All das klingt dramatisch. Grund zur Panik bestehe trotzdem nicht, sagen die Chip-Hersteller und Anbieter der Geräte- und Betriebssysteme. Die Firmen erfuhren von den Sicherheitsforschern bereits im Sommer von den Sicherheitslücken und hatten dadurch Zeit, zu reagieren. Intel etwa beschreibt seine Maßnahmen in einem ausführlichen Whitepaper. Der Hersteller will bis Ende der nächsten Woche 90 Prozent aller Prozessoren, die in den vergangenen fünf Jahren erschienen, per Firmware patchen.

Weder Intel noch Microsoft oder Apple seien bisher Fälle bekannt, in dem eine der beiden Schwachstellen von kriminellen Hackern erfolgreich ausgenutzt worden wäre. Der Forscher Michael Schwarz sagte dem Tagesspiegel: "Wir wissen nicht, ob beispielsweise Geheimdienste sie schon länger kennen und möglicherweise verwenden." Zumal ein Abgreifen der Daten auf einem der beiden Wege auch keine Spuren in der Soft- oder Hardware hinterlassen würde. 

Allerdings müssen Angreifer sich überhaupt erst einmal Zugriff auf die jeweiligen Smartphones oder PCs verschaffen, um die Lücke ausnutzen zu können. Das kann einerseits über Schadsoftware geschehen, die etwa über E-Mail-Anhänge oder schädliche Apps eingeschleust wird. Nutzer sollten deshalb – wie schon zuvor – vorsichtig sein, welche Anhänge sie öffnen und welche Apps sie installieren. Ein Zugriff kann jedoch auch über schadhaften Javascript-Code im Browser geschehen, weshalb auch diese aktualisiert werden sollten.

Die Lücke beschäftigt uns wohl noch Jahre

Von den beiden Schwachstellen ist Spectre die komplexere. Während bei Meltdown vereinfacht gesagt Daten abgegriffen werden, die sich kurzzeitig im Speicher befinden, können bei Spectre schadhafte Anwendungen auf die Informationen aus anderen Anwendungen zugreifen. Sie umgehen also Sicherheitsmechanismen, die den Zugriff von einer Anwendung auf eine andere unterbinden sollen. Besonders schwerwiegend könnte das beispielsweise bei Cloud-Diensten sein, in denen sich mehrere Nutzer den gleichen Server teilen. Die Nutzer sollten getrennt voneinander sein, aber weil sie sich den gleichen Prozessor und Speicher teilen, ist es für eine Schadsoftware theoretisch möglich, auch auf Daten anderer Nutzer zugreifen zu können. Das ist allerdings schwierig, weil ein Angreifer im Fall von Spectre wissen muss, welches Betriebssystem und welche Software sich auf die Zielsystem befinden. 

Das könnte so aufwendig sein, dass es schlicht nicht attraktiv ist – ausgeschlossen ist es damit aber nicht. Das Computer Emergency Response Team, kurz Cert, sieht das Risiko durch die Lücken auf den Prozessoren weniger gelassen als die Hersteller. Die Sicherheitsexperten dort sind nicht überzeugt, dass Software-Updates auf Dauer ausreichen. Sie plädieren deshalb zu drastischen Maßnahmen. Die IT-Sicherheitsstelle der US-Regierung, auf deren Seiten sich ausführliche Listen der kompletten betroffenen Hard- und Software finden, teilte am Donnerstag mit: Die Schwachstellen könne wohl nur durch den Austausch der Hardware, also der Chips, mit Sicherheit behoben werden. 

Es gibt nur ein Problem: Wie der Grazer Sicherheitsexperte Daniel Gruss Spiegel Online am Donnerstag sagte, gäbe es derzeit auf dem Markt nämlich praktisch keine Prozessoren, in denen die Schwachstellen nicht steckten. Um Spectre und Meltdown wirklich aus der Welt zu schaffen, reichen Software-Updates nicht aus. Sie erschweren sie allenfalls, sagen die Entdecker. Um das grundlegende Problem zu beheben, muss bereits die Herstellung von Prozessoren angepasst werden. Bis wirklich alle Geräte sicher sind, kann es also Jahre, wenn nicht sogar Jahrzehnte dauern.