Neue Lücke: So gut wie alle Computer und Handys sind ungeschützt

Neu entdeckte Sicherheitslücken in Mikroprozessoren könnten fast alle Computer und Smartphones rund um den Globus gefährden. Ein Fehler betrifft Experten zufolge nur Chips des Branchenführers Intel, ein anderer aber auch Mikroprozessoren von AMD und des Chip-Entwicklers ARM. Damit sind Laptops, PCs, Smartphones, Tablets und Internet-Server gleichermaßen bedroht. Hacker könnten Passwörter und andere geheime Informationen auf den Geräten ausspähen.

Die deutschen Behörden raten Bürgern und Unternehmen zu einem zügigen Update ihrer Computer und Smartphones. Die neue Software sollte aufgespielt werden, sobald sie zur Verfügung stehe, erklärte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Donnerstag. Den deutschen Unternehmen dürften nach Einschätzung des Digitalverbandes Bitkom keine größeren Kosten durch die Schwachstellen in den Computerchips entstehen. „Die Belastung der deutschen Wirtschaft durch die jüngst bekanntgewordenen Sicherheitslücken in Mikroprozessoren dürfte gering ausfallen“, sagte Bitkom-Experte Nabil Alsabah der Nachrichtenagentur Reuters. „Die Anbieter von Betriebssystemen haben in den vergangenen Monaten bereits daran gearbeitet, die am Mittwoch enthüllten Hardware-Lücken über Softwarelösungen zu schließen.“

Das BSI erklärte, ihm sei derzeit kein Fall bekannt, in dem die Sicherheitslücken aktiv ausgenutzt worden seien. Der Fall sei aber ein Beleg dafür, wie wichtig es sei, Aspekte der IT-Sicherheit schon bei der Produktentwicklung angemessen zu berücksichtigen, sagte BSI-Präsident Arne Schönbohm. Bitkom riet Unternehmen generell dazu, das Thema Sicherheit zur Chefsache zu machen. Der Basisschutz sollte stets ergänzt werden um Verschlüsselung und spezielle Angriffserkennung.

Experten hatten zuvor zwei Schwachstellen auf Mikroprozessoren entdeckt, die in fast allen IT-Geräten verbaut sind. Die erste Sicherheitslücke namens „Kernschmelze“ betrifft den Angaben zufolge nur Chips des Branchenführers Intel. Sie ermögliche es Hackern, die Barriere zwischen Anwender-Programmen und dem Datenspeicher eines Computers zu überwinden und so möglicherweise Passwörter auszulesen. Die zweite Schwachstelle mit dem Namen „Geist“ betreffe auch Mikroprozessoren von AMD und dem Chip-Entwickler ARM – und damit Laptops, PCs, Smartphones, Tablets und Server gleichermaßen. Hacker könnten sie womöglich nutzen, um Anwenderprogramme auszutricksen und zur Herausgabe sensibler Daten zu bewegen.

Es handele sich vermutlich um einen der schwersten Prozessoren-Fehler, der je gefunden worden sei, sagte Daniel Gruss von der Technischen Universität in Graz der Nachrichtenagentur Reuters. Er ist einer der Forscher, die die Sicherheitslücken in Zusammenarbeit mit dem Google Project Zero aufdeckten. Die Schwachstelle namens „Kernschmelze“ (Meltdown) sei kurzfristig das schwerer wiegende Problem. Sie lasse sich aber definitiv durch Software-Updates beseitigen. Die Schwachstelle „Geist“ (Spectre) dagegen, die fast alle IT-Geräte betrifft, mache es Hackern zwar schwieriger, sie auszunutzen. Sie sei aber auch schwieriger zu beseitigen und damit auf lange Sicht ein größeres Problem.

Durch die Schwachstellen könnten alle Daten ausgelesen werden, die gerade im Computer verarbeitet würden, sagte Michael Schwarz von der TU Graz dem Tagesspiegel (Freitagausgabe). Angreifer könnten so auch an Daten vom Onlinebanking oder an gespeicherte Passwörter kommen. Sie müssten dazu allerdings erst auf den Computer gelangen. Wer die normalen Sicherheitshinweise befolge, keine unbekannten Anhänge öffne oder auf dubiose Links klicke, für den bestehe keine unmittelbare Gefahr.

„Handys, PCs, alles wird etwas davon betroffen sein, aber die Auswirkungen werden von Produkt zu Produkt unterschiedlich sein“, sagte Intel-Chef Brian Krzanich dem Fernseh-Sender CNBC. Sein Unternehmen sei vor einiger Zeit von Google über den Fehler informiert worden und habe bereits Software-Updates getestet, die von den Computer- und Handy-Herstellern in der nächsten Woche genutzt würden.