Meltdown und Spectre: Erhebliche Sicherheitslecks in modernen Chips

von | 06.01.2018 | Hardware

Das Jahr ist mit einer riesigen Überraschung gestartet: Offensichtlich sind Milliarden von Rechnern, PCs, Servern, Tablets, Smartphones und anderen Geräten angreifbar. Denn viele Prozessoren von führenden Herstellern, die in allen möglichen Geräten verbaut werden, haben erhebliche Sicherheitslücken. Hacker könnten diese ausnutzen, Aber was genau steckt dahinter, wer ist betroffen – und was kann man tun?

Moderne Prozessoren arbeiten rasend schnell, sie bewältigen Milliarden von Anweisungen pro Sekunde. Es gibt aber Situationen, da drehen sie sozusagen Däumchen – weil keine neue Befehle eingehen. Dann erledigen die Prozessoren Aufgaben, die vermutlich als nächstes kommen werden. „Speculative Ececution“ wird das genannt.

Nach dem Motto: „Ich habe da schon mal was vorbereitet“, werden Daten bereitgestellt, die mit hoher Wahrscheinlichkeit als nächstes abgerufen werden. Das macht die Prozessoren schneller. Jetzt wurde aber ein Leck bekannt: Diese Funktion kann missbraucht werden, von Hackern zum Beispiel, um vertrauliche Daten abzugreifen. Die Lücken haben übrigens auch einen Namen: Sie werden „Spectre“ und „Meltdown“ genannt, also „Gespenst“ und „Kernschmelze“.

blickpixel / Pixabay

 

Was Angreifer könnten

Angreifer könnten durch Ausnutzen der Lücke an vertrauliche Daten kommen, die sie nichts angehen. So könnten zum Beispiel Krypto-Schlüssel abgegriffen werden, die zum Ver- und Entschlüsseln verwendet werden. Auch Passwörter lassen sich so abgreifen.

Auch uninteressante Daten könnten in fremde Hände fallen, aber die will natürlich niemand. Um das Leck ausnutzen zu können, muss natürlich Software auf dem Gerät laufen. Ist das Leck ungestopft, kann es mit dem Datenabgreifen aber auch schon losgehen – unbemerkt. Das macht das Sicherheitsleck so dramatisch.

 

MasterTux / Pixabay

 

Wer betroffen ist

Da die Prozessoren verschiedener Hersteller das Problem haben, etwa von Intel oder ARM, sind auch sehr viele Geräte betroffen. Während Intel und ARM das Problem einräumen, behauptet AMD, seine Prozessoren wären nicht betroffen – doch warten wir’s ab.

Nun ist es wichtig, welches Betriebssystem zum Einsatz kommt, denn die Lücken können nur im Betriebssystem geschlossen werden. Android zum Beispiel ist nicht anfällig. Auch Microsoft hat bereits am 3. Januar Updates für Windows bereitgestellt. Apple hat eingeräumt: Alle Geräte sind betroffen, also iPhone, iPad und Mac. Apple arbeitet an Updates für alle Geräte, um das Leck zu stopfen.

Alexas_Fotos / Pixabay

 

Was Benutzer tun können

Es gibt im Grunde nur eine Möglichkeit: Darauf achten, ob Updates für die verwendeten Geräte angeboten werden – und die dann zügig aufspielen. Das ist die einzige Chance, das Problem zu beseitigen, denn die Prozessoren auszutauschen ist nahezu unmöglich.

Es gibt leider noch keine vollständigen Listen, in denen alle betroffenen Prozessoren oder gar Geräte aufgeführt sind. Schwierig wird es bei älteren Geräten, für die keine Updates angeboten werden – oder auch bei „Internet of Things“ (IoT) Geräten.

Bereits ausgenutzt?

Alle Experten gehen davon aus, dass das nun bekannt gewordene Leck bislang noch nicht ausgenutzt wurde. Aber natürlich kann man nicht mit Sicherheit davon ausgehen. Der NSA zum Beispiel ist auf jeden Fall zuzutrauen, von dieser für Hacker sehr attraktiven Möglichkeit Gebrauch gemacht zu haben.

Fest steht: Jedes Leck wird genutzt, ist es erst einmal bekannt. Zwar ist das in diesem Fall aus technischer Sicht nicht trivial, aber eben möglich. Es ist daher nur eine Frage der Zeit, bis die Schwachstelle auch genutzt wird. Das macht die Sache so ernsthaft und bedenklich,

Cloud

In unserer vernetzten Welt leider nein. Denn kein User weiß, welche Hardware die Cloud-Dienste einsetzen, die man verwendet. Oder ob die dort im Einsatz befindliche Software bereits ausreichend abgesichert ist. Deshalb müssen Cloud-Anbieter nun mit Hochdruck an entsprechenden Lösungen arbeiten. Wir Nutzer müssen vertrauen – und sollten nur Cloud-Anbieter verwenden, die dieses Vertrauen verdienen.

 

 

Schieb App