Berlin -Milliarden Rechner könnten von einer neu entdeckten Sicherheitslücke in Computerchips betroffen sein, die ein Forscherteam gefunden hat: Danach soll es möglich sein, vertrauliche Daten, Passwörter, Schlüssel oder Speicherinhalte abzufangen.

Vor allem Intel als Prozessor-Marktführer hat nun ein gewaltiges Problem. Die Forscher konnten bisher jedoch nicht sagen, ob diese Sicherheitslücke schon ausgenutzt worden sei. Bemerken würde man es ohnehin nicht, da eine Attacke keine Spuren auf den Prozessorprotokollen hinterlassen würden.

Intel informierte, dass gemeinsam mit anderen Firmen an Lösungen gearbeitet werde, bezweifelte aber zugleich, dass die Schwachstelle bereits für Attacken genutzt wurde. Der kleinere Intel-Konkurrent AMD, der von den Entdeckern der Schwachstelle ebenfalls genannt wurde, bestreitet, dass seine Prozessoren betroffen seien.

Smartphones anfällig für Attacken

Chipdesigner Arm, dessen Prozessor-Architektur in den meisten Smartphones verwendet wird, bestätigte, dass einige Produkte anfällig seien.

Betroffen seien nach Aussage der Forscher aber nahezu alle modernen Prozessoren. Diese sind nicht nur in Computern, sondern eben auch in Smartphones oder Tablets verbaut – und zwar in allen gängigen Betriebssystemen. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) sind sogar virtuelle Dienste wie Cloud- und Internetdienstanbieter von der Sicherheitslücke betroffen.

Geschwindigkeit birgt Gefahren

Die Schwachstelle liegt in einem Verfahren, das die Rechner immer schneller machen soll. Bei dieser Methode greift der Chip schon im Voraus auf Informationen zu, die möglichweise später benötigt werden. So sollen Verzögerungen im Rechner vermieden werden. Genau dieses System kann jedoch offenbar ausgetrickst – und die Daten abgefangen werden.

Auch das BSI betonte, dass bisher keine Attacke bekannt sei. „Das BSI hat in der Vergangenheit bereits mehrfach auf die Problematik von IT-Sicherheitsproblemen in Hardware-Produkten hingewiesen, etwa in unseren jährlichen Lageberichten. Der vorliegende Fall ist ein erneuter Beleg dafür, wie wichtig es ist, Aspekte der IT-Sicherheit schon bei der Produktentwicklung angemessen zu berücksichtigen“, sagte BSI-Präsident Arne Schönbohm.

Das Ministerium forderte Diensteanbieter auf, ihre Anwendungen schnellstmöglich abzusichern und empfiehlt Unternehmen und Privatpersonen, Sicherheitspatches (Korrektursoftware) für Betriebssysteme und insbesondere für Browser unmittelbar einzuspielen, sobald sie von den Herstellern zur Verfügung stünden. Das Gleiche gelte für Smartphones. Zudem sollten Apps nur aus vertrauenswürdigen Quellen bezogen werden. Zugleich sprach das BSI von „schwer zu behebenden IT-Sicherheitslücken“.



IT-Experten: Hardware muss ausgetauscht werden

Kategorischer in der Fehlerbehebung zeigte sich daher auch die IT-Sicherheitsstelle der US-Regierung, Cert: „Die Prozessor-Hardware ersetzen“, riet sie Betroffenen. Die Sicherheitslücke gehe auf Design-Entscheidungen bei der Chip-Architektur zurück. Um die Schwachstelle komplett zu entfernen, müsse die anfällige Prozessor-Hardware ausgetauscht werden, hieß es.

Netzpolitik.org-Chefredakteur Markus Beckedahl sagt, dass es fast unmöglich sei, einfach einen Chip auszuwechseln. „Ein Update könnte aber funktionieren“, sagt er dieser Zeitung.



Wer kommt für den Schaden auf?

Wer für den Schaden aufkommen muss – sei es durch einen Prozessoraustausch oder gar durch Datenmissbrauch, ist bisher unklar. „Sollte sich später herausstellen, dass durch die Sicherheitslücke ein Schaden entstanden ist, sollten Verbraucher aktiv werden und es muss dann je nach Sachverhalt geprüft werden, wer für diesen aufkommen muss“, erklärte Michèle Scherer von der Verbraucherzentrale Brandenburg (VZB). Wir fordern jetzt aber von den Anbietern und Herstellern, dass sie schnell reagieren, um so Schäden möglichst abzuwenden“, sagte sie weiter. Scherer empfahl Verbrauchern die aktuellen Ereignisse weiter zu verfolgen und Updates zu installieren. Intel erklärte, dass Nutzer nach einem Update keinen signifikanten Leistungsabfall befürchten müssten. Zunächst hatte es in Berichten geheißen, dass die Rechner nach einem Update rund 30 Prozent langsamer arbeiten würden.



Erste Updates veröffentlicht

Viele Anbieter wie Windows oder auch Android hatten am Donnerstagnachmittag schon regiert und entsprechende Updates veröffentlicht.

Die Sicherheitslücke war schon im Sommer entdeckt, aber nicht öffentlich gemacht worden, weil man das Leck erst hatte schließen wollen. Die Veröffentlichung war für den 9. Januar geplant, doch die erhöhte Update-Aktivität fiel auf und Gerüchte über die Schwachstelle bei Intel machten die Runde, so dass die Sicherheitslücke früher publik gemacht wurde.

Am Donnerstag wurde zudem bekannt, dass der Intel-Konzernchef Brian Krzanich schon im November 2017 Aktien seines Konzerns im Millionenwert verkauft hat – da soll er längst von den Sicherheitslücken gewusst haben. Laut Business-Insider hat Intel dementiert, dass der Verkauf etwas mit den Sicherheitslücken zu tun habe. Die Aktie sank nach Bekanntwerden der Vorfälle am Mittwoch um rund drei Prozent. (mit dpa)