern zum Einsatz kommen. Diese ermöglichen Kriminellen unter Umständen, Hackern und Spionen, Daten zu stehlen, die im Speicher des Gerätes liegen – von Passwörtern über E-Mails bis hin zu Dokumenten.
Was genau ist das Problem?
Das Problem resultiert aus dem Design der Prozessoren. In den 1990er Jahren, als Rechenleistung ein wichtiges Verkaufsargument für PCs und Server war, erfanden die Hersteller ein Verfahren, um die Datenverarbeitung zu beschleunigen, „speculative execution“ genannt. Dabei ruft der Chip schon vorab Informationen ab, die er womöglich später benötigt – und spart so jedes Mal ein paar Millisekunden.
Rund 20 Jahre nach der Entwicklung des Verfahrens haben IT-Sicherheitsforscher jedoch eine Möglichkeit gefunden, darüber Daten abzuschöpfen.
Wie können Angreifer die Lücken ausnutzen?
Das Risiko ist besonders groß, wenn sich mehrere Nutzer einen Computer teilen – zum Beispiel beim Cloud Computing. Unternehmen wie Amazon, Microsoft, IBM und Google vermieten Rechenleistung, Speicher und Programme übers Internet. Dabei speichern sie üblicherweise die Daten mehrerer Nutzer auf einem Server, um eine hohe Auslastung zu gewähren.
Dieses Prinzip könnte es Datendieben und Spionen ermöglichen, die Sicherheitslücken auszunutzen. Ein Szenario: Ein Hacker mietet sich Speicherplatz bei einem Dienstleister, wie es viele Entwickler und Geschäftskunden tun, und verschafft sich unbemerkt Zugriff auf die Daten anderer Nutzer. Allerdings haben die Unternehmen die Probleme nach eigenen Angaben weitgehend behoben.
Bei PCs und Smartphones geht es um jeweils einzelne Nutzer, daher sieht die Lage anders aus. Wollen Hacker die Sicherheitslücke ausnutzen, müssen sie zunächst Software auf ein Gerät bekommen – zum Beispiel indem sie Spam mit Links zu präparierten Websites verschicken. Klickt der Nutzer darauf, installiert sich im Hintergrund ein schädliches Programm. In einem solchen Fall könnten die Angreifer aber wahrscheinlich ohnehin Informationen ausschleusen oder die Systeme manipulieren, auch ohne die Schwachstelle der Prozessoren auszunutzen.
Welche Produkte sind betroffen?
Ob in PCs, Smartphones, Tablets oder Servern: Praktisch alle Mikroprozessoren, die derzeit im Einsatz sind, sind zumindest theoretisch anfällig für Cyberangriffe. Experten haben zwei Sicherheitslücken entdeckt – Meltdown und Spectre genannt –, über die Hacker in die Systeme eindringen können, um Daten zu stehlen, die auf dem Computer verarbeitet werden. Dabei kann es sich um Passwörter, Fotos oder Dokumente handeln. Das erklärt, warum mit Intel, Microsoft, Google und Apple einige der größten Technologiekonzerne der Welt mit Hochdruck daran arbeiten, die Probleme zu beheben oder zumindest die Risiken zu reduzieren.
Was Betroffene tun können
Wie kann ich feststellen, ob ich betroffen bin?
Generell gilt: Betroffen bedeutet erst einmal nur, dass ein Gerät rein theoretisch angegriffen werden könnte. Sowohl die Sicherheitsforscher, die die Lücken gefunden haben, als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben bisher Anhaltspunkte dafür, dass die Lücken von Kriminellen oder Spionen bereits ausgenutzt worden ist. Weil aber die Sicherheitslücken so tief im System bestehen, ist es in diesem Fall auch schwieriger, Attacken nachzuweisen.
Wenn Sie die Betriebssysteme Android, MacOS, Windows oder Linux nutzen, sind Sie wahrscheinlich betroffen. Wer es genauer wissen möchte: Die Experten, die die Sicherheitslücken entdeckt haben, haben eine Informationsseite bereit gestellt, auf der sich auch die ausführlichen Forschungspapiere herunterladen lassen.
Was kann ich tun, falls ich betroffen bin?
Updaten, updaten, updaten. Das gilt nicht nur in diesem Fall, sondern auch generell. Die Unternehmen arbeiten kontinuierlich daran, ihre Systeme zu verbessern. Doch damit ihre Ergebnisse auch bei den Kunden ankommen, müssen sie die Updates auch installieren. Falls Sie bei Ihnen nicht automatisch angezeigt werden, suchen Sie danach in der Systemsteuerung. Wie das BSI ausdrücklich betont, gilt das auch für mobile Geräte.
Dabei gilt allerdings die wichtige Regel: Klicken Sie nicht direkt auf alles, was nach Update aussieht. Einige Kriminelle tarnen ihre Schadsoftware als vermeintliches Sicherheitsupdate. Deswegen überprüfen Sie genau, ob es dem Aussehen vorheriger Updates entspricht, und fragen im Zweifelsfall einen Experten oder rufen Sie die Hotline an.
Die Updates könnten dazu führen, dass sich Ihr System verlangsamt. Allerdings ist das laut Sicherheitsexperten eher ein Problem für Cloud-Anbieter oder Betreiber von großen Datenzentren. Bei privaten Endkunden ist demnach wohl kaum ein Unterschied zu merken. Zudem wird immer weiter an der Verbesserung des Patches, also des Updates, das die Lücke schließt, gearbeitet, was wahrscheinlich dazu führen wird, das sich auch die Geschwindigkeit der Prozessoren wieder verbessert.
Kann so etwas häufiger passieren?
Ja. IT-Experten werden nicht müde zu betonen, dass es keine hundertprozentige Sicherheit gibt. Die Systeme sind zu komplex, um im Vorhinein alle Lücken auszuschließen. Sie werden oftmals schlicht nicht als solche erkannt, weil es bis zu dem Zeitpunkt keine Angriffe dieser Art gab. Gegen diese Zero-Day genannten Lücken gibt es deswegen auch kaum Möglichkeiten, sich zu verteidigen. Der beste Weg ist es, die Systeme von nicht-kriminellen Hackern testen zu lassen und die Sicherheitslücke zu schließen, bevor sie jemand anderes findet. So war es auch in diesem Fall: Die Forscher haben die Unternehmen bereits vor gut einem halben Jahr über ihre Funde informiert, damit die an Lösungen arbeiten können, bevor Kriminelle davon erfahren.
