Fast jeder PC, jeder Mac und viele Smartphones und Tablets haben Schwachstellen in ihrem wichtigsten Bauteil, dem Chip. Angreifer können über sie unter anderem Passwörter und Verschlüsselungen auslesen. Wie gefährlich ist das Problem und was kann man tun?

Forscher von Googles Project Zero haben herausgefunden, dass ein seit vielen Jahren gängiges Verfahren, das Computerchips beschleunigen soll, diese im Herzen anfällig für Datenklau macht. Ein Sicherheits-Alptraum, aber bisher blieben die entdeckten Schwachstellen offenbar noch ohne Folgen.

Warum ist die Sicherheitslücke so gefährlich?

Es geht um eine Funktion des Prozessors. Über ihn laufen alle wichtigen Prozesse, er hat Zugriff auf alle Daten - auch Passwörter oder Verschlüsselungen. Die entdeckten Schwachstellen ermöglichen es Angreifern, diese Informationen abzugreifen, ohne dass der Nutzer etwas davon mitbekommt. Schlimmer kann eine Sicherheitslücke kaum sein.

Was macht die Angriffe möglich?

Prozessoren wurden seit Jahrzehnten darauf getrimmt, immer schneller zu werden. Eine der Ideen dabei war, möglicherweise später benötigte Daten schon vorher abzurufen, damit es nachher keine Verzögerungen gibt. Wie sich jetzt herausstellt, kann dieses Verfahren jedoch ausgetrickst werden.

Was sind die Schwachstellen?

Die Forscher veröffentlichten Informationen zu zwei Attacken, die beide auf dem gleichen Prinzip basieren, dass Chips später vielleicht benötigte Daten vorab laden und zwischenspeichern. Sie betreffen allerdings verschiedene Bereiche des Systems. Bei "Meltdown" können Angreifer Informationen aus dem Betriebssystem abgreifen. "Spectre" erlaubt es, die Daten von installierten Programmen auszuspähen. Diese Angriffsmethode sei schwerer auszuführen, schreiben die Forscher, aber auch der Schutz vor ihr sei schwieriger.

Welche Chips sind betroffen?

Da der Kern des Problems ein branchenweit angewandtes Verfahren ist, sind auch Chips verschiedenster Anbieter anfällig und es geht um Milliarden Geräte. "Meltdown" betrifft bisher allerdings nur Intel-Produkte. Im Prinzip sind alle Chips, die seit 1995 hergestellt wurden, anfällig für diese Attacke. Von "Spectre" sind auch Prozessoren mit Technologie des Chip-Designers Arm sind betroffen. Intel-Konkurrent AMD erklärt zwar, seine Chips seien dank ihrer technischen Lösungen sicher. Die Forscher schreiben allerdings, sie hätten auch Prozessoren dieses Herstellers attackieren können.

Sind die Schwachstellen schon ausgenutzt worden?

"Wir wissen es nicht", erklären die Sicherheitsforscher knapp. Eine Attacke würde auch in den bisher gängigen Log-Dateien keine Spuren hinterlassen, warnen sie. Intel geht davon aus, dass es bisher keine Angriffe gegeben hatte. Auch Microsoft hat in einem Statement dem Tech-Magazin "The Verge" gesagt, man habe bisher keine Informationen, dass die Schwachstellen bereits ausgenutzt wurden.

Was wäre das schlimmste Horrorszenario?

Wahrscheinlich, dass Angreifer Chips von Servern in Rechenzentren benutzen könnten, um an eine Vielzahl fremder Daten zu kommen.

Wie groß ist die Gefahr für Normalnutzer?

Angriffe auf gewöhnliche Nutzer sind eher nicht zu erwarten, weil es für Hacker nicht so einfach ist, die Schwachstellen auszunutzen. Ein Szenario mit umfassenden Angriffen auf die Prozessoren sei nicht zu erwarten, sagt Thomas Uhlemann vom Sicherheitsunternehmen Eset. "Die dafür nötigen Voraussetzungen zu schaffen wäre für Cyberkriminelle sehr kompliziert und zeitaufwendig.“

Seit wann sind die Lücken bekannt?

"Meltdown" und "Spectre" wurden bereits im Juni entdeckt und den Unternehmen gemeldet. Eigentlich sollte das Problem erst am 9. Januar publik gemacht werden. Doch schon in den vergangenen Tagen fiel eine erhöhte Update-Aktivität auf - und erste Berichte über eine Schwachstelle in Intel-Chips machten die Runde.

Wie kann man sich schützen?

Da die Schwachstellen schon seit mehr als einem halben Jahr bekannt sind, konnten die Unternehmen bereits Updates entwickeln, die die Lücken stopfen. So haben Google, Microsoft oder Amazon auch Zeit genug gehabt, ihre Cloud-Dienste abzusichern. Aber auch für Betriebssysteme gibt es bereits Updates. Nutzer sollten sie umgehend installieren. Teilweise wurden die Patches bereits ausgeliefert oder werden in Kürze verteilt. Bei Windows-Rechnern ist es außerdem wichtig, dass Firmware-Updates der Hersteller installiert werden. 

Apple soll für macOS bereits vor Weihnachten das Problem teilweise gelöst haben, weitere Maßnahmen gegen die Lücken sollen folgen. Eine offizielle Stellungnahme des Unternehmens gibt es dazu allerdings nicht.

Microsoft wurde von der frühzeitigen Veröffentlichung des Problems offenbar überrascht. Angeblich sollten die Schwachstellen wie üblich am Patchday beseitigt werden, doch jetzt verteilt das Unternehmen vorab eine Aktualisierung (KB4056892).

Um die Gefahr zu lindern, dass PCs über infizierte Webseiten angegriffen werden, wird Google Ende Januar ein Update für seinen Chrome-Browser veröffentlichen. Nutzer können die Schutz-Funktion aber schon vorher aktivieren, Google hat dafür eine Anleitung veröffentlicht. Auch Mozilla hat Maßnahmen ergriffen, um Firefox ein bisschen sicherer zu machen. Beide Methoden sind aber kein grundsätzlicher Schutz vor den Lücken.

Für Android-Smartphones steht ebenfalls schon ein Patch zur Verfügung, Google liefert ihn mit dem Januar-Update aus. Allerdings erhalten die Aktualisierung nur wenige Geräte sofort, viele ältere Modelle werden ungesichert bleiben.

Was iPhones und iPads betrifft, darf man zwar davon ausgehen, dass Apple bereits Updates verteilt hat oder diese plant. Aber wie bei macOS hat das Unternehmen auch zu Maßnahmen für iOS bisher keine Angaben gemacht.

Werden Computer durch die Updates langsamer?

Die Updates machen viele Computer voraussichtlich langsamer, da die Gegenmaßnahmen hauptsächlich darin bestehen, das vorausgreifende Laden von Daten abzustellen. Nutzer dürften davon aber nicht viel mitbekommen. Intel erklärte, der Leistungsabfall sollte in den meisten Fällen 2 Prozent nicht überschreiten. In ersten Medienberichten war noch von bis zu 30 Prozent die Rede.