Wenn Brian Krzanich am Montagabend die Bühne des Park Theater in Las Vegas betritt, wird sich bereits ein Elefant im Raum befinden. Der Elefant trägt den Doppelnamen "Spectre"/"Meltdown" und dürfte das Fachpublikum mehr interessieren als jene Neuheiten von Intel, über die Krzanich zu Beginn der Elektronikmesse CES wohl wesentlich lieber reden würde.

Ignorieren kann der Chef des Chipherstellers die beiden Chip-Schwachstellen "Spectre" und "Meltdown" aber nicht. Interessant wird in jedem Fall, wie viel Aufmerksamkeit - und Demut - er den beiden Fällen widmen wird.

Um 18.30 Uhr Pacific Standard Time, also Dienstag, 3.30 Uhr in Deutschland, soll Krzanichs Ansprache beginnen. Da wird die Veröffentlichung der Sicherheitslücken "Spectre" und "Meltdown", von denen kein Unternehmen so betroffen ist wie Intel, nicht einmal eine Woche her sein.

Probleme mit Updates für Windows 10 und macOS

Die Reparaturmaßnahmen bei Intel, der Konkurrenz von ARM, AMD und Qualcomm, bei Cloud-Anbietern wie Amazon und Google, Hardware-Herstellern wie Apple und Software-Entwicklern wie Microsoft haben längst begonnen. Dennoch befindet sich die Branche immer noch in der ersten Erkenntnisphase: Was ist da eigentlich passiert, wie schlimm ist es, und wie kann so etwas künftig verhindert werden?

Die erste Pressemitteilung des Unternehmens dazu war wenig mehr als ein Versuch, die Probleme kleinzureden. Das kann nicht Intels letztes Wort in der Angelegenheit gewesen sein, deren Auswirkungen nach Ansicht vieler Experten noch Jahre zu spüren sein werden.

So ist zum Beispiel nicht abzusehen, ob die bisher angebotenen Software- und Firmware-Updates die Probleme zuverlässig und ohne Nebenwirkungen beheben. Ein erstes Windows-10-Update etwa hat betroffenen Nutzern zufolge bestimmte PC mit AMD-Prozessoren unbrauchbar gemacht. Kein Intel-Problem also, aber eine Erinnerung daran, dass unter Zeitdruck entwickelte Updates nicht immer die endgültige Lösung eines Problems bedeuten.

Auch bei Apple gibt es Verwirrung um ein Sicherheitsupdate für das Betriebssystem macOS. So ist nicht klar, ob das Update neben der aktuellen Version High Sierra auch deren Vorgänger Sierra und El Capitan gegen "Meltdown" schützt. Einen entsprechenden Hinweis hat Apple laut "heise online" am 5. Januar kommentarlos gelöscht. Wieder andere Systeme und Geräte können möglicherweise überhaupt nicht nachträglich abgesichert werden.

Die große Frage des Abends im Park Theater, der Elefant hinter dem Elefanten, wird deshalb die nach der Zukunft des Chipdesigns sein. Wird die Reihenfolge Schnelligkeit first, Sicherheit second weiterbestehen?

Sicherheitsexperte sagt für 2018 "wilden Ritt" voraus

Prozessoren sollen immer schneller werden, immer leistungsfähiger. Das gilt seit Jahrzehnten, aber erst recht jetzt, im beginnenden Zeitalter des rechenintensiven maschinellen Lernens. Entwicklungen wie "speculative execution", die vorzeitige Ausführung der wahrscheinlichen nächsten Befehle durch gerade ungenutzte Prozessorressourcen, bringen minimale Geschwindigkeitsgewinne. Deshalb wurden sie zu Branchenstandards. Jahre später stellt sich nun heraus, dass Angreifer sie ausnutzen könnten, um zum Beispiel Passwörter auszulesen.

Geschwindigkeit ist messbar, Sicherheit nicht

Der Kryptologe Bruce Schneier sagt die Entdeckung vieler weitere Sicherheitslücken auf dieser bisher vergleichsweise wenig beachteten Ebene voraus: "2018 wird das Jahr der Mikroprozessor-Schwachstellen, und es wird ein wilder Ritt werden", schreibt er.

Drei Entwicklungen kommen seiner Ansicht nach dabei zusammen:

Erstens die zunehmende Vernetzung durch eingebettete Systeme, die mit einer Verbreitung von Mikroprozessoren auch in kleinsten, billigsten Alltagsgegenständen einhergeht. Viele dieser vernetzten Gegenstände und Geräte würden ohne Rücksicht auf Sicherheit konstruiert und ohne die Möglichkeit, regelmäßig Updates aufzuspielen.

Zweitens die Tatsache, dass notwendige Updates dann auch noch häufig die Firmware betreffen. Für wenig geübte Anwender ist das alles andere als trivial - und wenn es schiefgeht, taugt das jeweilige Gerät nur noch als Briefbeschwerer.

Drittens, schreibt Schneier, seien die Entwickler von Chips keine Experten im Auffinden von Schwachstellen. Diejenigen, die es sind, seien in den vergangenen Jahren zu sehr damit beschäftigt gewesen, Sicherheitslücken in normaler Software zu suchen. Das werde sich jetzt ändern. Schneier ist sich sicher, dass sie Schlimmeres als "Meltdown" und "Spectre" finden werden.

Auch Dan Geer, IT-Sicherheitsexperte und Pionier des Risikomanagements, warnt davor in einem Gastbeitrag für das "Lawfare"-Blog: "Die Belohnung für Optimierung und Effizienz ist quantitativ messbar, berechenbar und von zentraler Bedeutung für das kurzfristige Überleben (eines Unternehmens - d. Red.)", schreibt er. "Die Belohnung für Robustheit und Widerstandsfähigkeit ist qualitativer Natur, nicht bezifferbar und von zentraler Bedeutung für das langfristige Überleben."

Entscheidend sei daher nicht, wie die Industrie mit dieser oder jenen gerade entdeckten Sicherheitslücke umgehe. Entscheidend sei vielmehr, wie sie mit denen umgehe, von denen noch niemand weiß.