Operation am offenen Herzen
Computer-Prozessoren sind das Herzstück von PCs und Smartphones. Nun wurden jedoch schwere Sicherheitslücken bei den Chips bekannt. Anbieter arbeiten fieberhaft an Lösungen, in den USA wird bereits ein Komplettaustausch diskutiert.
MOUNTAIN VIEW Bei Millionen Computer-Chips gibt es offenbar schwere Sicherheitslücken. Wir beantworten die wichtigsten Fragen. Worum geht es bei den Problemen und warum ist die Sicherheitslücke so gefährlich? In den vergangenen Jahren wurde viel unternommen, um Computer, Smartphones und Tablets sicherer zu machen. Doch nun wurde bekannt, dass Forscher ausgerechnet bei Prozessoren eine seit zwei Jahrzehnten bestehende Sicherheitslücke gefunden haben. Prozessoren sind das Herzstück vieler technischen Geräte. In den Chips wird die Rechenarbeit erledigt, weshalb Programme ihnen vertrauen müssen. Das Schlimme an der Schwachstelle ist, dass alle aufwendigen Sicherheitsvorkehrungen um den Prozessor herum durch das Design des Chips selbst durchkreuzt werden könnten. Forscher demonstrierten, dass es so möglich ist, sich etwa Zugang zu Passwörtern, KryptoSchlüsseln oder Informationen aus Programmen zu verschaffen. Wieso sind solche Angriffe möglich? Prozessoren wurden seit Jahrzehnten darauf getrimmt, immer schneller zu werden. Eine der Ideen dabei war, möglicherweise später benötigte Daten schon vorher abzurufen, damit es nachher keine Verzögerungen gibt. Wie sich jetzt herausstellt, kann dieses Verfahren jedoch ausgetrickst werden, so dass die Daten abgeschöpft werden können. Welche Chips sind betroffen? Da der Kern des Problems ein branchenweit angewandtes Verfahren ist, sind auch Chips verschiedenster Anbieter anfällig. Es geht also weltweit um Milliarden Geräte. Beim Branchenriesen Intel sind es laut den Forschern, die das Problem entdeckt haben, potenziell fast alle Prozessoren seit 1995. Aber auch einige Prozessoren mit Technologie des Chip-Designers Arm, der in Smartphones dominiert, sind darunter. Der Intel-Konkurrent AMD erklärt zwar, seine Chips seien dank ihrer technischen Lösungen sicher. Die Forscher betonten aber, sie hätten auch diese attackieren können. Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von „Prozessoren verschiedener Hersteller“. Gab es schon Schäden durch diese Schwachstellen? Das ist nicht ganz klar, da Attacken den Forschern zufolge keine Spuren in den bisher gängigen sogenannten Log-Dateien hinterlassen. Angriffe wären allerdings sehr aufwendig. Intel geht davon aus, dass es bisher keine Attacken gegeben hat. Auch Microsoft teilte mit, dass man keine Informationen habe, dass diese Schwachstellen ausgenutzt wurden. Langfristig könnten die Prozessoren durch die zusätzlich notwendigen Sicherheitsmaßnahmen jedoch etwas langsamer werden – laut Aussage von Intel jedoch nicht, wie in Medienberichten behauptet, um bis zu 30 Prozent, sondern lediglich um bis zu zwei Prozent. Wie können sich Nutzer schützen? Wer seinen PC nicht vorübergehend vom Internet abklemmen will, hat im Grunde wenig andere Möglichkeiten, als darauf zu warten, dass Sicherheitsupdates von den verschiedenen Anbietern zur Verfügung gestellt werden. Das BSI rät, alle von den Herstellern bereitgestellten Updates so schnell wie möglich aufzuspielen – sowohl auf PCs als auch auf mobilen Geräten. Zudem sollten Apps nur aus vertrauenswürdigen Quellen verwendet werden.
Da die Schwachstelle bereits im Juni entdeckt wurde, hatten Unternehmen bereits etwas Vorlauf, um nach einer Lösung zu suchen. So soll das Mobil-System Android laut Google dank des jüngsten Sicherheits-Updates bereits wieder sicher sein. Allerdings befinden sich die meisten Android-Geräte nicht auf dem allerneusten Stand. Reichen Sicherheitsupdates aus? Das ist unklar. Die IT-Sicherheitsstelle der US-Regierung, Cert, teilte kategorisch mit, dass die Prozessoren-Hardware ersetzt werden müsste. Die Sicherheitslücke gehe auf Design-Entscheidungen bei der Chip-Architektur zurück. „Um die Schwachstelle komplett zu entfernen, muss die anfällige ProzessorHardware ausgetauscht werden“, heißt es. Soweit geht das BSI noch nicht. Die Hersteller sollten lediglich dafür sorgen, „diese Schwachstellen im Zuge der Produktpflege zu beheben“. Könnten Verbraucher durch Kontrollen besser geschützt werden? Bevor Medikamente oder auch Fahrzeuge von Herstellern auf den Markt gebracht werden, müssen sie von staatlichen Stellen zugelassen werden. Für IT-Technik gibt es solche Zulassungsverfahren jedoch nicht bzw. nur sehr eingeschränkt. Thomas Jarzombek, Sprecher für die Digitale Agenda der Unionsfraktion im Bundestag, glaubt allerdings auch nicht an eine solche Lösung: „Die Idee eines Technik-TÜVs klingt sehr verlockend, doch die Komplexität der Systeme ist so hoch, dass man hier nicht zu vergleichbaren Ergebnissen kommen würde.“ Welche andere Lösungen gäbe es? „Wir brauchen eine Art technisches Mindesthaltbarkeitsdatum“, sagt Thomas Jarzombek. Hersteller sollten den Kunden vorher klar kommunizieren, wie lange sie die Sicherheit der Geräte garantieren. Und die SPD-geführten Ministerien für Wirtschaft, Justiz und Arbeit haben im vergangenen Jahr in einem gemeinsamen Papier festgehalten, dass die Einführung eines „freiwilligen IT-Gütesiegels für internetfähige Produkte“Verbrauchern beim Kauf mehr Transparenz ermöglichen würde.
ZAHL DES TAGES