Branche arbeitet an Lösungen für Chips
5. Januar 2018Intel und seine Softwarepartner machen nach eigenen Angaben deutliche Fortschritte bei ihren Bemühungen, die massive Sicherheitslücke in Computerchips zu stopfen. Das Unternehmen habe inzwischen Updates für alle Intel-basierten Systeme entwickelt, die vor den beiden Angriffsszenarien "Meltdown" und "Spectre" schützen, teilte Intel in der Nacht zu Freitag mit. Ob damit bereits Entwarnung gegeben werden kann, bleibt abzuwarten.
Intel war nach eigenen Angaben vor etwa einem halben Jahr von einem Google-Mitarbeiter über die Schwachstelle informiert worden. Für einen Großteil seiner Prozessoren, die in den vergangenen fünf Jahren ausgeliefert wurden, seien inzwischen Updates veröffentlicht worden, hieß es weiter. Bis Ende kommender Woche sollen mehr als 90 Prozent dieser Chips sicher sein. Ob die Prozessoren dann auch vor "Spectre" geschützt sind, bleibt abzuwarten. IT-Sicherheitsexperten gehen davon aus, dass noch viel Arbeit bevorsteht. Möglicherweise lässt sich die "Spectre"-Lücke nur durch einen vollständigen Austausch der Prozessoren schließen, schätzen manche Forscher.
Größere Bedrohung durch "Spectre"
Experten des Technologie-Blogs "The Register" gehen davon aus, dass allenfalls ein Teil der Bedrohung durch "Spectre" gebannt sein dürfte. Eine Variante des Angriffsszenarios, in der Schadsoftware Anwendungen ausspähen könnte, sei weiter nicht behoben, hieß es dort am Freitag. Allerdings sei diese Angriffsvariante deutlich schwerer in der Praxis zu realisieren als etwa "Meltdown".
Intel-Chef Brian Krzanich kritisierte unterdessen manche Berichte in den Medien als völlig übertrieben. "Das ist kein Problem, das nicht behoben werden kann", betonte Krzanich laut "c'net". Es zeichne sich bereits ab, dass die Patches erfolgreich seien. Bei der aktuellen Sicherheitslücke liege die Sachlage auch völlig anders als bei dem 1994 in Intels Pentium-Prozessoren entdeckten Fehler. Damals hatten Intel-Manager einen Bug im sogenannten Fließkomma-Prozess in dem Chip zunächst heruntergespielt. Schließlich kostete eine weltweite Umtausch-Aktion das Unternehmen damals rund 500 Millionen Dollar. Die aktuellen Sicherheitslücken betreffen sowohl Personal Computer, mobile Geräte und Server als auch virtuelle Maschinen, unabhängig davon, welches Betriebssystem genutzt wird.
Updates für Nutzer nicht bemerkbar?
Amazon teilte mit, dass alle Bereiche seiner virtuellen Server (EC2), die auf Linux oder Windows laufen, inzwischen geschützt seien. In den meisten Fällen seien keine Performance-Einbußen zu verzeichnen gewesen. Auch Microsoft, Apple und Google hätten bestätigt, dass die eingespielten Updates für die überwiegende Mehrzahl der Nutzer und Kunden kaum oder gar nicht bemerkbar seien dürften, betonte Intel. Ursprünglich war vermutet worden, dass Systeme bis zu 30 Prozent langsamer werden könnten. Intel war zuletzt davon ausgegangen, dass die Performance-Einbußen höchstens zwei Prozent betragen würden.
Auch Apples Mac-Computer, iPads und iPhones sind betroffen. Mit den jüngsten Versionen der Betriebssysteme sei die Gefahr durch "Meltdown" bereits abgemildert worden, teilte Apple mit. In den kommenden Tagen sollen auch Maßnahmen gegen "Spectre" für den Webbrowser Safari veröffentlicht werden.
Die von Sicherheitsforschern bereits vergangenen Sommer entdeckte Lücke steckt seit dem Jahr 1995 direkt im Design der Hardware. Sie besteht darin, dass Betriebssysteme für eine beschleunigte Arbeit der Programme vorab Informationen aus dem Kern des Chips beziehen. Das soll die Rechenprozesse deutlich beschleunigen. Über den gleichen Weg könnten aber auch Angreifer auf die im Chip gespeicherten sensiblen Daten, wie etwa alle genutzten Passwörter oder Kryptoschlüssel zugreifen, ohne Spuren zu hinterlassen. Auch Chips von AMD sowie Mobilprozessoren des Chip-Designers ARM sind betroffen.
De Maizière fordert Stärkung europäischer Chipbranche
Die nun bekannt gewordenen Lücken zeigten einmal mehr, wie abhängig viele Bereiche des täglichen Lebens von moderner Technologie seien, sagte Bundesinnenminister Thomas de Maizière. Deshalb wolle er in Europa stärker auf eigene Entwicklungen und Schlüsseltechnologien setzen. "Hierzu gehört auch die Chiptechnologie, jedenfalls aber Sicherheitstechnologie." IT-Sicherheitsprodukte aus Deutschland seien weltweit hoch anerkannt. "Dieses Potenzial muss noch besser genutzt werden."
Die Bundesregierung hat unterdessen damit begonnen, ihre sensible Kommunikation gegen Hacker-Attacken abzusichern. "Ich kann ihnen sagen, dass daran jetzt mit Hochdruck gearbeitet wird", sagte der Sprecher des Innenministeriums, Johannes Dimroth, in Berlin. Er gehe jedoch aktuell nicht von einer erhöhten Gefährdung der Regierungskommunikation aus. Damit Hacker die Hardware-Schwachstellen ausnutzen könnten, müssten sie zunächst über eine Cyber-Attacke ins Regierungsnetz eindringen.
Das deutsche Regierungsnetz wurde nach Angaben des für die IT-Sicherheit zuständigen Bundesinnenministeriums wohl noch nicht unter Ausnutzung der Sicherheitslücken auf den Chips attackiert. "Uns ist bis jetzt nicht bekannt, dass eine entsprechende Schutzlücke ausgenutzt wurde im Rahmen eines Angriffsszenarios gegen das Regierungskommunikationsnetz", sagte Dimroth. Hundertprozentige Sicherheit könne es zwar gerade im IT-Bereich nie geben. Das Regierungsnetz sei jedoch schon heute stark geschützt. "Da sind wir eigentlich sehr gut aufgestellt und sehr guter Dinge, dass unsere Systeme so gehärtet sind, dass solche Angriffe in der Regel nicht von Erfolg gekrönt sein werden", sagte Dimroth. Ungeachtet dessen würden die Schutzmaßnahmen wegen des aktuellen Falls erneut überprüft.
tko/sti (dpa, rtr)