DIE ZEIT: Herr Gruss, Ihrem Team ist es in wochenlanger Arbeit gelungen, zwei Computer-Sicherheitslücken zu erkennen und zu schließen, die Chiphersteller offenbar lange übersehen haben. Welche Belohnung hat Intel springen lassen?

Daniel Gruss: Intel hat uns 5.000 Dollar als Anerkennung für das Auffinden der Lücken gezahlt. Aber für unsere Forschung erhalten wir grundsätzlich kein Geld von Intel, sie wird aus öffentlichen Mitteln finanziert, etwa von der EU. Wir haben den Anspruch, mit unserer wissenschaftlichen Arbeit der Allgemeinheit zu dienen. Unser Patch – also das Programm, das die Sicherheitslücken schließt – steht für jeden kostenlos zur Verfügung, auch für Intel.

ZEIT: Könnten solche Geschenke nicht bewirken, dass Intel sich auch in Zukunft auf die Hilfe von Forschern verlässt, statt selbst Produkte ohne Schwachstellen auszuliefern?

Gruss: Sicher hat Intel nicht alles richtig gemacht, aber ich würde dem Konzern keinen Vorwurf machen; es sind ja alle Hersteller betroffen.

ZEIT: Warum nehmen Sie die Firmen so sehr in Schutz?

Gruss: Chiphersteller müssen abwägen, ob sie noch schnellere oder besonders sichere Chips herstellen wollen. Und die Kunden wollen eben immer schnellere Chips. Das hat dazu geführt, dass die Sicherheit unter die Räder geraten ist. Und Sie dürfen nicht vergessen: Die Chiphersteller müssen nun große Summen investieren, um unseren Patch unter den Kunden zu verbreiten und ähnliche Lücken künftig zu vermeiden.

ZEIT: Können Sie uns Laien erklären, was an den Sicherheitslücken so gefährlich ist?

Gruss: Angreifer können dank der beiden Lücken namens Spectre und Meltdown Daten erbeuten, während sie von einem Prozessor verarbeitet werden – E-Mails etwa, aber auch Passwörter. Dazu kommt, dass die Lücken auf einer Vielzahl gängiger Prozessoren existieren, in Smartphones und Tablets, auf privaten Computern und auf Servern im Internet. Kleine Schadprogramme reichen aus, um die Lücken auszunutzen. Es sind also sensible Daten von Millionen Nutzern in Gefahr.

ZEIT: Welche Erklärung gibt es für die Lücken?

Gruss: Prozessoren helfen Computern beim Denken: In Sekundenbruchteilen müssen sie im Auftrag verschiedener Computerprogramme große Datenmengen verarbeiten. Um schneller zu sein, versuchen sie, die nächsten Schritte der Programme zu antizipieren. Und dabei schauen sie nicht so genau hin, welche Programme auf die Daten wirklich zugreifen dürfen. Schadprogramme können also Daten aus dem Prozessor auslesen, an die sie eigentlich nicht herankommen dürften.

ZEIT: Wie haben Sie die Lücke entdeckt?

Gruss: An der TU Graz erforschen meine Kollegen und ich, wie Angreifer die physikalischen Eigenschaften von Hardware ausnutzen können. An so krasse Sicherheitslücken haben wir nicht geglaubt, aber 2017 ist es uns gelungen, Angriffe zu simulieren, die Lücken zu finden und sie mit unserem Patch zu schließen.

ZEIT: Warum hat es die Welt erst Wochen später davon erfahren?

Gruss: Die Firmen sollten die Lücken schließen können, bevor mögliche Angreifer davon erfahren. Alle Beteiligten hatten sich deshalb darauf verständigt, die Öffentlichkeit erst am 9. Januar zu informieren. Dann gab es Gerüchte, es kursierte ein erstes Schadprogramm, und wir haben den Konzernen vorgeschlagen, früher an die Öffentlichkeit zu gehen. Wir waren erleichtert, als wir unsere Lösung verkünden konnten.

ZEIT: Weil so viele Nutzer in Gefahr waren?

Gruss: Ja. Aber auch, weil es in den Wissenschaften immer nur einen Gewinner gibt. Wer als Zweiter kommt, geht leer aus. Wir waren nun gemeinsam mit Google, der Firma Cyberus Technology und Kollegen aus den USA und Australien unter den Ersten, die die Sicherheitslücke gefunden haben. Dass die Lösung dazu von uns kommt, ist dabei natürlich auch erfreulich.