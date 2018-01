(mth/dpa) - Durch eine gravierende Sicherheitslücke in Computerchips von Milliarden Geräten, können auf breiter Front vertrauliche Daten abgeschöpft werden. Forscher demonstrierten, dass es möglich ist, sich Zugang zum Beispiel zu Passwörtern, Kryptoschlüsseln oder Informationen aus Programmen zu verschaffen.

Forscher machten zwei Angriffsszenarien aus: Mit „Meltdown“ kann man Daten aus dem Betriebssystem abgreifen, mit „Spectre“ aus anderen Programmen. Tech-Firmen sind dabei, die seit zwei Jahrzehnten bestehende Lücke so gut es geht mit Softwareaktualisierungen zu stopfen. Komplett kann man das Problem aber nur durch einen Austausch der Prozessoren beheben.

Die Schwachstelle liegt in einem Verfahren, bei dem Chips möglicherweise später benötigte Informationen schon im voraus abrufen, um Verzögerungen zu vermeiden. Diese als „speculative execution“ bekannte Technik wird seit Jahren branchenweit eingesetzt. Damit dürfte eine Masse von Computergeräten mit Chips verschiedenster Anbieter zumindest theoretisch bedroht sein. Das Schlimme an der Schwachstelle ist, dass alle aufwendigen Sicherheitsvorkehrungen um den Prozessor herum durch das Design des Chips selbst durchkreuzt werden könnten.

Problem seit dem Sommer bekannt

Die komplexe Sicherheitslücke war von den Forschern bereits vor rund einem halben Jahr entdeckt worden. Die Tech-Industrie arbeitete seitdem im Geheimen daran, die Schwachstelle mit Software-Updates soweit möglich zu schließen, bevor sie publik wurde. Die Veröffentlichung war für den 9. Januar geplant. Die Unternehmen zogen sie auf Mittwoch vor, nachdem Berichte über eine Sicherheitslücke in Intel-Chips die Runde machten.

Der Aktienkurs von Intel sackte ab, der Konzern sah sich gezwungen, „irreführenden Berichten“ zu widersprechen und betonte, es handele sich um ein „allgemeines Problem“. Pikant daran ist ein Aktienverkauf von Intel-Chef Brian Krzanich, der Ende November ein millionenschweres Aktienpaket abgestoßen hatte. Wie bei amerikanischen Top-Managern üblich, war der Verkauf vorher geplant gewesen – die Anweisung sei aber erst Ende Oktober erfolgt, wie aus Unterlagen bei der US-Börsenaufsicht SEC hervorgeht. Die Sicherheitslücke war Intel bereits seit dem Sommer bekannt. Nachdem die Website „Business Insider“ darauf hinwies und einen womöglich illegalen Insiderhandel witterte, erklärte Intel: „Brians Verkauf hängt damit nicht zusammen“. Er sei nach dem vorgegebenen Plan automatisiert ausgeführt worden.

Intel erklärte, es werde gemeinsam mit anderen Firmen an Lösungen gearbeitet, bezweifelte aber zugleich, dass die Schwachstelle bereits für Attacken benutzt wurde. Im Netz kursiert allerdings bereits Schadcode als „Proof of concept“, so dass reale Attacken bald auftreten dürften. Der kleinere Intel-Konkurrent AMD, der von den Entdeckern der Sicherheitslücke ebenfalls genannt wurde, bestritt, dass seine Prozessoren betroffen seien.

Der Chipdesigner ARM, dessen Prozessorarchitektur in Smartphones und Tablets dominiert, bestätigte, dass einige Produkte anfällig dafür seien. Der Hersteller Apple, der Prozessoren von Intel und ARM, sowie ARM-basierte Eigenentwicklungen in seinen Produkten einsetzt, erklärte, die Gefahr sei bereits mit den jüngsten Versionen der Betriebssysteme für iPhones, iPads, Macs und Apple-TV-Fernsehboxen zumindest „abgemildert“ worden. Die Computeruhr Apple Watch sei nicht betroffen.