Sicherheitslücken Spectre und Meltdown BSI rät zu Updates wegen Prozessoren-Fehlern

Chiphersteller und Betriebssystem-Lieferanten sind in Aufregung. Der Grund: Sicherheitslücken in Prozessoren. Die deutsche IT-Sicherheitsbehörde rät zu raschen Updates – doch nicht alle Probleme lassen sich so lösen.
Update: 04.01.2018 - 16:02 Uhr Kommentieren

„Von Happy New Year kann bei Intel keine Rede sein“

„Von Happy New Year kann bei Intel keine Rede sein“

BerlinDie deutschen Behörden raten Bürgern und Unternehmen zu einem zügigen Update ihrer Computer und Smartphones, nachdem auf Milliarden von Mikroprozessoren gravierende Sicherheitsmängel entdeckt worden waren. Die neue Software sollte aufgespielt werden, sobald sie zur Verfügung stehe, erklärte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Donnerstag.

Den deutschen Unternehmen dürften nach Einschätzung des Digitalverbandes Bitkom keine größeren Kosten durch die Schwachstellen in den Computerchips entstehen. „Die Belastung der deutschen Wirtschaft durch die jüngst bekanntgewordenen Sicherheitslücken in Mikroprozessoren dürfte gering ausfallen“, sagte Bitkom-Experte Nabil Alsabah der Nachrichtenagentur Reuters. „Die Anbieter von Betriebssystemen haben in den vergangenen Monaten bereits daran gearbeitet, die am Mittwoch enthüllten Hardware-Lücken über Softwarelösungen zu schließen.“

Das BSI erklärte, ihm sei derzeit kein Fall bekannt, in dem die Sicherheitslücken aktiv ausgenutzt worden seien. Der Fall sei aber ein Beleg dafür, wie wichtig es sei, Aspekte der IT-Sicherheit schon bei der Produktentwicklung angemessen zu berücksichtigen, sagte BSI-Präsident Arne Schönbohm. Bitkom riet Unternehmen generell dazu, das Thema Sicherheit zur Chefsache zu machen. Der Basisschutz sollte stets ergänzt werden um Verschlüsselung und spezielle Angriffserkennung.

Experten hatten zuvor zwei Schwachstellen auf Mikroprozessoren entdeckt, die in fast allen IT-Geräten verbaut sind. Die erste Sicherheitslücke namens „Kernschmelze“ betrifft den Angaben zufolge nur Chips des Branchenführers Intel. Sie ermögliche es Hackern, die Barriere zwischen Anwender-Programmen und dem Datenspeicher eines Computers zu überwinden und so möglicherweise Passwörter auszulesen.

Die zweite Schwachstelle mit dem Namen „Geist“ betreffe auch Mikroprozessoren von AMD und dem Chip-Entwickler ARM - und damit Laptops, PCs, Smartphones, Tablets und Server gleichermaßen. Hacker könnten sie womöglich nutzen, um Anwenderprogramme auszutricksen und zur Herausgabe sensibler Daten zu bewegen.

„Kernschmelze“ und „Geist“ schlummern auf den Chips

Es handele sich vermutlich um einen der schwersten Prozessoren-Fehler, der je gefunden worden sei, sagte Daniel Gruss von der Technischen Universität in Graz der Nachrichtenagentur Reuters. Er ist einer der Forscher, die die Sicherheitslücken in Zusammenarbeit mit dem Google Project Zero aufdeckten. Die Schwachstelle namens „Kernschmelze“ (Meltdown) sei kurzfristig das schwerer wiegende Problem. Sie lasse sich aber definitiv durch Software-Updates beseitigen. Die Schwachstelle „Geist“ (Spectre) dagegen, die fast alle IT-Geräte betrifft, mache es Hackern zwar schwieriger, sie auszunutzen. Sie sei aber auch schwieriger zu beseitigen und damit auf lange Sicht ein größeres Problem.

Durch die Schwachstellen könnten alle Daten ausgelesen werden, die gerade im Computer verarbeitet würden, sagte Michael Schwarz von der TU Graz dem „Tagesspiegel“ (Freitagausgabe). Angreifer könnten so auch an Daten vom Onlinebanking oder an gespeicherte Passwörter kommen. Sie müssten dazu allerdings erst auf den Computer gelangen. Wer die normalen Sicherheitshinweise befolge, keine unbekannten Anhänge öffne oder auf dubiose Links klicke, für den bestehe keine unmittelbare Gefahr.

„Handys, PCs, alles wird etwas davon betroffen sein, aber die Auswirkungen werden von Produkt zu Produkt unterschiedlich sein“, sagte Intel-Chef Brian Krzanich dem Fernseh-Sender CNBC. Sein Unternehmen sei vor einiger Zeit von Google über den Fehler informiert worden und habe bereits Software-Updates getestet, die von den Computer- und Handy-Herstellern in der nächsten Woche genutzt würden. 

Die Sicherheitslücke Meltdown

  • Benutzeranwendungen und das Betriebssystem sind eigentlich grundsätzlich voneinander isoliert. „Meltdown“ durchbricht diese Isolierung. Dieses Angriffsszenario ermöglicht es einem Programm, auf den Speicher und damit auch auf die geheimen Daten anderer Programme und des Betriebssystems zuzugreifen.
  • Wenn der Computer über einen betroffenen Prozessor verfügt und ein nicht gepatchtes Betriebssystem verwendet, ist es nicht sicher, mit sensiblen Informationen zu arbeiten, denn sie könnten durchsickern. Dies gilt sowohl für Personal Computer als auch für die Cloud-Infrastruktur. Gegen „Meltdown“ kann ein Software-Update helfen. Nach bisherigen Erkenntnissen sind nur Intel-Chips betroffen - aber fast alle seit 1995.

Die Sicherheitslücke Spectre

  • Das Angriffsszenario „Spectre“ durchbricht die Abschirmung zwischen verschiedenen Anwendungen. Es ermöglicht einem Angreifer, auch fehlerfreie Programme zu manipulieren, damit sie ihre sensiblen Daten preisgeben.
  • Paradoxerweise erhöhen die bislang verwendeten Sicherheitsüberprüfungen sogar die Angriffsfläche und können Anwendungen anfälliger für „Spectre“ machen. Allerdings ist dieses Angriffsszenario schwerer auszunutzen als „Meltdown“. Gleichzeitig ist es aber auch komplizierter, ein allgemeines Gegenmittel gegen dieses Angriffsszenario zu entwickeln. Immerhin ist möglich, die Ausführung von bereits bekanntgewordenen Schadprogrammen, die auf „Spectre“ basieren, durch Software-Patches zu verhindern.
Die wichtigsten Neuigkeiten jeden Morgen in Ihrem Posteingang.
  • rtr
Startseite

Mehr zu: Sicherheitslücken Spectre und Meltdown - BSI rät zu Updates wegen Prozessoren-Fehlern

0 Kommentare zu "Sicherheitslücken Spectre und Meltdown: BSI rät zu Updates wegen Prozessoren-Fehlern"

Das Kommentieren dieses Artikels wurde deaktiviert.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%