Meltdown und Spectre sind erst der Anfang


Die Zahl klingt beruhigend. Bis Ende der Woche will Intel 90 Prozent aller Computer, die von den beiden gravierenden Sicherheitslücken betroffen sind, mit einem Update schützen. Auch andere Chiphersteller und Softwareanbieter arbeiten an Aktualisierungen, um das Problem zu beheben, das wohl Milliarden von PCs, Smartphones und Servern betrifft.

Das läuft nicht immer so glatt, wie die Pressemitteilungen behaupten. Eine der beiden Sicherheitslücken, Spectre genannt, lässt sich nach Einschätzung von Experten nicht vollständig schließen. Und auf bestimmten Systemen bereitet der Softwareflicken Probleme – so scheinen einige PCs mit AMD-Prozessoren nach einem Windows-Update nicht mehr zu starten, während auf anderen Geräten permanent der Browser abstürzt.

Doch auch unabhängig von diesen Begleiterscheinungen ist das Thema für die Chiphersteller noch nicht erledigt. Zum einen müssen sie das Design der künftigen Prozessormodelle verändern, um den Fehler von vornherein zu beheben. Zum anderen dürften nach den Entdeckungen zahlreiche Hacker – ehrliche wie kriminelle – versuchen, ähnlich gelagerte Schwachstellen zu finden.


„Wir haben eine ganze Klasse von Angriffsvektoren offengelegt“, sagt Werner Haas von der Dresdner Firma Cyberus Technology, der zu den Entdeckern der Schwachstelle „Meltdown“ gehört, im Gespräch mit dem Handelsblatt. „Es ist vorstellbar, dass jemand das Grundprinzip in anderen Kombinationen anwendet“, erklärt der frühere Intel-Mitarbeiter.

Die Sicherheitslücken, die derzeit die Technologiewelt erschüttern, betreffen einen Großteil der heutigen PCs, Smartphones und Server, und zwar von allen großen Herstellern. Rund ein Dutzend IT-Experten haben – teils unabhängig voneinander, teils gemeinsam – festgestellt, dass sie Prozessoren dazu bringen können, Daten preiszugeben, die im Speicher des Gerätes liegen, von Passwörtern über E-Mails bis hin zu Dokumenten.

Die Fehler liegen in einem Verfahren, das die Bearbeitung von Aufgaben beschleunigen soll. Das Grundprinzip: Der Prozessor prognostiziert, welche Arbeitsschritte als nächstes anstehen, und fordert vorausschauend Informationen an. Zudem nutzt er Wartezeiten – etwa wenn Programme Daten aus dem Speicher laden –, um andere Befehle abzuarbeiten.


Das ist unproblematisch, solange die Prozesse separat voneinander laufen. Doch eine Fehlkonstruktion macht es möglich, den Chip kurzzeitig so zu irritieren, dass er Informationen an eine Anwendung gibt, die nicht darauf zugreifen darf. „Der Prozessor wird auf eine falsche Fährte gelockt“, erklärt Haas: Der Chip korrigiere den Fehler zwar, hinterlasse aber Spuren, aus denen sich Informationen auslesen lassen.

Und zwar auch sehr vertrauliche: Wenn Spione oder Kriminelle den Trick anwenden, können sie auf Daten schließen, die im Speicher des Gerätes liegen. Ob Passwörter oder vertrauliche E-Mails, ob Abrechnungen oder Strategiepapiere. „Was das Verfahren für Angreifer attraktiv macht“, sagt Haas: „Von außen ist nichts davon sichtbar.“ Deswegen lässt sich kein IT-Experte darauf festlegen, ob jemand bereits die Sicherheitslücken ausgenutzt hat.


Kartierung einer unbekannten Welt



Haas und seine Kollegen bei Cyberus Technology sind nicht die einzigen, die auf diese Idee gekommen sind. Eine Übersichtsseite vermerkt ein knappes Dutzend Entdecker der beiden Sicherheitslücken „Meltdown“ und „Spectre“, neben einem Mitarbeiter der Google-Initiative Project Zero auch diverse Forscher an Universitäten, außerdem ein Experte der Technologiefirma Rambus.

Diese Ballung ist kein Zufall. „Die Erforschung von Prozessoren ähnelt der Kartierung einer unbekannten Welt“, schreibt der IT-Sicherheitsexperte Anders Fogh, der nicht zu den Entdeckern der beiden Sicherheitslücken zählt, aber einige Kollegen mit seinen Publikationen inspirierte. Wenn akademische Forscher Neuland entdecken, fügen sie es der Karte hinzu. „Das heißt, dass die Grenze für jeden ziemlich ähnlich aussieht, was die Leute auf ähnliche Pfade führt“, erklärt der Experte, der bei G-Data Advanced Analytics arbeitet, in einem Blogeintrag.

Erste Papiere zu dem Thema seien bereits 2005 erschienen, schreibt Fogh in seinem Überblick. In den letzten Jahren förderten verschiedene Forscher weitere Erkenntnisse zutage, die zur Entdeckung der Sicherheitslücken führten. „Viele Leute haben sich über längere Zeit auf diesen Fund zubewegt“, resümiert der Softwarespezialist.


Auf diesen Pfaden wandelte auch Moritz Lipp mit mehreren Kollegen der Technischen Universität Graz. Sie erhielten bereits 2016 einen Hinweis, dass Prozessoren eine Sicherheitslücke aufweisen könnten. Damals glaubten sie zunächst nicht, dass es funktioniert. Trotzdem probierten sie etwas herum – und stellten zu ihrer großen Überraschung fest, dass sie die Schutzmechanismen der Chips tatsächlich aushebeln konnten.

Die Informatiker entwickelten ein Update, um diese potenzielle Sicherheitslücke zu schließen. Experten sprechen von einem Patch, also gewissermaßen einem Flicken für die löchrige Software. Eine Studie dazu veröffentlichten sie im Frühjahr 2017. Im Herbst traf überraschend eine E-Mail von Intel ein: Der Chiphersteller ließ die Forscher wissen, dass er eine modifizierte Version des Patches nutzen wollte. Der Rest ist bekannt: In einer konzertierten Aktion entwickelte die IT-Branche ein Update.


Versteckte Angriffe durch Geheimdienste?



Akademiker machen ihre Erkenntnisse öffentlich, so funktioniert der Wissenschaftsbetrieb. Doch nicht alle Akteure teilen notwendigerweise ihre Funde mit der Fachwelt. Der US-Geheimdienst NSA ist beispielsweise dafür bekannt, Sicherheitslücken aufzuspüren und für Spionage zu nutzen, ohne die Softwarehersteller darüber zu informieren. Auch Akteure aus anderen Ländern haben große Ressourcen, um aufwendige Forschung zu betreiben.

„Die theoretische Möglichkeit wird seit Jahren diskutiert, Akteure wie die Geheimdienste hätten also genug Zeit gehabt, sich damit zu beschäftigen“, sagt Klaus Landefeld, Vorstand beim Verband der Internetwirtschaft Eco, dem Handelsblatt. „Ob und wie die Sicherheitslücken ausgenutzt werden, lässt sich nicht sagen“ – das sei Spekulation. Aber der Fall Snowden hat die IT-Welt sensibilisiert, jeder weiß: Unmöglich ist das nicht.

Spätestens jetzt wissen Geheimdienste und kriminelle Banden, wie sie nach weiteren Schwachstellen suchen können. Das könne sich für sie durchaus lohnen, warnt Cyberus-Technology-Experte Haas: „Man kann relativ leicht an Passwörter kommen, ohne dass dem Anti-Virus-Programm das als seltsames Verhalten auffällt.“ Ein kundiger Programmierer könne derartige Aktivitäten relativ einfach verstecken – anders als bei vielen anderen Viren und Trojanern.

Andere Fachleute bestätigen ihn: Die Entdeckungen seien beunruhigend, weil sie Cyberkriminellen neue Werkzeuge verschaffen könnten, um Passwörter und andere Daten zu stehlen, erklärt beispielsweise Steve Grobman, Technikchef des IT-Sicherheitsspezialisten McAfee. Und zwar von „einer großen Auswahl von Geräten, auf die wir uns verlassen“.

Eine Aussicht zumindest ist tröstlich. Die Sicherheitslücke besteht schon seit rund 20 Jahren – aber sie dürfte nicht ewig bleiben. Die Chiphersteller können die Architektur ihrer Prozessoren verändern, um derartige Angriffe zu verhindern. „Es braucht kein grundsätzlich neues Design, sondern eine Modifikation“, sagt Landefeld. In ein paar Jahren dürfte diese in der Mehrheit der Systeme laufen.

KONTEXT

Wie die Hacker zum Ziel kommen

Eine einzige Schwachstelle reicht

Wenn kriminelle Angreifer in ein Computersystem eindringen wollen, haben sie einen Vorteil: Sie müssen womöglich nur eine einzige Schwachstelle finden, um einen Rechner zu kompromittieren. Einige ausgewählte Angriffsmethoden.

Verspätetes Update

Es gibt praktisch keine fehlerlose Software - wenn Sicherheitslücken entdeckt werden, sollte sie der Hersteller mit einem Update schließen. Viele Firmen lassen sich jedoch Zeit, diese zu installieren und öffnen Angreifern somit Tür und Tor.

Angriff auf die Neugier

Der Mensch ist neugierig - das machen sich kriminelle Hacker zunutze: Sie verfassen fingierte E-Mails, die wichtige Dokumente oder ein lustiges Video versprechen, aber nebenbei die Zugangsdaten eines Mitarbeiters stehlen. Phishing wird diese Methode genannt.

Gutgläubigkeit als Einfallstor

"Hier ist die IT-Abteilung. Wir brauchen mal Ihr Passwort": Nicht selten gelangen Angreifer mit einem dreisten Anruf an die Zugangsdaten eines Mitarbeiters. Wer gutgläubig ist, fällt auf diese Masche rein - obwohl die IT-Fachleute aus dem eigenen Haus nie so eine Frage stellen würden.

Ein Passwort, das nicht sicher ist

Ob Router oder Drucker: Viele Geräte werden mit einem Standardpasswort ausgeliefert. Wenn die IT-Abteilung es nicht verändert, haben Angreifer leichtes Spiel. "Die Handbücher mit dem Passwort stehen oft im Internet", sagt Joachim Müller, Chef für IT-Sicherheit beim Dienstleister Ceyoniq Consulting.

Ein schwaches Glied

Angreifer suchen das schwächste Glied in der Kette, häufig alte Systeme. Zudem kennen professionelle Angreifer - neben Kriminellen auch Geheimdienste - oft Sicherheitslücken, die den Herstellern der Software noch nicht bekannt sind. Gegen solche Zero-Day-Exploits kann man sich kaum schützen.

KONTEXT

Schutz gegen Datendiebe

Passwörter gut schützen

Es klingt offensichtlich: Nutzer sollten ihre Passwörter gut schützen. Doch nicht wenige kleben ein Post-it mit Zugangsdaten an den Monitor oder speichern sie gar in einer Datei auf dem Rechner. Beides ist riskant - wenn Eindringlinge ins Büro oder auf den Rechner gelangen, können sie auch auf die E-Mails oder das Content Management System zugreifen.

Erst lesen, dann klicken

Es ist der Klassiker: In der E-Mail wird ein lustiges Katzenbild oder ein sensationelles Video angekündigt. Lädt man den Anhang herunter oder klickt auf den Link, fängt man sich aber einen Virus ein. Daher gilt nach wie vor die Regel, Anhänge und Links kritisch zu prüfen, ebenso Nachrichten von unbekannten Absendern.

Vorsicht mit USB-Sticks

Eine beliebte Angriffsmethode: Hacker lassen präparierte USB-Sticks auf dem Parkplatz oder in der Kantine liegen - und hoffen darauf, dass arglose Mitarbeiter das Gerät an den PC anschließen. Diese Masche funktioniert erschreckend gut. Die Lehre daraus: Nutzer sollten mit unbekannten Speichermedien extrem vorsichtig umgehen.

WLAN nur mit Verschlüsselung

Ob im Café oder am Flughafen: Wer mit seinem Smartphone oder Notebook ein öffentliches WLAN-Netzwerk nutzt, geht ein Risiko ein. Wenn man vertrauliche Daten abrufen will, sollte man das beispielsweise möglichst nur mit einer SSL-Verbindung tun. Weitere Tipps gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Weitere Tipps

Schutz gegen Mitleser

In der Bahn oder im Flugzeug können Mitreisende ohne Probleme einen Blick auf das Notebook oder Smartphone erhaschen - und bekommen so möglicherweise sensible Informationen mit. Sicherheitsexperten raten daher, sich nach sogenannten Schultersurfern umzusehen und im Zweifelsfall die Datei geschlossen zu lassen. Zudem raten sie dringend davon ab, das Gerät auch nur kurz aus dem Auge zu lassen.

Gesunde Skepsis bei Apps

Apps können das Leben leichter machen, aber auch unsicherer: Viele Anwendungen fragen Informationen ab, die die Nutzer vermutlich nicht weitergeben wollen. Gerade Android-Nutzer sollten genau überprüfen, welche Berechtigungen ein Programm einfordert und im Zweifelsfall lieber die Finger davon lassen. Gleiches gilt für PC-Nutzer, die Programme aus dem Nutzer herunterladen und installieren. Besonders illegale Kopien sind häufig verseucht.

Code fürs Smartphone

Es mag zwar vielleicht nerven, wenn man jedes Mal einen Code eingeben muss, bevor man das Smartphone nutzen kann. Doch eine Sperre ist höchst nützlich, wenn das Gerät verloren geht oder gestohlen wird. Viele Firmen schreiben eine solche physische Absicherung vor. Im Büro kann es durchaus sinnvoll sein, den Rechner zu sperren, während man eine Besprechung hat oder in die Mittagspause geht.

Software aktuell halten

Auch dieser Tipp ist bekannt, er wird aber trotzdem oft nicht beherzigt: Nutzer sollten die Software auf ihrem Rechner immer aktuell halten. Das gilt nicht nur für den Virenscanner, sondern auch das Betriebssystem und Anwendungsprogramme wie Browser oder Textverarbeitung. Potentiell können Angreifer viele Lücken ausnutzen, um schädliche Software auf das Gerät zu schleusen.