IT-Sicherheit - Prozessoren weisen Sicherheitslücken auf Betroffen sind unter anderem Geräte, in denen Chips des Herstellers Intel verbaut sind. Hacker könnten an sensible Daten wie Kreditkarteninformationen gelangen. © Foto: Norbert Von Der Groeben/epa

Sicherheitslücken in Computerchips könnten Hackern Zugriff auf vertrauliche Daten von Milliarden von Geräten weltweit ermöglichen. Forscher haben aufgezeigt, dass es möglich ist, sich Zugang zu Informationen wie Passwörtern und Kryptoschlüsseln zu verschaffen.

"Handys, PCs, alles wird davon betroffen sein, aber die Auswirkungen werden von Produkt zu Produkt unterschiedlich sein", sagte Intel-Chef Brian Krzanich dem TV-Sender CNBC. Updates von Betriebssystemen und anderer Software sollen nun die Sicherheitslücken schließen.

Entdeckt haben das Problem Experten des Google Project Zero und Forscher von Universitäten und aus der Industrie. Demnach liegt die Schwachstelle in einem Verfahren, bei dem Chips Informationen schon im Voraus abrufen, um Verzögerungen später zu vermeiden. Diese Technik wird seit Jahren von verschiedenen Anbietern eingesetzt, sie ist unter der Bezeichnung speculative execution bekannt und dient dazu, schnellere Performance zu liefern – offenbar auf Kosten der Sicherheit, wie sich nun herausstellt.

Laut Daniel Gruss von der Technischen Universität in Graz handelt es sich vermutlich um einen der schwersten Prozessorenfehler, der je gefunden worden ist. Die Sicherheitslücke war bereits vor einiger Zeit entdeckt worden, die Technikbranche arbeitete seitdem daran, die Schwachstelle mit Softwareupdates zu schließen. Die Öffentlichkeit sollte eigentlich erst am 9. Januar informiert werden. Doch die Unternehmen zogen die Veröffentlichung vor, nachdem Berichte über eine Sicherheitslücke in Intel-Chips publik wurden. Der Aktienkurs von Intel fiel, der Konzern sah sich gezwungen, "irreführenden Berichten" zu widersprechen und betonte, es handele sich um ein allgemeines Problem.

Der Intel-Konkurrent AMD, der von den Entdeckern der Sicherheitslücke ebenfalls genannt wurde, bestritt, dass seine Prozessoren betroffen seien. Der Chipdesigner Arm, dessen Prozessorarchitektur in Smartphones dominiert, bestätigte dagegen, dass einige Produkte anfällig dafür seien.

So können die Sicherheitslücken von Hackern ausgenutzt werden

Die Forscher beschrieben zwei mögliche Attacken auf Basis der Schwachstelle. Bei der einen, der sie den Namen Meltdown gaben, werden die grundlegenden Trennmechanismen zwischen Programmen und dem Betriebssystem ausgehebelt. Dadurch könnte böswillige Software auf den Speicher und damit auch auf Daten anderer Programme und des Betriebssystems zugreifen. Für diese Attacke ist den Entdeckern der Schwachstelle zufolge nahezu jeder Intel-Chip seit 1995 anfällig – sie kann aber mit Softwareupdates gestopft werden.

Die zweite mögliche Attacke, Spectre, lässt zu, dass Programme einander ausspionieren können. Spectre sei schwerer umzusetzen als Meltdown – aber es sei auch schwieriger, sich davor zu schützen. Man könne aber zumindest bekannte Schadsoftware durch Updates stoppen. Von Spectre seien "fast alle Systeme betroffen: Desktops, Laptops, Cloud-Server sowie Smartphones", erklärten die Forscher. In beiden Fällen benötigen die Angreifer Zugriff auf die jeweiligen Systeme.

Serverchips besonders gefährdet

Die Software-Maßnahmen gegen die Sicherheitslücken dürften zwar die Leistung der Prozessoren beeinträchtigen, räumte Intel ein. In den meisten Fällen werde der Leistungsabfall aber bei maximal zwei Prozent liegen. In ersten Berichten war noch von bis zu 30 Prozent die Rede gewesen.

Besonders brenzlig werden könnte das Problem zumindest theoretisch in Server-Chips, auf denen sich die Wege vieler Daten kreuzen. Die Cloud-Anbieter Google, Microsoft und Amazon sicherten ihre Dienste mittels Softwareupdates. In den vergangenen Jahren hatten die Technikunternehmen ihre Geräte und Dienste unter anderem mit Verschlüsselung abgesichert – gingen dabei jedoch davon aus, dass von den Prozessoren selbst keine Gefahr droht.

Google teilte mit, dass die eigenen Smartphones Nexus und Pixel dank des jüngsten Softwareupdates geschützt seien. Dies gelte auch für die Handys anderer Hersteller mit dem Google-Betriebssystem Android. Auch Nutzer des E-Mail-Dienstes Gmail müssten nicht tätig werden. Allerdings müssten Nutzer der Chromebook-Laptops, des Internetbrowsers Chrome und der Google-Clouddienste mit einem eigenen Betriebssystem Updates installieren. 

Apple äußerte sich zunächst nicht zu dem Problem. Es ist unklar, inwieweit Produkte des iPhone-Konzerns betroffen sind. Laut der Website The Register wird auch für das Linux-Betriebssystem bereits an einer Korrektur gearbeitet. Für Windows werde Microsoft voraussichtlich am kommenden Dienstag einen Patch zur Verfügung stellen. Auch Apples Betriebssystem macOS benötige ein Update.