Sicherheitslücken Spectre und Meltdown BSI rät zu Updates wegen Prozessoren-Fehlern

Chiphersteller und Betriebssystem-Lieferanten sind in Aufregung. Der Grund: Sicherheitslücken in Prozessoren. Die deutsche IT-Sicherheitsbehörde rät zu raschen Updates – doch nicht alle Probleme lassen sich so lösen.

Die Sicherheitslücken betreffen PCs und auch mobile Geräte. Quelle: dpa

BerlinDas Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Computernutzern wegen der entdeckten Schwachstellen bei Prozessoren dazu, Sicherheitsupdates zügig zu installieren. Dies gelte auch für mobile Geräte, erklärte das BSI am Donnerstag. Die Behörde rief zudem die Anbieter von Computerdiensten dazu auf, ihre Anwendungen schnellstmöglich abzusichern. Die Chiphersteller müssten dafür sorgen, die Sicherheitslücken zu beheben.

Experten hatten zuvor zwei Schwachstellen auf Mikroprozessoren („Meltdown“ beziehungsweise „Spectrum“ genannt) entdeckt, die in fast allen IT-Geräten verbaut sind. Dem BSI sei derzeit kein Fall bekannt, in dem diese Lücken aktiv ausgenutzt worden seien, erklärte die Behörde weiter. Der Fall sei aber ein Beleg dafür, wie wichtig es sei, Aspekte der IT-Sicherheit schon bei der Produktentwicklung angemessen zu berücksichtigen, sagte BSI-Präsident Arne Schönbohm.

An der Aufdeckung der Schwachstellen waren auch Forscher der Technischen Universität Graz beteiligt. Durch die Lücke könnten Angreifer vertrauliche Daten auslesen. „Wir waren selbst schockiert, dass das funktioniert“, sagte Michael Schwarz von der TU Graz dem Tagesspiegel. Durch die Schwachstelle könnten alle Daten ausgelesen werden, die gerade im Computer verarbeitet werden. „Wir können im Prinzip alles mitlesen, was sie gerade eintippen“, so Schwarz. Angreifer könnten so auch an Daten vom Onlinebanking oder gespeicherte Passwörter kommen.

„Angreifer müssen dazu allerdings erst auf ihren Computer gelangen“, schränkt Schwarz ein. Wer die normalen Sicherheitshinweise befolge und keine unbekannten Anhänge öffnet oder auf dubiose Links klicke, für den bestehe keine unmittelbare Gefahr. „Man sollte jetzt nicht in Panik geraten und sich so verhalten, wie sonst auch“, sagt Schwarz.

Die Sicherheitslücke Meltdown

  • Benutzeranwendungen und das Betriebssystem sind eigentlich grundsätzlich voneinander isoliert. „Meltdown“ durchbricht diese Isolierung. Dieses Angriffsszenario ermöglicht es einem Programm, auf den Speicher und damit auch auf die geheimen Daten anderer Programme und des Betriebssystems zuzugreifen.
  • Wenn der Computer über einen betroffenen Prozessor verfügt und ein nicht gepatchtes Betriebssystem verwendet, ist es nicht sicher, mit sensiblen Informationen zu arbeiten, denn sie könnten durchsickern. Dies gilt sowohl für Personal Computer als auch für die Cloud-Infrastruktur. Gegen „Meltdown“ kann ein Software-Update helfen. Nach bisherigen Erkenntnissen sind nur Intel-Chips betroffen - aber fast alle seit 1995.

Die Sicherheitslücke Spectre

  • Das Angriffsszenario „Spectre“ durchbricht die Abschirmung zwischen verschiedenen Anwendungen. Es ermöglicht einem Angreifer, auch fehlerfreie Programme zu manipulieren, damit sie ihre sensiblen Daten preisgeben.
  • Paradoxerweise erhöhen die bislang verwendeten Sicherheitsüberprüfungen sogar die Angriffsfläche und können Anwendungen anfälliger für „Spectre“ machen. Allerdings ist dieses Angriffsszenario schwerer auszunutzen als „Meltdown“. Gleichzeitig ist es aber auch komplizierter, ein allgemeines Gegenmittel gegen dieses Angriffsszenario zu entwicklen. Immerhin ist möglich, die Ausführung von bereits bekanntgewordenen Schadprogrammen, die auf „Spectre“ basieren, durch Software-Patches zu verhindern.
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%