Am Mittwoch voriger Woche enthüllten Forscher der Öffentlichkeit gravierende Sicherheitsmängel in modernen Prozessoren. Ein Großteil der Zentralen Recheneinheiten seit dem 1995 veröffentlichten Intel Pentium Pro sind von Meltdown und Spectre, so die Namen der Sicherheitslücken, betroffen. Auch Chips von AMD, ARM und Broadcom, die in so gut wie allen Laptops, Tablets und Smartphones, iPods, SmartTVs und Medienreceivern und selbst in Taschenrechnern verbaut sind, weisen diese leicht angreifbare Chiparchitektur auf.
Standardisierung und Leistungshunger als Fehler
Die vier großen Hersteller geben an, daß sie Software-Patches bereitstellen werden, um die Fehler zu beheben oder zumindest abmildern zu können. Zu diesem Zweck arbeiten sie seit dem Bekanntwerden der Sicherheitslücken im Juni mit den Betriebssystemherstellern Microsoft, Google und Apple sowie einigen Linux-Programmierern auf dieses Ziel hin und haben einige dieser Sicherheitsverbesserungen veröffentlicht.
Laut Google haben Android-Telefone am 5. Januar ein neues Sicherheitsupdate erhalten. Apple brachte bereits im Dezember Verbesserungen in Umlauf. Zukünftig würden noch mehr Updates herausgegeben werden, da die Schwachstelle nicht nur das Betriebssystem, sondern auch alle darüber liegenden Programme wie etwa Browser betreffen kann, sofern es einem Angreifer gelingt, ein Programm auf dem Rechner zu starten. Für jüngste Updates von Microsoft für Windows werden unterdessen erste Probleme gemeldet. Wie von Experten befürchtet, führen die Sicherheitsverbesserungen zu Geschwindigkeitsproblemen. Insbesondere Anwendungen, die viele Rechenvorgänge parallel ablaufen lassen, seien von bis zu 20prozentigen Einbußen betroffen, berichtet heise.de.
Schuld daran, daß diese Sicherheitslücke so umfangreich ist, sind vor allem die große Standardisierung der Chips und der ungebremste Leistungshunger. Die Standardisierung erleichtert die Programmierung nützlicher Programme genauso wie schädlicher, deshalb sind nahezu alle modernen Geräte betroffen. Dem Leistungshunger sind die Chiphersteller durch sogenanntes „Speculative Execution“ begegnet, das heißt durch das Vorabberechnen der wahrscheinlichsten nächsten Prozesse. Das ist vor allem sinnvoll beim Berechnen großer Datenmengen mit mehreren parallel laufenden Vorgängen. So kann ohne Zeitverlust der anschließende Prozeß schon erledigt werden, während der Hauptprozeß noch aktiv ist. Ein Prinzip, ohne das kein moderner Computer und kein Smartphone mehr auskommt.
Da aber speziell in Android-Smartphones oftmals nur lizenzierte ARM-Chips verbaut worden sind und oft auch nicht direkt von Google selbst hergestellt werden, sondern etwa von Samsung, Huawei, Sony oder LG, kann es bei einigen Handys noch sehr lange dauern, bis das entsprechende Update für den Endbenutzer zur Verfügung steht. Einige Produkte werden aufgrund ihres Alters auch gar keine Softwareausbesserung erhalten, da die Hersteller die Unterstützung einstellen.
Projekt Zero informierte Hersteller bereits im Juni
Ein Projekt von Google war es auch, das die Lücke entdeckte. Eine Programmierergruppe namens Projekt Zero ist speziell zu diesem Zweck gegründet worden, mögliche Risiken auszumachen, bevor diese bekannt werden. So sollen Hackern vorab die Möglichkeiten zum Angriff genommen werden.
Projekt Zero meldete die Schwachstelle an die genannten großen Hersteller von Mikroprozessoren und Software weiter. Diese haben sich aufgrund der Schwere des Risikos verabredet, die Sicherheitslücke bis Januar dieses Jahres zu schließen. Die Öffentlichkeit vorab nicht zu informieren schien sinnvoll, da sonst auch Datendiebe auf diese Spur geschickt worden wären. Das ist angesichts der Schwere des Problems wenig Zeit.
Nachrichtendienste wollen davon nichts gewußt haben
Gleichzeitig ist es äußerst ungewöhnlich, daß ein derart tiefgreifender Fehler bisher unentdeckt blieb, und das sowohl von Kriminellen wie von Sicherheitsfirmen und Sicherheitsdiensten. Die NSA, der US-Geheimdienst, der für die Internetüberwachung zuständig ist, gibt an, von der Schwachstelle nichts gewußt zu haben, doch VW wußte ja auch nichts von Dieselmanipulationen. Der deutsche BND hat bis Redaktionsschluß am Dienstag noch keine Erklärung gegeben.
Eine generelle Hintertür in allen Systemen wäre aber durchaus im Sinne der Nachrichtendienste, deren Zweck es ist, Daten zu sammeln, wie wir nicht erst seit Edward Snowden (JF 33/13) und Echelon (JF 26/99) wissen. Allerdings gibt es bisher auch noch keine Berichte darüber, daß die Lücke ausgenutzt wurde, egal ob von Kriminellen oder Staatsdienern. Bewiesen ist lediglich, daß die Möglichkeit besteht, durch die Hintertüren namens Spectre und Meltdown einzudringen, was aber durch das Bekanntwerden erleichtert wird.
Intel erreichten erste Sammelklagen in den USA. Vornehmlich allerdings nicht aus Sicherheitsbedenken, sondern weil Server mit Updates mehr Rechenleistung brauchen. Die gute Nachricht für den Marktführer: Auf der am Dienstag beginnenden Messe für Konsumentenelektronik (CES) hat Intel-Chef Brian Krzanich die Sicherheit der Chips gerühmt: „Bisher haben wir keine Erkenntnisse darüber, daß die Lücken ausgenutzt wurden, um Kundendaten zu stehlen.“ Er selbst hat aber einen Großteil seiner Anteile am Unternehmen bereits im November verkauft.
Wie kann man sich schützen?
Neben dem utopischen Neukauf sämtlicher datenverarbeitender elektronischer Geräte mit Internetzugang ist es trotz wahrscheinlicher Geschwindigkeitseinbußen die beste Möglichkeit, alle Updates für Ihre Produkte zu installieren. Ein sofortiger Smartphone-Neukauf bietet keine Garantie dafür, daß sämtliche Sicherheitsrisiken behoben sind. Es braucht seine Zeit, bis ein neu entwickelter Prozessor in Geräten verbaut wird. Die Architektur des im iPhone X verwendeten Prozessors beispielsweise wurde von AMD 2012 angekündigt. Helfen kann es, mit nur einem Tab durch das Internet zu browsen. Chrome, Firefox, Safari und der Internet Explorer sowie Edge sollen aber innerhalb dieses Monats Sicherheitsupdates erhalten. Für erfahrenere Computernutzer kann hier die Site-Isolation-Funktion von Google Chrome helfen (siehe Link). Auch ist es sinnvoll, wenn man im Netz ist, keine anderen Programme laufen zu lassen, da die Sicherheitslücke nur aktuell verwendete Daten abzufassen erlaubt.