Geräte weltweit betroffen Neue Sicherheitslücken - Chiphersteller arbeiten an Lösung

Der US-Chipkonzern Intel hat auf Berichte reagiert, wonach viele Millionen Prozessoren weltweit anfällig für Angriffe sind. Die Attacken Meltdown und Spectre betreffen noch weitere Hersteller.

Intel-Chip (Symbolfoto)
DPA

Intel-Chip (Symbolfoto)


In Computerchips sind neue Sicherheitslücken entdeckt worden, durch die Angreifer an vertrauliche Daten kommen könnten. Die Schwachstelle hängt mit einem Verfahren zusammen, bei dem Chips möglicherweise später benötigte Informationen schon im Voraus abrufen, um Verzögerungen zu vermeiden. Ein Google-Sicherheitsexperte demonstrierte, dass dabei Unberechtigte zum Beispiel an Passwörter, Krypto-Schlüssel oder Informationen aus Programmen gelangen könnten.

Das als "speculative execution" bekannte Chipverfahren wird seit Jahren von diversen Anbietern eingesetzt. Damit dürfte eine Masse von Computer-Geräten zumindest theoretisch bedroht sein - sofern es kriminelle Hacker schaffen, auf dem entsprechenden System Software für den Angriff zum Laufen zu bringen. Ein besonders attraktives Ziel wären dabei wohl Computer, die beim Cloud-Computing als Server verwendet werden, auf denen also im Zweifel die Daten vieler verschiedener Menschen gespeichert sind.

Reaktionen von Intel, AMD, ARM und Google

Der Branchenriese Intel reagierte inzwischen auf entsprechende Berichte und erklärte, es werde gemeinsam mit anderen Firmen an einer Lösung gearbeitet. Man bezweifle, dass die Schwachstelle bereits ausgenutzt worden sei, heißt es in der Erklärung des Unternehmens.

Der Intel-Konkurrent AMD, der von Google ebenfalls genannt wurde, bestritt trotz dieser Erwähnung, dass seine Prozessoren betroffen seien. Der Chipdesigner ARM, dessen Prozessorarchitektur in Smartphones dominiert, bestätigte, dass einige Produkte anfällig dafür seien. Software-Patches seien bereits an zahlreiche Handyhersteller und andere Kunden übermittelt worden, hieß es von ARM.

Google erklärte, dass die eigenen Smartphones Nexus und Pixel dank des jüngsten Software-Updates geschützt seien. Dies gelte auch für die Handys anderer Hersteller mit dem Google-Betriebssystem Android. Auch Nutzer des E-Mail-Dienstes Gmail müssten nicht tätig werden. Allerdings müssten Nutzer der Chromebook-Laptops, des Internetbrowsers Chrome und der Google-Clouddienste mit einem eigenen Betriebssystem Updates installieren.

Apple äußerte sich zunächst nicht dazu und es war unklar, welche Produkte des Konzerns genau betroffen sind. Auch Microsoft äußerte sich zunächst nicht im Detail. Apple und Microsoft haben aber bereits erste Updates für ihre Computer-Betriebssysteme veröffentlicht.

Intel-Aktie lässt nach

Die Sicherheitslücke war bereits vor einiger Zeit von Experten des Google Project Zero in Zusammenarbeit mit Forschern von Universitäten und aus der Industrie entdeckt worden, Anfang Juni hatten sie Intel, AMD und ARM darüber informiert. Die Techbranche arbeitete daher wohl seither daran, Software-Updates zu entwickeln, bevor die Lücke publik wird. Die Veröffentlichung einer Info-Website zum Problem war zunächst für den 9. Januar geplant. Letztlich wurde sie auf Mittwoch vorgezogen, nachdem erste Berichte über eine Sicherheitslücke in Intel-Chips erschienen.

Der Aktienkurs von Intel sackte nach Bekanntwerden der Probleme ab, der Konzern sah sich gezwungen, "irreführenden Berichten" zu widersprechen und betonte, es handle sich um ein allgemeines Problem. "Handys, PC, alles wird etwas davon betroffen sein, aber die Auswirkungen werden von Produkt zu Produkt unterschiedlich sein", sagte Intel-Chef Brian Krzanich am Mittwoch dem TV-Sender CNBC.

Auf Basis der Schwachstelle beschrieben die Forscher zwei Attacken:

  • Bei der einen, der sie den Namen Meltdown gaben, werden die grundlegenden Trennmechanismen zwischen Programmen und dem Betriebssystem ausgehebelt. Dadurch könnte böswillige Software auf den Speicher und damit auch auf Daten anderer Programme und des Betriebssystems zugreifen. Für diese Attacke ist den Entdeckern der Schwachstelle zufolge nahezu jeder Intel-Chip seit 1995 anfällig - sie kann aber mit Software-Updates gestopft werden.

  • Die zweite Attacke namens Spectre lässt zu, dass Programme einander ausspionieren können. Spectre sei schwerer umzusetzen als Meltdown - aber es sei auch schwieriger, sich davor zu schützen. Man könne aber zumindest bekannte Schadsoftware durch Updates stoppen. Von Spectre seien "fast alle Systeme betroffen: Desktops, Laptops, Cloud-Server sowie Smartphones", erklärten die Forscher. Man habe die Attacke auf Chips von Intel und AMD sowie Arm-Designs nachgewiesen.

Die Software-Maßnahmen gegen die Sicherheitslücken dürften zwar die Leistung der Prozessoren beeinträchtigen, räumte Intel ein. In den meisten Fällen werde der Leistungsabfall aber bei maximal zwei Prozent liegen und mit der Zeit abnehmen. In den ersten Berichten war noch von bis zu 30 Prozent die Rede gewesen.

aar/dpa/Reuters



insgesamt 40 Beiträge
Alle Kommentare öffnen
Seite 1
Bananenschale 04.01.2018
1. Future - Zukunft
Sicherheitslücken sind kein Bug. Sicherheitslücken sind ein Future. Für die "Dienste". Die Chip-Hersteller sind denen verpflichtet. Mag sein, daß zwangsweise. Wenn also "die" Chip-Hersteller an etwas arbeiten, dann daran, daß Sicherheitslücken nicht mehr so doll auffallen. "Millionen Prozessoren weltweit" meint wohl eher Milliarden. Meiner ist einer. Wie mich das Rumgetue nervt! Es gibt nur eine Lösung: Technik-Verzicht. Blöd nur, daß ich dann nichts mehr zu beißen kriege ... Wir sitzen in einer tödlichen Falle!
______ 04.01.2018
2. Wer verkaufte in 11/2017 einen Berg Intel-Aktien?
https://www.fool.com/investing/2017/12/19/intels-ceo-just-sold-a-lot-of-stock.aspx Logisch: Intel-Chef Krzanich verkauft soviel davon wie er darf - für fast 11 Millionen Dollar oder ~44 $ pro Stück. Dabei hatte CFO Robert Swan bis 2021 einen Aktienkurs über 60 Dollar angekündigt.
schlauchschelle 04.01.2018
3. Je komplexer ein System ist,
desto anfälliger ist es, Binsenweisheit. Gerade Prozessoren sind hochkomplex. Ein Layoutfehler, der sich einmal eingeschlichen hat, wird so oft jahrelang mit durchgeschleppt, auch wenn er irgendwann einmal bekannt wird. Denn ein Re-Design eines solchen Layouts, was schlimmstenfalls einen kompletten Neuaufbau bedingt, kostet Milliarden und kann die Existenz einer solchen Firma, auch wie INTEL, schnell gefährden. Daher wird abgewogen: Wie kritisch ist der Fehler, wie wirkt er sich aus, kann er mit Software "korrigiert" werden, gibt es signifikante Einbußen an Performance? Dieser Prozessorfehler ist u.U. schon vorher Ingenieuren aufgefallen, evtl. wurde ihm aber bisher keine Bedeutung beigemessen, wer weiß das schon? Das ist wie Ende der 1970-er, als bekannt wurde, dass der FORD Pinto einen im Heck montierten Tank hat, der schon bei Bagatellunfällen zu Feuer führen kann. FORD argumentierte, die Gefahr sei vernachlässigbar und es sei billiger, einer geschädigten Person z.B. 10Mio US-D zu zahlen als für 200Mio US-D und mehr den Wagen neu zu konstruieren. Dieser Grundsatz gilt überall in der profitorientierten Wirtschaft. Es wird immer zugesehen, dass man mit 20% Einsatz (Material, Geld, Manpower) 80% Erfolg des Produktes bekommt. Inwieweit Patches für betroffene Systeme Einbußen bringen, bleibt abzuwarten. Der übliche PC-Nutzer wird wahrscheinlich nichts großes bemerken, Professionelle Anwender, welche die CPU, den Controller sowie Speicher mit häufigen Schreib - Lesezugriffen fordern u.U. schon signifikant. Was ist nun z.B. mit den Steuergeräten in Autos? Sind diese Prozessoren auch betroffen? Was kann passieren, wird dieser Fehler gehacked in einem PKW? Wenn ja, wie reagieren die PKW-Hersteller? Fragen über Fragen ;) ...
John McC!ane 04.01.2018
4. Da gibt es aber...
...noch weit heiklere "Sicherheitslücken" bei Chipzilla-Produkten. Ich sage nur: Intel Management Engine! Das ist eine Plattform, die seit 2010 in jedem Intel-Prozessor fest integriert ist und -angeblich zu "Servicezwecken" den Zugriff auf alle Systemkomponenten erlaubt - betriebssystemunabhängig, das fragliche System muss nicht mal eingeschaltet sein, Standby plus LAN-Verbindung genügt für den Fernzugriff . Der feuchte Backdoor-Traum jeden Hackers...!
schumbitrus 04.01.2018
5. Nichts(!) ist überfälliger, als Reformen in "IT-Prozessen"
Die Politik lässt sich seit Jahrzehnten einlullen - und zwar in Versprechen von Leuten, die ihre Monopol-Position schamlos ausnutzen und dabei erst unsere Marktwirtschaft und dann unsere Freiheit in Schutt und Asche legen - eben weil die Monopole der IT-Konzerne unangreifbar sind und ihre Produkte nun massenweise bis auf unsere Klos, in unsere Schlafzimmer, Küchen, Autos - in die Luft die wir atmen und in das Wasser, das wir trinken wollen - drängen! Die Verantwortungslosigkeit liegt darin, dass man "Mainstream IT-Produkten" naiv unterstellt, 1. fehlerlos zu sein und den Herstellern zu allem Überfluss vollkommen überzogene Monopol-Rechte (Urheber- und Patentrecht) sowie das technische "Recht" zugesteht, die Technologie hinter ihren Hard- und Software-Produkte vor den Augen einer interessierten Öffentlichkeit zu verstecken. Die Konsequenz gerade aus dem letzten Punkt sind VERHEEREND! Nicht nur, dass niemand sagen kann, ob uns Hard- und Software-Hersteller im Auftrag politischer Einflussnehmer ans Messer liefern, ob es tatsächlich Versehen sind, oder ob man aus Gründen des Marketings bewusst Fehler einbaut. Daneben drängen ebenso hermetisch abgeschirmte Billig-Produkte im IoT-Umfeld in unsere Privatsphäre, die aufgrund des niedrigen Preises 1. vom Kunden Sicherheitstechnisch nicht erst genommen werden und 2. vom Hersteller nicht lange Supportet werden - wenn überhaupt. D.h. Fehlerhaftigkeit führt bei den Kameras unserer Dildos und den Sensoren unserer Toiletten dazu, dass diese Geräte nach 1-3 Jahren unsere intimsten Daten ins Internet pusten, weil dann einfach genügend Sicherheitslöcher (wie dieser z.B. bei ARM-basierten Geräten) und die nicht vorhandenen Mittel, um die Löcher zu stopfen dazu führen, dass die Geräte von jedem pickeligen 15-Jährigen erfolgreich angegriffen werden können! Die Lösung dafür kann nicht darin liegen, dem unregulierten Markt weiter zu erlauben, uns (und vor allem den "dummen" Nutzern) die Risiken auf die Füße zu werfen! Kein Auto darf mit Wegwerf-Bremsen verkauft werden, bei denen der Kunde nicht im Zweifel selber(!) nachsehen kann, wie der Zustand der Bremsen ist. Dass der Durchschnitts-Bürger damit i.d.R. zu einer kompetenten Werkstatt geht, ist selbstredend - der Punkt ist aber, DAS ÖFFENTLICHE WISSEN um die Technik! Wir brauchen den Zwang zur Offenlegung von Programm-Code nach WENIGEN JAHREN - als Gegenleistung zur Marktfähigkeit von IT-Produkten! Wir brauchen garantierte Support-Fristen von 2-5 Jahren, in denen Produkte mit Bugfixes und Updates versorgt werden. Und spätestens nach 5-7 jahren bzw. wenn ein Produkt keine Bugfixes mehr bekommt, ist der Quellcode des Systems von Amtswegen OFFEN ZU LEGEN UND AN DIE PUBLIC DOMAIN zu übergeben! Um die Genehmigung zu erhalten, mit einem SW-Produkt oder einer SW-Dienstleistung Geld verdienen zu dürfen, sind die Software-Quellen bei einer zentralen europäischen Stelle zu hinterlegen, so dass diese den Quellcode bei erlöschen eines gewährten Monopol-Anspruchs veröffentlichen kann! Es muss einfach möglich werden, dass die Öffentlichkeit früher und Umfassender Technologien unter die Lupe nimmt, von der sie zunehmend in allen Lebenslagen abhängig wird!
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.