Zwei Dinge fallen auf, wenn man Daniel Gruss an der Technischen Universität Graz trifft. Erstens: Gruss wirkt hellwach, dabei müsste er todmüde sein. Seit Wochen ist er unterwegs, sitzt in Flugzeugen, spricht auf Konferenzen, gibt Interviews. An diesem Wintertag ist der 31-Jährige seit acht Uhr im Büro, obwohl er es erst sechs Stunden vorher verlassen hat. Was ihn aufputscht, kann nicht allein die Cola sein, die sich sixpackweise in einer Ecke türmt. Da muss es noch etwas anderes geben.

Zweitens fällt auf: Gruss trägt oft dasselbe T-Shirt. Man sieht es auf Fotos, auf YouTube, auch heute hat er es an. Auf der Brust zeigt es ein schildförmiges Wappen, das tropft, als würde es schmelzen. Auf dem Rücken fünf Zeilen Computercode, "byte [rcx]" steht da zum Beispiel, und "qword [rbx + rax]".

Das sind jene fünf Codezeilen, die Daniel Gruss und seine beiden Forscherkollegen Moritz Lipp und Michael Schwarz zu Berühmtheiten gemacht haben – in IT-Zirkeln und darüber hinaus. "Die jungen Genies", titelte die Kleine Zeitung aus der Steiermark, die bei Gruss auf dem Schreibtisch liegt. Mit den fünf Zeilen wiesen die Forscher dem 50 Jahre alten Chiphersteller Intel eine der größten Sicherheitslücken der Geschichte nach.

Bekannt geworden ist sie als "Meltdown", Gruss hat sich den Namen ausgedacht. Man kann ihn mit "Kernschmelze" übersetzen oder auch mit "Nervenzusammenbruch". Beides passt, denn Millionen von Computerchips waren von der Sicherheitslücke betroffen; das ließ nicht nur die Anwender, sondern auch die Manager und Aktionäre von Intel ziemlich zittrig werden.

Die fünf Zeilen Programmcode von Daniel Gruss und seinen Kollegen stehen aber nicht nur für den Krisenfall eines Konzerns und den Erfolg eines Forscherteams. Positiv betrachtet sind sie ein Beispiel dafür, wie gut Wissenschaftler und Wirtschaft heute zusammenarbeiten, wenn es um das Aufklären und Schließen von digitalen Sicherheitslücken geht.

Gruss und seine Kollegen erforschen in Graz gezielt, wie sich die physikalischen Eigenschaften von Hardware von Angreifern ausnutzen lassen. Dass die Prozessoren anfällig sind, darüber hatten sie schon früher mit anderen Forschern diskutiert. Gruss erzählt das, wenn man mit ihm in Graz im Computerlabor steht, wo er die Angriffe demonstriert – und dabei so schnell in die Tasten tippt und mit der Maus herumfährt, als müsse er bei einem Computerspiel den Endgegner besiegen. 2017 dann gelang es ihnen hier, die Lücke zu finden; daraufhin meldeten sie sich erst bei dem Konzern. Dann gaben sie dem Unternehmen monatelang Zeit, die Schwachstellen zu beheben, bevor sie die Öffentlichkeit informierten. "Responsible Disclosure" nennt man das in IT-Sicherheitskreisen, "verantwortungsvolle Offenlegung". So kann die Schwachstelle behoben werden, bevor mögliche Angreifer davon erfahren und sie ausnutzen.

Dass akademische Sicherheitsforscher auf diese Weise Wirtschaftsunternehmen helfen, ist keine Seltenheit. Der deutsche Informatiker Vincent Haupert von der Uni Erlangen-Nürnberg etwa hat schon mehrfach Sicherheitslücken bei Banking-Apps für Smartphones ermittelt, und ein Forscher von der Uni Leuven sorgte vergangenes Jahr für Schlagzeilen, als er auf eine erhebliche Schwachstelle von WLAN-Routern hinwies. Solche Forscher seien heute "absolut vital", sagt zum Beispiel die sozialliberale Europaabgeordnete Marietje Schaake, die in Brüssel einer Taskforce vorsitzt, die den richtigen Umgang mit IT-Schwachstellen ergründen will. "Software, die hundertprozentig sicher ist, ist eine Utopie", sagt sie.

Kritisch kann man aber auch fragen: Warum finden Forscher, die aus EU-Mitteln finanziert werden, solche Sicherheitslücken in Computerchips? Warum ist nicht Intel selbst darauf gestoßen, ein Konzern, der im vergangenen Jahr einen Rekordumsatz von 62 Milliarden Dollar und einen operativen Gewinn von 17 Milliarden Dollar eingefahren hat?

Gruss könnte viel Geld verdienen, wenn er seine Erkenntnisse verkaufen würde

Die Frage führt zurück ins Büro von Daniel Gruss, wo jetzt sein Kollege Michael Schwarz in der Tür steht. "Was machst du gleich in der Vorlesung?", fragt der. "Ich werde natürlich übers Kochen reden!", sagt Gruss. Kochen? Gruss läuft los, Treppe runter, einmal quer durch die Hochschule. Unterwegs ein "Hallo" hier und ein "Wie läuft’s?" dort, dann die Betriebssysteme-Vorlesung in Raum I13, für Studenten im vierten und fünften Semester. In dieser Vorlesung beginnt man zu verstehen, was Gruss antreibt – und warum er kein Problem darin sieht, bei reichen Konzernen kostenlos Sicherheitslücken zu stopfen.

Ein Vortrag von Daniel Gruss ist unterhaltsam, auch für Nichtinformatiker. Er zeigt zum Beispiel gerne eine Szene aus der US-Serie Game of Thrones, in der ein Drache eine meterhohe Eiswand Feuer speiend wegschmilzt. So ähnlich ist das nämlich bei Meltdown. Der Arbeitsspeicher eines Computers ist aufgeteilt in zwei Bereiche, der eine ist für das Betriebssystem reserviert, der andere für Anwendungen des Nutzers. Die Bereiche sind wie mit einer Wand getrennt, um sensible Bereiche vor schädlicher Software schützen. Bei Meltdown aber schmilzt sie weg.