Eine Expertengruppe hat eine Sicherheitslücke in Computer-Chips der High-Tech-Unternehmen „Intel“, AMD und ARM aufgedeckt, die die Datensicherheit von Smartphones und Computer gefährden kann.
Nun erklären die Chips-Hersteller und Internet-Riesen, welche Geräte davon betroffen sind, und versprechen Gegenmaßnahmen. Dies berichteten deutsche Medien. Die entdeckten Sicherheitsmängel können Hackern den Zugang zu vertraulichen Daten, darunter auch zu Passwörtern und Krypto-Schlüsseln in Handys, Smartphones, PCs und anderen elektronischen Geräten ermöglichen. Die Cloud-Server, auf denen die Daten von vielen Menschen gespeichert werden, sind auch gefährdet.
„Handys, PCs, alles wird davon betroffen sein, aber die Auswirkungen werden von Produkt zu Produkt unterschiedlich sein“, sagte Intel-Chef Brian Krzanich dem TV-Sender CNBC am Mittwoch.
Die Schwachstelle ist auf ein Verfahren zurückzuführen, das als „speculative execution“ (zu Dt. „spekulative Ausführung“) bekannt ist und seit Jahren eingesetzt wird. Bei dem Verfahren rufen die Computer-Chips die Informationen, die sie später brauchen werden, im Voraus ab, um Verzögerungen zu vermeiden.
Die Sicherheitslücke wurde bereits vor einem halben Jahr von dem Google-Team „Project Zero“ zusammen mit Forschern aus Universitäten und Experten aus der Industrie entdeckt. Daniel Gruss von der Technischen Universität in Graz, der bei der Untersuchung tätig war, bezeichnete das Problem im Gespräch mit Reuters als vermutlich einen der schwersten Prozessoren-Fehler, der je gefunden worden sei.
Die Experten nannten zwei Varianten des Angriffs auf elektronische Geräte, die aufgrund des entdeckten Problems genutzt werden könnten. Erstens könnten grundlegenden Trennmechanismen zwischen Programmen und dem Betriebssystem ausgehebelt werden, wodurch böswillige Software auf den Speicher und auf Daten anderer Programme und des Betriebssystems zugreifen. Diesen Typ der Attacke nannten sie „Meltdown“ (zu dt. „Zusammenbruch“ oder „Kernschmelze“). Ein anderer Typ der Attacke, „Spectre“ genannt (zu. Dt. „Spuk, Gespenst“) lasse zu, dass Programme einander ausspionieren könnten. Es sei zwar schwieriger, diese Art des Angriffs umzusetzen, aber auch schwieriger, sich davor zu schützen. Von „Spectre“ seien fast alle Systeme betroffen und Computer-Chips, die seit 1995 produziert worden seien.
Nachdem die Sicherheitslücke aufgedeckt worden war, arbeiteten die Tech-Unternehmen an der Beseitigung der Missstände. Eine entsprechende Veröffentlichung der Branchenriesen in Bezug auf den Sicherheitsfehler war für den 9. Januar geplant worden, wurde aber auf den Mittwoch vorgezogen, nachdem Berichte über die Sicherheitslücke im Netz kursierten.
Das Branchenschwergewicht „Intel“ bezweifelte, dass die Schwachstelle bereits ausgenutzt worden sei. Da berichtet worden sei, die Sicherheitslücke sei nur für die Intel-Produktion eigen, habe das Unternehmen erklären müssen, dass die Lücke ein allgemeines Problem sei.
Die Intel-Konkurrenz AMD bestritt die Behauptung der Forscher, ihre Prozessoren seien auch von der entdeckten Sicherheitslücke betroffen. Der Chipdesigner ARM, dessen Prozessorarchitektur in Smartphones dominiert, bestätigte dagegen, dass einige Produkte anfällig dafür seien: Entsprechende Updates seien bereits an Handyhersteller und andere Kunden übermittelt worden.
Software-Updates sollen auch Google-Smartphones Nexus und Pixel sowie Handys anderer Hersteller mit dem Google-Betriebssystem Android geschützt haben. Auch Nutzer des E-Mail-Dienstes Gmail könnten ruhig bleiben. Diejenigen aber, die Chromebook-Laptops, den Internetbrowser Chrome und die Google-Clouddienste nutzen, müssten mit einem eigenen Betriebssystem Updates installieren.
Apple und Microsoft haben bereits erste Updates für ihre Computer-Betriebssysteme veröffentlicht.
Die Software-Sicherheitsmaßnahmen dürften zwar die Leistung der Prozessoren beeinträchtigen, räumte Intel ein. In den meisten Fällen werde der Leistungsabfall aber bei maximal zwei Prozent liegen. Zunächst handele es sich um eine Leistungsreduzierung von bis zu 30 Prozent.
