Ganze Generationen von Computerchips sind anfällig für Attacken, mit denen Passwörter gestohlen werden können. Wie vor gut einer Woche bekannt wurde, können durch eine Sicherheitslücke in Computerchips von Milliarden Geräten vertrauliche Daten abgeschöpft werden (wir berichteten). Die Branche spricht von dem schwerwiegendsten Sicherheitsproblem in der Geschichte des Computers.
-Ist mein Rechner oder mein Smartphone von der Lücke betroffen?
„Mit an Sicherheit grenzender Wahrscheinlichkeit: Ja“, warnt das Computer-Portal heise.de. Die anfälligen Prozessoren steckten in einer Vielzahl von Geräten, von Desktop-Computern, Laptops, Smartphones, Tablets bis hin zu Streaming-Boxen. Auch ein Anti-Virus-Programm könne Nutzer nicht schützen.
-Wo genau liegt die Schwachstelle?
Anders als bei herkömmlichen Lücken liegt das Problem nicht in der Software oder dem Betriebssystem, sondern im Herzen eines jeden Computers, dem Prozessor. Ein besonderes Design, das den Chip eigentlich schnell und leistungsfähig machen soll, gilt als Ursache des Problems. Die Technik wird seit Jahren branchenweit eingesetzt, um die Geschwindigkeit der Prozessoren zu erhöhen. Neben Intel räumte inzwischen auch der Konkurrent AMD ein, dass seine Prozessoren genauso betroffen sind.
-Gab es bereits Angriffe, die die Sicherheitslücke ausgenutzt haben?
Die gute Nachricht: Bislang ist zumindest nichts bekannt. „Spectre“ sei „deutlich komplizierter und nicht so einfach auszunutzen“, sagte Sicherheitsforscher Anders Fogh von G-Data. Bis es Schadprogramme für die Schwachstelle geben wird, werde es deshalb „sicher etwas länger dauern“. Fogh hatte mit seinen Arbeiten die Basis für die Entdeckung der Sicherheitslücken „Spec-tre“ und „Meltdown“ gelegt.
-Wann ist mit Angriffen zu rechnen?
Offenbar arbeiten Kriminelle daran, die Lücke zu nutzen. Laut Fogh kursiert im Netz ein funktionierender Schadcode. „Es ist ziemlich wahrscheinlich, dass wir in Kürze Malware sehen werden, die die Meltdown-Sicherheitslücke nutzt“, sagte der Experte. Es sei deshalb sehr wichtig, die verfügbaren Updates zu installieren. Je leistungsfähiger ein Chip sei, desto wahrscheinlicher sei er von einem Angriff bedroht.
-Wie können Nutzer ein Update installieren?
Ist die automatische Update-Funktion aktiviert, wird die Aktualisierung automatisch aufgespielt. Microsoft hat inzwischen ein Update für Win-dows 10 veröffentlicht. Auch für Windows 8 und Windows 7 sollen Updates folgen. Sofern sie nicht automatisch eingespielt werden, sollten Nutzer in der Systemsteuerung unter „Windows Update“ schauen, ob frische Software vorhanden ist. Kleiner Schönheitsfehler dabei: Laut BSI kann das Microsoft-Update ausgerechnet die wichtigen Anti-Viren-Programme blockieren. Nutzer sollten daher prüfen, ob das Programm beeinträchtigt ist. Für Apple-Nutzer gilt: Nachdem Apple bekannt gegeben hat, dass sämtliche Geräte von dem Problem betroffen sind, sollten Nutzer des Betriebssystems macOS sofort ein Update installieren, sobald es über den Mac App Store angeboten wird. Nach Angaben von Apple ist die Gefahr durch die Sicherheitslücke mit der Version 10.13.2 abgemildert.
-Wie sieht es mit mobilen Geräten aus?
Für Apples iPhones und iPads gibt es Updates. Nutzer von Android-Smartphones sind ebenfalls betroffen. Laut Google sind Geräte mit dem jüngsten Sicherheitsupdate (Stand 5. Januar) geschützt. Dies betrifft hauptsächlich neuere Androiden und Googles eigene Pixel-Smartphones.
-Was müssen Internet-Nutzer noch beachten?
Sie sollten zusätzlich ihren Browser aktualisieren. Nutzer von Chromium-Browsern (etwa Chrome, Opera oder Vivaldi) sollten laut Google die „Website-Isolierung“ aktivieren. Für den Firefox-Browser will Mozilla Maßnahmen umsetzen. Safari soll laut Apple in den nächsten Tagen mit einem Update versorgt werden.
-Schließen die Updates die Prozessorlücken?
Nein. „Sie verringern nur das Risiko, dass Schadprogramme eine der Angriffsszenarien ausnutzen“, warnt heise.de. Einen hundertprozentigen Schutz gegen das Ausnutzen dieser Lücken gebe es nicht.
-Wird der eigene Rechner durch das Aufspielen des Updates langsamer?
Ja – aber für die meisten Normalnutzer dürfte die Bremswirkung kaum merklich sein. Die Stiftung Warentest hat die Geschwindigkeit von zwölf neueren mobilen Geräten vor und nach dem Update überprüft. Ergebnis: „Privatanwender haben bei aktuellen Geräten durch das Update keine signifikanten Leistungseinbußen zu befürchten.“ Getestet wurden Notebooks, Ultrabooks, Convertibles und Tablets mit neueren Intel i5-, i7- oder A10X-Prozessoren. Laut heise.de ist die Bremswirkung eines Updates umso spürbarer, je älter das Gerät ist.
-Welche Folgen hat die Lücke für ältere Geräte?
„Intel und viele Smartphone-Hersteller lassen Besitzer älterer Rechner und Handys bisher im Regen stehen“, kritisiert Christof Windeck von der Zeitschrift „c’t“. Es sei derzeit nicht klar, welche Geräte überhaupt mit vollständigen Updates versorgt werden. Auch Google sage bisher nicht genau, wie es mit Updates für ältere Android-Versionen aussehe.
-Was bedeutet die Entdeckung der Sicherheitslücke für die Zukunft?
Leider nichts Gutes. „Das ist erst der Anfang von dem, was wir mit Seitenkanal-Attacken erleben werden“, sagte Thomas Prescher, Software-Architekt bei Cyberus Technology. Mit „Spectre“ und „Meltdown“ sei „eine völlig neue Klasse von Angriffen“ entdeckt worden, die zuvor niemandem aufgefallen sei. sh/dpa/afp