https://www.faz.net/-gqe-95hyn

Intel und AMD betroffen : Computerchips sind doppelt unsicher

  • Aktualisiert am

So können Computerchips von Intel aussehen. Bild: dpa

Milliarden Computer auf der Welt sind von einer neu entdeckten Sicherheitslücke betroffen. Sie hat zwei böse Folgen. Konzerne versprechen Abhilfe, doch die bringt keine vollständige Sicherheit.

          Durch die Sicherheitslücke in Computerchips von Milliarden Geräten gibt es offenbar zwei mögliche Wege, diese auszunutzen. Nach Angaben von Google-Forschern ist bislang jedoch nicht bekannt, ob die Schwachstelle tatsächlich auch genutzt worden ist. Man würde es wahrscheinlich auch nicht feststellen können, denn die Attacken hinterließen keine Spuren in traditionellen Log-Dateien, erklärten die Forscher.

          Die Schwachstelle liegt in einem Verfahren, bei dem Chips möglicherweise später benötigte Informationen schon im voraus abrufen, um Verzögerungen zu vermeiden. Diese als „speculative execution“ bekannte Technik wird seit Jahren von diversen Anbietern eingesetzt. Damit dürfte eine Masse von Computer-Geräten zumindest theoretisch bedroht sein.

          Die Attacken heißen „Meltdown“ und „Spectre“

          Die Forscher, die unter anderem bei Google arbeiten, beschrieben zwei Attacken auf Basis der Schwachstelle. Bei der einen, der sie den Namen „Meltdown“ gaben, werden die grundlegenden Trennmechanismen zwischen Programmen und dem Betriebssystem ausgehebelt. Dadurch könnte böswillige Software auf den Speicher und damit auch auf Daten anderer Programme und des Betriebssystems zugreifen. Für diese Attacke ist den Entdeckern der Schwachstelle zufolge nahezu jeder Intel-Chip seit 1995 anfällig. Sie kann aber mit Software-Updates gestopft werden.

          Die zweite Attacke, „Spectre“, lässt zu, dass Programme einander ausspionieren können. „Spectre“ sei schwerer umzusetzen als „Meltdown“ – aber es sei auch schwieriger, sich davor zu schützen. Man könne aber zumindest bekannte Schadsoftware durch Updates stoppen. Von „Spectre“ seien „fast alle Systeme betroffen: Desktops, Laptops, Cloud-Server sowie Smartphones“, erklärten die Forscher. Man habe die Attacke auf Chips von Intel und AMD sowie Arm-Designs nachgewiesen.

          Der Branchenriese Intel erklärte, es werde gemeinsam mit anderen Unternehmen an einer Lösung gearbeitet, bezweifelte aber zugleich, dass die Schwachstelle bereits ausgenutzt worden sei. Der kleinere Intel-Konkurrent AMD, der von den Entdeckern der Sicherheitslücke ebenfalls genannt wurde, bestritt zunächst, dass seine Prozessoren betroffen seien. Der Chipdesigner Arm, dessen Prozessor-Architektur in Smartphones dominiert, bestätigte, dass einige Produkte anfällig dafür seien.

          Reichen die bisherigen Maßnahmen?

          Die Software-Maßnahmen gegen die Sicherheitslücken dürften zwar die Leistung der Prozessoren beeinträchtigen, räumte Intel ein. In den meisten Fällen werde der Leistungsabfall aber bei maximal zwei Prozent liegen. In ersten Berichten war noch von bis zu 30 Prozent die Rede.

          Das staatliche Computersicherheits-Team der Vereinigten Staaten allerdings hält Software-Lösungen nicht für ausreichend - zumindest nicht unbedingt für den Einsatz in Rechenzentren. Die Software-Lösungen „milderten“ das Problem, heißt es von den Sicherheitsexperten. „Um die Schwachstelle vollständig zu entfernen, muss der Prozessor ausgetauscht werden.“

          Die Sicherheitslücke war schon vor einiger Zeit entdeckt worden. Die Tech-Industrie arbeitete seitdem daran, die Schwachstelle mit Software-Updates zu schließen, bevor sie publik wurde. Die Veröffentlichung war für den 9. Januar geplant. Die Unternehmen zogen sie auf Mittwoch vor, nachdem Berichte über eine Sicherheitslücke in Intel-Chips die Runde machten. Der Aktienkurs von Intel sackte ab, der Konzern sah sich gezwungen, „irreführenden Berichten“ zu widersprechen und betonte, es handele sich um ein allgemeines Problem.

          Besonders brenzlig werden könnte das Problem zumindest theoretisch in Server-Chips, auf denen sich die Wege vieler Daten kreuzen. Die Cloud-Schwergewichte Google, Microsoft und Amazon sicherten ihre Dienste mit Software-Updates. In den vergangenen Jahren hatten die Tech-Unternehmen ihre Geräte und Dienste unter anderem mit Verschlüsselung abgesichert. Sie gingen dabei jedoch davon aus, dass von den Prozessoren selbst keine Gefahr droht.

          Weitere Themen

          Was darf die EZB?

          Staatsanleihenkäufe : Was darf die EZB?

          Überzieht die Europäische Zentralbank ihr Mandat und betreibt unerlaubte Staatsfinanzierung? An diesem Dienstag urteilt der EuGH über die umstrittenen Anleihenkäufe.

          Fernverkehr liegt lahm Video-Seite öffnen

          Warnstreiks bei der Bahn : Fernverkehr liegt lahm

          Die Gewerkschaft EVG hat für Montag einen Arbeitskampf angekündigt. Schwerpunkte nannte sie nicht. Mit Beeinträchtigungen müsse im ganzen Land gerechnet werden. Die Deutsche Bahn rät Reisenden ihre Fahrt zu verschieben.

          Erneute Warnstreiks bei der Bahn Video-Seite öffnen

          EVG kündigt Streiks an : Erneute Warnstreiks bei der Bahn

          Bahn-Reisende müssen sich auf Streiks in der Vorweihnachtszeit einstellen. Die EVG erklärte die laufenden Tarifverhandlungen mit der Deutschen Bahn für gescheitert. Bereits in den nächsten Tagen ist mit erheblichen Zugausfällen zu rechnen.

          Topmeldungen

          Blick auf den Neubau der Europäischen Zentralbank (EZB) in Frankfurt am Main mit 4 Europaflaggen

          Staatsanleihenkäufe : Was darf die EZB?

          Überzieht die Europäische Zentralbank ihr Mandat und betreibt unerlaubte Staatsfinanzierung? An diesem Dienstag urteilt der EuGH über die umstrittenen Anleihenkäufe.
          Ein Brite protestiert gegen den Brexit.

          FAZ Plus Artikel: Angst vor Brexit : Geht London der Blumenkohl aus?

          Viele Obst- und Gemüsehändler in der Markthalle von New Spitalfields, dem größten Umschlagplatz für frische Lebensmittel in der britischen Hauptstadt, fürchten sich vor dem Brexit. Sie bereiten sich schon jetzt auf den Mangel vor.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.