Volltextsuche über das Angebot:

3 ° / 1 ° stark bewölkt

Navigation:
Sicherheitslücke bei Computerchips trifft Milliarden Geräte

Anfällig für Attacken Sicherheitslücke bei Computerchips trifft Milliarden Geräte

Ganze Generationen von Computerchips sind anfällig für Attacken, mit denen Passwörter und Kryptoschlüssel gestohlen werden können. Die Tech-Branche beeilt sich, Computer, Smartphones und Cloud-Server sicherer zu machen. Zum Teil müssen aber Chips ausgetauscht werden.

Voriger Artikel
Spotify reicht vertraulichen Antrag für Börsengang ein

Die Sicherheitslücke war bereits vor einiger Zeit entdeckt worden.

Quelle: Ralf Hirschberger/illustration

Santa Clara. Durch eine neu entdeckte Sicherheitslücke in Computerchips von Milliarden Geräten können auf breiter Front vertrauliche Daten abgeschöpft werden.

Forscher demonstrierten, dass es möglich ist, sich Zugang zum Beispiel zu Passwörtern, Krypto-Schlüsseln oder Informationen aus Programmen zu verschaffen. Die Tech-Firmen sind dabei, die seit zwei Jahrzehnten bestehende Lücke mit Software-Aktualisierungen zu stopfen. Komplett kann man das Problem aber nur durch einen Austausch der Prozessoren beheben.

Die Schwachstelle liegt in einem Verfahren, bei dem Chips möglicherweise später benötigte Informationen schon im voraus abrufen, um Verzögerungen zu vermeiden. Diese als „speculative execution“ bekannte Technik wird seit Jahren branchenweit eingesetzt. Damit dürfte eine Masse von Computer-Geräten mit Chips verschiedenster Anbieter zumindest theoretisch bedroht sein. Das Schlimme an der Schwachstelle ist, dass alle auswendigen Sicherheitsvorkehrungen um den Prozessor herum durch den Design des Chips selbst durchkreuzt werden könnten.

Sie wüssten nicht, ob die Sicherheitslücke bereits ausgenutzt worden sei, erklärten die Forscher. Man würde es wahrscheinlich auch nicht feststellen können, denn die Attacken hinterließen keine Spuren in traditionellen Log-Dateien.

Der Branchenriese Intel erklärte, es werde gemeinsam mit anderen Firmen an Lösungen gearbeitet, bezweifelte aber zugleich, dass die Schwachstelle bereits für Attacken benutzt wurde. Der kleinere Intel-Konkurrent AMD, der von den Entdeckern der Sicherheitslücke ebenfalls genannt wurde, bestritt, dass seine Prozessoren betroffen seien. Der Chipdesigner Arm, dessen Prozessor-Architektur in Smartphones dominiert, bestätigte, dass einige Produkte anfällig dafür seien.

Die IT-Sicherheitsstelle der US-Regierung, CERT, zeigte sich kategorisch, was eine Lösung des Problems angeht: „Die Prozessor-Hardware ersetzen.“ Die Sicherheitslücke gehe auf Design-Entscheidungen bei der Chip-Architektur zurück. „Um die Schwachstelle komplett zu entfernen, muss die anfällige Prozessor-Hardware ausgetauscht werden.“

Die komplexe Sicherheitslücke war von den Forschern bereits vor rund einem halben Jahr entdeckt worden. Die Tech-Industrie arbeitete seitdem im Geheimen daran, die Schwachstelle mit Software-Updates soweit möglich zu schließen, bevor sie publik wurde. Die Veröffentlichung war für den 9. Januar geplant. Die Unternehmen zogen sie auf Mittwoch vor, nachdem Berichte über eine Sicherheitslücke in Intel-Chips die Runde machten. Der Aktienkurs von Intel sackte ab, der Konzern sah sich gezwungen, „irreführenden Berichten“ zu widersprechen und betonte, es handele sich um ein allgemeines Problem.

Die Forscher, die unter anderem bei Google arbeiten, beschrieben zwei Attacken auf Basis der Schwachstelle. Bei der einen, der sie den Namen „Meltdown“ gaben, werden die grundlegenden Trennmechanismen zwischen Programmen und dem Betriebssystem ausgehebelt. Dadurch könnte böswillige Software auf den Speicher und damit auch auf Daten anderer Programme und des Betriebssystems zugreifen. Für diese Attacke ist den Entdeckern der Schwachstelle zufolge nahezu jeder Intel-Chip seit 1995 anfällig - sie kann aber mit Software-Updates gestopft werden.

Die zweite Attacke, „Spectre“, lässt zu, dass Programme einander ausspionieren können. „Spectre“ sei schwerer umzusetzen als „Meltdown“ - aber es sei auch schwieriger, sich davor zu schützen. Man könne lediglich bekannte Schadsoftware durch Updates stoppen. Ganz sei die Lücke aber nicht zu stopfen. Von „Spectre“ seien „fast alle Systeme betroffen: Desktops, Laptops, Cloud-Server sowie Smartphones“, erklärten die Forscher. Man habe die Attacke auf Chips von Intel und AMD sowie Arm-Designs nachgewiesen.

Die Software-Maßnahmen gegen die Sicherheitslücken dürften zwar die Leistung der Prozessoren beeinträchtigen, räumte Intel ein. In den meisten Fällen werde der Leistungsabfall aber bei maximal zwei Prozent liegen. In ersten Berichten war noch von bis zu 30 Prozent die Rede.

Besonders brenzlig werden könnte das Problem zumindest theoretisch in Server-Chips, auf denen sich die Wege vieler Daten kreuzen. Die Cloud-Schwergewichte Google, Microsoft und Amazon erklärten, dass ihre Dienste mit Software-Updates abgesichert worden seien.

In den vergangenen Jahren hatten die Tech-Unternehmen ihre Geräte und Dienste unter anderem mit Verschlüsselung geschützt - gingen dabei jedoch davon aus, dass von den Prozessoren selbst keine Gefahr droht.

MELTDOWN: Benutzeranwendungen und das Betriebssystem sind eigentlich grundsätzlich voneinander isoliert. „Meltdown“ durchbricht diese Isolierung. Dieses Angriffsszenario ermöglicht es einem Programm, auf den Speicher und damit auch auf die geheimen Daten anderer Programme und des Betriebssystems zuzugreifen. Wenn der Computer über einen betroffenen Prozessor verfügt und ein nicht gepatchtes Betriebssystem verwendet, ist es nicht sicher, mit sensiblen Informationen zu arbeiten, denn sie könnten durchsickern. Nach bisherigen Erkenntnissen sind nur Intel-Chips betroffen - aber fast alle seit 1995.

SPECTRE: Das Angriffsszenario „Spectre“ durchbricht die Abschirmung zwischen verschiedenen Anwendungen. Es ermöglicht einem Angreifer, auch fehlerfreie Programme zu manipulieren, damit sie ihre sensiblen Daten preisgeben. Paradoxerweise erhöhen die bislang verwendeten Sicherheitsüberprüfungen sogar die Angriffsfläche und können Anwendungen anfälliger für „Spectre“ machen. Allerdings ist dieses Angriffsszenario schwerer auszunutzen als „Meltdown“. Gleichzeitig ist es aber auch komplizierter, ein allgemeines Gegenmittel gegen dieses Angriffsszenario zu entwicklen. Immerhin ist möglich, die Ausführung von bereits bekanntgewordenen Schadprogrammen, die auf „Spectre“ basieren, durch Software-Patches zu verhindern.

dpa

Voriger Artikel
Mehr aus Neu im Netz
Reporter vor Ort

In einer fortlaufenden Galerie zeigen wir Ihnen jeden Tag die wichtigsten Bilder aus Lübeck und den umliegenden Kreisen. Klicken Sie hier, um die Galerie für den Januar 2018 zu sehen!

Schwarz-Rot steht nach dem Sondierungsmarathon kurz vor dem Durchbruch. Sind Sie dafür?

  • Hochzeitszauber
    Tipps und Tricks zum Planen und Organisieren Ihrer Hochzeit. Ob Location, Dekoration, Trauringe, Flitterwochen, Catering - hier finden Sie Informationen und kompetente Ansprechpartner in und um Lübeck für Ihre Traumhochzeit.

    Tipps und Tricks zum Planen und Organisieren Ihrer Hochzeit. Ob Location, Dekoration, Trauringe, Flitterwochen, Catering - hier finden Sie Informat... mehr

  • Reisetipps
    In unserem Reiseportal finden Sie viele Tipps & Tricks für Reisende und Urlauber.

    In unserem Reiseportal finden Sie viele Tipps & Tricks für Reisende und Urlauber. mehr

  • Events & Veranstaltungen
    Was? Wann? Wo? Hier finden Sie die Veranstaltungen und Events in Ihrer Nähe.

    Was? Wann? Wo? Hier finden Sie die Veranstaltungen und Events in Ihrer Nähe. mehr

  • Lifestyle

    Unser Lifestyle-Portal mit nützlichen News und Tipps: Informieren Sie sich über Mode, Beauty und aktuelle Trends. Mehr Schwung, mehr Spaß... mehr

Städtewetter
Heute -° / -° -
- -°/-° -
- -°/-° -
Kommentar

Bissig, polemisch, kontrovers: Kommentare aus den LN.

TV-Vorschau

Unsere Kolumne zeigt, wo sich das Einschalten lohnt.

Sonntagsreden

Von Börse bis Fußballplatz - Blogs unserer "Edelfedern".

Kreuzwort

Auch online wartet täglich ein neues Rätsel auf Sie. Jetzt rätseln!

Sudoku

Bleiben Sie geistig aktiv – mit japanischem Gehirnjogging.

24. Juli 2017 - Alev Doğan in Allgemein

Es gibt eine Wahrheit, vor der auch ich mich schon lange drücke. Eine, die auszusprechen weh tut: Um die Türkei steht es im Moment nicht gut. Ach was, um die Türkei steht es im Moment miserabel.

mehr