Die eine heißt Spectre (Schreckgespenst) wie die perfide Geheimorganisation aus zahlreichen James Bond-Thrillern – die andere Meltdown (Kernschmelze) wie ein Katastrophenfilm von 2006, in dem sich die Erdachse nach einem missglückten Nuklearabwehrversuch eines Asteroideneinschlags in Richtung Sonne verschiebt und die Menschheit ihrem Ende entgegen schmilzt. Allein die Namen der am Mittwoch bekannt gewordenen Sicherheitslücken, die in Milliarden verbauten Prozessoren stecken, sind angsteinflößend.

Um Prozessoren schneller arbeiten zu lassen, entwickelten Ingenieure sie zuletzt so, dass sie Daten schon vorausschauend berechnen und in den Speicher laden, bevor diese von auf dem Gerät installierten Programmen benötigt werden. Speculative Execution heißt diese Technik. Doch jetzt kam raus: Genau in diesem Zwischenspeicherzustand könnten Kriminelle diese Daten abschöpfen und somit missbrauchen.

Auch Sie sind sehr wahrscheinlich betroffen

Nicht minder beunruhigend: Inzwischen steht fest, dass fast jeder von uns mindestens ein Gerät besitzt, das betroffen und damit latent unsicher ist. Ob Smartphone, Tablet oder Computer, ist dabei egal. Ob Sie das Betriebssystem Android, iOS oder Windows nutzen, ebenso. Entscheidend ist, was für ein Prozessor drinsteckt. Wobei fast jeder dieser Chips, die in den vergangenen Jahren eingesetzt wurden, mindestens eine der beiden Schwachstellen enthält: Während Meltdown nur Chips von Intel betreffe, sei Spectre ein Problem in Chips praktisch aller Hersteller, definitiv aber in denen von Intel, AMD und solchen mit ARM-Architektur, die vor allem in mobilen Geräten verbaut sind.

Wissenschaftlern um Daniel Gruß von der TU Graz war die erste derartige Sicherheitslücke bereits im Dezember aufgefallen. Sie setzen sich daraufhin mit anderen Forschergruppen in Verbindung und stellten fest, dass mehrere Spezialisten – darunter Hacker vom Google Project Zero, die im Auftrag des Unternehmens nach Schwachstellen fahnden – bereits an dem Problem arbeiteten. Diese vermeldeten das Problem am Mittwoch schließlich öffentlich in einem Blogeintrag – aufgrund geleakter Informationen ein paar Tage früher als geplant.

Was jetzt herauskam, heißt konkret: Hunderte Millionen Nutzer von Apple-, Google-, Samsung- oder anderen Geräten laufen Gefahr, dass ihre Daten ausgespäht werden: Kontonummern, Passwörter, Zugangscodes. "Wir können alles mitlesen, was sie eintippen", sagt der an der Entdeckung beteiligte Grazer Forscher Michael Schwarz im Gespräch mit dem Tagesspiegel. Auch wenn beide Schwachstellen die gleiche Technik ausnutzen, unterscheiden sie sich was die Komplexität und Angriffsszenarien angeht (siehe Infokasten). Entsprechend gibt es ein paar grundsätzliche Dinge, die jeder jetzt tun sollte.

Achten Sie auf alle Updates

Wer ein iPhone oder iPad besitzt, sollte am besten sofort das neuste iOS-Software-Update vornehmen und auch in den nächsten Tagen auf weitere Updates achten. Gleiches gilt für Mac-User mit MacOS. Dies schließt die Lücke wohl nicht vollständig, aber zumindest zum großen Teil. In den kommenden Tagen soll ein weiteres Update für den Safari-Browser folgen. Die Apple Watch ist nach Angaben Apples nicht betroffen.

Für Windows 10 hat Microsoft ein Notfall-Update veröffentlicht. Auch für Windows 8 und 7 sollen Updates folgen. Allerdings funktioniert das nur für Windows-Nutzer, deren Antivirensoftware bereits angepasst wurde. Wie unter anderen das Magazin heise.de berichtet, haben zwei beliebte Anbieter von Antiviren-Software – konkret Kaspersky und Avast – für den 9. Januar aktuelle Versionen angekündigt. Der Anbieter Eset hat seine Programme bereits angepasst. Viele Linux-Distributionen sind bereits gepatcht, die Nutzer sollten in jedem Fall überprüfen, ob ihr System auf dem aktuellen Stand ist.

Google hat für Android selbst eine Liste aller hauseigenen Geräte und Schnittstellen veröffentlicht, die betroffen sind. Hier findet sich auch der aktuelle Sicherheits-Patch für Android, den unter anderem die Pixel- und Nexus-Geräte bereits erhalten haben. Wer ein Android-Tablet oder Smartphone anderer Hersteller hat, muss sich unter Umständen noch etwas gedulden, bis diese das Update ausliefern. Das bedeutet auch, dass ältere Geräte (in der Regel älter als drei Jahre) möglicherweise gar keines mehr bekommen, wenn sie nicht mehr unterstützt werden.

Weil die Software-Updates Auswirkung auf einen zentralen Teil der Prozessor-Architektur haben, kann es zu Leistungseinbußen kommen. Zunächst war von bis zu 30 Prozent langsameren Prozessen die Rede, tatsächlich dürften die Einbußen aber geringer ausfallen. Apple spricht in seinen Tests von weniger als 2,5 Prozent. Letztlich hängt es aber davon ab, welcher Prozessor, welches System und welche Anwendungen zusammenkommen. Im Alltag dürften die meisten Menschen nichts merken, aber in der Industrie und bei komplexen Anwendungen könnte sich das Update bemerkbar machen.