Selten wurde ein Vortrag des Intel-Vorstandsvorsitzenden Brian Krzanich auf der Branchenesse CES, die gerade in Las Vegas zu Ende ging, mit so viel Spannung erwartet. Die Eröffnungs-Keynote des Vorstandsvorsitzenden des amerikanischen Halbleiterkonzerns stand zwar schon seit langem fest, bekam aber durch das vor einigen Tagen bekanntgewordene IT-Debakel eine ganz neue Brisanz.
Durch die in den vorangegangenen Wochen bekannt gewordene – von Forschern der TU Graz und der deutschen Sicherheitsfirma Cyberus Technology entdeckte – Sicherheitslücke können theoretisch auf breiter Front Daten abgeschöpft werden. Die Schwachstelle steckt in einem branchenweit angewendeten Verfahren, weswegen Prozessoren verschiedenster Hersteller und auch Cloudanbieter betroffen sind. Die Schwachstellen setzen Milliarden von Geräten – von Smartphones über Personalcomputer bis zu Großrechner von Unternehmen – dem Risiko von Hacker-Angriffen aus. Es ist eine der größten Sicherheitslücken, die es in der Computerindustrie jemals gab.
Somit begann Krzanich mit einer Stellungnahme zur Chip-Schwachstelle bei seinem Auftritt auf der CES. Er kündigte dort am Montag an, binnen einer Woche Schutzmaßnahmen gegen die Sicherheitslücke in Computerchips für 90 Prozent seiner Prozessoren zu veröffentlichen. Für die restlichen Intel-Chips sollte das Sicherheitsupdate bis Ende des Monats herausgebracht werden. Er bekräftigte, dass man keine Hinweise darauf hätte, dass jemand durch Ausnutzen dieser Schwachstelle Nutzerdaten erbeutet haben könnte.
Es war dennoch ein Debakel, denn kaum wurden die Sicherheitsprobleme bekannt, wurde auch schon ein Tag später publik: Krzanich hatte bereits im November 2017 fast alle seine Intel-Aktien und Optionen verkauft hat, die er abstoßen durfte. Die Absicht über den Verkauf, machte er zwar in einer Pflichtmeldung bekannt, über die Sicherheitslücke soll er aber bereits im Juni informiert gewesen sein. Die Intel-Aktien ging erwartungsgemäß nach Bekanntgabe der Sicherheitslücke Anfang Januar auf Talfahrt, brach um 3,33 Prozent (1,59 Dollar) ein und sank auch nach Börsenschluss weiter.
Sie hat sich zwischenzeitlich zwar wieder erholt, doch deren starkes Auf und Ab seit Jahresbeginn spiegelt die Unsicherheiten wieder, wie sich die weitreichenden Intel-Sicherheitslücken von „Meltdown“ und „Spectre“ auf die Zukunft des Unternehmens, aber auch der gesamten Branche, auswirken. So reagiert Intel auf die Sicherheitslücken nicht nur mit Mikrocode-Fixes, sondern auch mit einer neuen internen Sicherheitsaufstellung. Damit sollen ähnliche Vorfälle in Zukunft vermieden werden.
Nun wird Kritik über die verzögerte Informationspolitik laut, denn die Schwachstelle wurde nicht nur bereits im Juni letzten Jahres entdeckt, sondern Insider und Experten wiesen auf möglich Probleme bereits 2012 hin.
Google, Microsoft und Amazon sicherten daraufhin ihre Cloud-Dienste ab. Dabei wurde das Problem früher publik als geplant. Eigentlich wollte die Branche die Schwachstelle und die Maßnahmen erst am 9. Januar veröffentlichen. Als eine erhöhte Update-Aktivität auffiel, machten dann erste Berichte über eine Schwachstelle bei den Intel-Chips schon eher die Runde.
Linus Torwald, Mitentwickler von Linus und die wichtigste Stimme der Open-Source-Community, hatte bereits genug von den beschwichtigenden Statements und Intel für seinen öffentlichen Umgang mit den Prozessorlücken („Meltdown“ und „Spectre“) scharf kritisiert und in einer Linux Mailing List zu einer klaren Stellungnahme aufgefordert: „Ich denke, dass jemand innerhalb von Intel wirklich einen genauen Blick auf die Prozessoren werfen und dann tatsächlich zugeben muss, dass diese Probleme haben – anstatt PR-Texte zu schreiben, in denen steht, dass alles funktioniert.“
In einer am 3. Januar veröffentlichten Stellungnahme hatte Intel die Hardware-Probleme seiner Prozessoren eher heruntergespielt und von seinen Produkten als „sicherste der Welt“ gesprochen. Der Intel-Chef unterstrich aber gleichzeitig, dass die Updates Auswirkungen auf die Leistungsfähigkeit der jeweiligen Prozessoren haben werden. Über das Ausmaß der Geschwindigkeitseinbußen durch den aktualisierten Code wurde seit Bekanntwerden der Prozessorlücken Anfang Januar heftig gestritten. Der Spiele-Entwickler Epic hatte einige Messwerte veröffentlicht, die einen 20-prozentigen Leistungseinbruch belegen sollen. Intel hingegen erklärte am 4. Januar, dass die Performance-Auswirkungen für „normale“ PC-Anwender nicht signifikant sein sollen und etwa bei 2 Prozent lägen.
Zahlreiche Hersteller von Hard- und Software haben bereits Sicherheitshinweise zu ihren jeweiligen Produkten veröffentlicht, die ständig aktualisiert werden. Auch der deutsche Internetdienstanbieter Strato sendet momentan Newsletter an seine Kunden mit dem Hinweis: „Strato nimmt diese Schwachstellen ernst. Als wir davon erfahren haben, haben wir umgehend reagiert. Um die Schwachstellen zu beheben, sind Aktualisierungen in Form von Patches und Updates an den entsprechenden Systemen notwendig. Bei Strato arbeiten derzeit zahlreiche Technik-Teams, die unsere Plattformen betreuen, mit höchster Priorität daran, die Plattformen mit diesen Aktualisierungen zu versorgen.“
Die aufgedeckte Sicherheitslücke dürfte den Chipkonzern sehr teuer zu stehen kommen. Bis dato haben Anwälte drei Klagen aus drei US-Bundesstaaten eingereicht. Es sollen Sammelklagen werden, denen sich weitere Intel-Kunden anschließen können. Man rechnet damit, dass noch weitere folgen werden (Sammelklagen sind eine mächtige Waffe des Verbraucherschutzrechts der USA). In Deutschland gibt es diese Möglichkeiten nicht. Auch Konzerne wie Amazon, Google und Microsoft Geld könnten von Intel Entschädigung verlangen, da sie teure Sicherheitsupdates entwickeln, um ihre Rechenzentren in der Cloud zu sichern.
Auch hierzulande wird Kritik geäußert: angesichts der Sicherheitslücken in Milliarden Geräten weltweit und auch Millionen in Deutschland werfen deutsche Verbraucherschützer den Herstellern vor, zu Lasten der Kunden zu wenig in die Sicherheit ihrer Produkte zu investieren. „Wenn ein Problem offenkundig wird, versuchen die Hersteller Schadensminimierung mit geringstmöglichem Aufwand und möglicherweise zu Lasten der Verbraucher“, sagte der Sprecher der Verbraucherzentrale Bundesverband (vzbv), Otmar Lell in einem Zeitungs-Interview. Der Branchenverband der deutschen Informations – und Telekommunikationsbranche sieht das gelassener: „Wenn Experten auf Sicherheitslücken in Hardware oder Software stoßen, ist es gängige Praxis, den jeweiligen Hersteller zu informieren. So wird sichergestellt, dass Sicherheitslücken geschlossen werden, bevor sie öffentlich bekannt werden und von Kriminellen ausgenutzt werden können.“ Und sie rät: „Unternehmen und Privatnutzer sollten jetzt die Betriebssysteme ihre Geräte möglichst schnell aktualisieren, um mögliche Angriffe zu vermeiden. Das bedeutet jedoch nicht, dass kriminelle Hacker diese Sicherheitslücken schon ausgenutzt haben. Die Software-Updates zur Behebung der Sicherheitslücken sollten die Leistung der betroffenen Prozessoren in den meisten Anwendungsfällen kaum beeinträchtigen.“
Die Sicherheitslücke in Mikroprozessoren ist ein GAU für die IT-Industrie - ähnlich wie der VW-Dieselskandal, auch wenn hier nichts auf Betrug oder Vorsatz hindeutet. Sie könnte die komplette Branche wandeln – auch in Deutschland. Laut aktuellem Deloitte Security Report wird bereits jetzt schon rund die Hälfte der mittleren und großen Unternehmen einmal pro Woche von Cyberkriminellen attackiert. Liegt der potentielle finanzielle Schaden pro Attacke bei durchschnittlich 700.000 Euro, liegt der Gesamtschaden für die deutsche Wirtschaft nach Expertenschätzungen bei 50 Milliarden. Wer würde gerade als gewinnorientiertes Unternehmen bei solchen Zuständen untätig bleiben? Laut Report gibt es bis heute keine dezidierte Cyber-Security-Strategie und in jedem vierten Betrieb hat sich die Führung nur am Rande oder gar nicht mit dem Thema befasst. Der Intel-Security-Gau könnte dies nun sicherlich ändern.
