http://www.faz.net/-gqz-95mdl

Bundesamt im Chip-Desaster : Nur Sprechblasen von den IT-Rettern

  • -Aktualisiert am

Ausgerechnet das Herz des Computers ist von der Sicherheitslücke betroffen: ein Prozessor von Intel Bild: Reuters

Wer könnte verunsicherten Computer-Nutzern helfen, die Chip-Sicherheitslücke zu schließen? Die zuständige Behörde erweist sich jedenfalls als Totalausfall.

          Das neue Jahr fängt an wie das alte: Eine Sicherheitslücke jagt die nächste, diesmal gleich zu Jahresbeginn mit epischen Ausmaßen. Die aktuell diskutierten Angriffsmöglichkeiten wurden „Meltdown“ und „Spectre“ getauft und betreffen einen Großteil aller Computer, die heute in Gebrauch sind. Die Ursache dafür ist einfach: Es ist kein Softwareproblem, wie wir es mittlerweile gewohnt sind, sondern es betrifft Hardware.

          Denn die Angriffsmethoden setzen bei den am weitesten verbreiteten Prozessoren und deren Zusammenspiel mit den jeweiligen Betriebssystemen an, die in Millionen von Geräten stecken. Die beiden größten Prozessoranbieter Intel und AMD sind betroffen, ebenso alle, die diese Chips verwenden, wie Dell, HP und auch Apple mit Geräten von den Macs über die Apple Watch bis zu den iPhones.

          Die Krone der bizarren Reaktionen

          Die Reaktionen auf das öffentliche Bekanntwerden der schon seit Sommer des letzten Jahres vermuteten Angriffsmethoden offenbaren einmal mehr die generelle Hilflosigkeit der Branche. Zwar kann in das Innerste von Betriebssystemen, den sogenannten Kernel, eine Fehlerkorrektur eingebracht werden, um einige der Angriffe abzuwehren oder zu erschweren. Die Systeme werden dadurch allerdings etwas langsamer. Und bei einer derartigen Menge an betroffenen Systemen ist das kein kleines Unterfangen. Während das Update läuft und den Computer wieder ein kleines bisschen sicherer macht, sollte der Nutzer ruhig mal ein großes Dankeschön an die Handvoll verschwitzter und überarbeiteter Kernel-Entwickler schicken. Denn das sind die Menschen, die mit ihren Software-Abhilfen mal wieder die Welt retten, obwohl sie nicht das kleinste bisschen Schuld an der Situation tragen.

          Der Prozessorhersteller Intel behandelte die Katastrophe im Wesentlichen als PR-Problem. Nachdem der Intel-Chef rechtzeitig noch alle Aktien abgestoßen hatte, die er verkaufen durfte, litt das öffentliche Ansehen des Prozessor-Platzhirschs dann auch deutlich. Doch wo wendet sich die deutsche Öffentlichkeit hin, wenn sie verlässliche Fakten und Hinweise zur Abhilfe sucht? Es böte sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) an, das die Fachleute hat, um eine fundierte Einschätzung abzugeben. Doch statt sinnvolle Hinweise zu geben, setzte sich das deutsche BSI die Krone der bizarren Reaktionen auf: Neben den üblichen Gemeinplätzen (immer schön patchen!) tat die IT-Sicherheitsbehörde so, als wenn sie schon lange auf das Problem hingewiesen hätte. Der BSI-Präsident Arne Schönbohm lässt sich mit einem Statement zitieren, dessen Aussage so schlicht wie hilflos ist: Haben wir euch doch schon immer gesagt!

          Das Forscherteam der TU Graz, das die Computer-Prozessor-Sicherheitslücken „Meltdown“ und „Spectre“ mitentdeckte: Michael Schwarz, Moritz Lipp und Daniel Gruss.

          In seinem Jahresbericht 2017 weist das Bundesamt tatsächlich abstrakt auf die Risiken von Hardware-Sicherheitslöchern und spezifisch auf sogenannte „Seitenkanalangriffe“ hin. Zu dieser Art Angriff zählen „Spectre“ und „Meltdown“ prinzipiell. Jedoch wird bei der Lektüre des betreffenden Absatzes im Jahresbericht schnell klar, dass es dem BSI um eine gänzlich andere Klasse von Problemen ging, die das Auslesen von Krypto-Schlüsseln aus Chipkarten betrifft. Konkret vor der nun veröffentlichten Problemklasse hat das BSI nicht gewarnt.

          Vom BSI nur Sprechblasen und Gemeinplätze

          Im Gegenteil: Das BSI hat seit vielen Jahren den Holzweg erforscht und propagiert, man könne in praktisch allen Fällen durch die sogenannte Virtualisierung effektiv sichere von unsicheren Anwendungen auf dem gleichen Computer trennen. Virtualisierung bedeutet grob gesprochen, dass mehrere Betriebssysteme gleichzeitig auf demselben Computer laufen, denen durch Software- und Hardwaretricks vorgegaukelt wird, sie wären die einzigen auf diesem Prozessor.

          Nun ist es aber genau diese Virtualisierung, die von „Meltdown“ und „Spectre“ am meisten betroffen wird: Unsichere Programme in einem Teil des Computers können damit den Speicher von als sicher angesehenen Anwendungen in einem ganz anderen Teil des Rechners auslesen. Deswegen sind gerade auch alle Cloud-Anbieter hektisch mit dem Update von Hunderttausenden Systemen beschäftigt.

          Sprinter – der politische Newsletter der F.A.Z.
          Sprinter – der Newsletter der F.A.Z. am Morgen

          Starten Sie den Tag mit diesem Überblick über die wichtigsten Themen. Eingeordnet und kommentiert von unseren Autoren.

          Mehr erfahren

          Die PR-Tricks des BSI im jüngsten Fall sind nur die Fortsetzung einer langen Reihe von inadäquaten Reaktionen auf eine in ihren Grundfesten erschütterte IT-Welt. Statt brauchbarer und zuverlässiger Informationen, die verunsicherten Anwendern und Unternehmen praktische Hilfestellung geben und die drängendsten Fragen zur Sicherheitslücke der Woche verständlich beantworten, gibt es vom BSI als Erstreaktion wieder nur Sprechblasen und Gemeinplätze. Die Behörde schafft es nicht einmal, auch nur einen Link zu den informativen Websites der Forscher zu setzen oder wenigstens die englischsprachigen Hinweise dort auf Deutsch zusammenzufassen.

          Im Grunde gehen die beiden nun bekannten Angriffswege auf einen langjährigen Trend zurück, den auch das BSI nicht als Irrweg erkannt hat, selbst wenn es jetzt so tut, als hätte es davor gewarnt: Die Chip-Hersteller haben die Geschwindigkeit und Leistungsfähigkeit über die Sicherheit gestellt. Es musste wohl erst zu solch gravierenden Sicherheitslücken kommen, um nun ein Umdenken einzuleiten. Da alle betroffenen Anbieter unisono betonen, ein konkretes Ausnutzen der Sicherheitslücken sei derzeit nirgendwo bekannt, sind wir bisher an einer großen Katastrophe vorbeigeschrammt. Dass das nicht so bleiben wird, ist allerdings absehbar, da die Menge an nicht mit den nötigen Updates versorgten oder gar nicht versorgbaren Systemen eher steigt als sinkt. Zudem werden sich alle gedulden müssen, bis neue Prozessoren ohne die Sicherheitslücken in neu verkauften Geräten verbaut sind.

          Wie bei allen Sicherheitslücken richten sich die Augen natürlich auch auf die NSA, den technischen Geheimdienst mit den sagenhaften Staatshackern. Doch anders als das BSI, das uns schon immer gewarnt haben will, betont die NSA ihre Ahnungslosigkeit mit dem lustigsten Argument bisher: Sowas würde man doch nie tun, da man damit ja dem befreundeten Unternehmen Intel geschadet hätte. Honi soit qui mal y pense.

          Weitere Themen

          Topmeldungen

          Superschnelles Internet : Warum mit 5G die Funklöcher nicht verschwinden

          Der neue Mobilfunkstandard für superschnelles Internet soll vieles besser machen. Die Politik will den Ausbau vorantreiben. Doch die Netzbetreiber haben Angst vor hohen Kosten – sie drohen, an anderer Stelle zu sparen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.