Milliarden von Geräten über CPU-Lücken angreifbar: Super-GAU für die IT-Branche

Die beiden Schwachstellen »Meltdown« und »Spectre« erschüttern nicht nur die IT-Branche, sondern sorgen auch bei vielen Firmen und Menschen außerhalb für Verunsicherung. Die Fehler stecken schon im Design der Chips und betreffen einen Großteil aller Geräte, in denen ein Prozessor arbeitet. Ob sie bereits ausgenutzt werden, ist bislang nicht bekannt.

An Sicherheitslücken hat man sich in der IT-Branche mittlerweile gewöhnt, doch immer wieder ragen einzelne Schwachstellen in ihrer Bedeutung aus der großen Masse an Lecks heraus und erfahren weitereichende Aufmerksamkeit. Zu erkennen sind sie in der Regel daran, dass sie nicht nur eine dröge CVE-Nummer zur Identifizierung erhalten haben, sondern einen griffigen Namen wie »Eternal Blue« oder »Heartbleed«. Hier reihen sich die vor wenigen Tagen bekannt gewordenen »Meltdown« und »Spectre« ein, die allerdings noch mal eine ganz neue Qualität besitzen, weil sie nicht nur eine einzige Anwendung, ein einziges Protokoll oder eine einzige Systemarchitektur betreffen. Die beiden Schwachstellen stecken in den Prozessoren mehrerer Hersteller und damit in Milliarden von Servern, PCs, Notebooks, Tablets, Smartphones, Wearables, IoT-Devices und anderen Geräten. Es ist nicht nur für die Prozessor-Hersteller eine Art Super-GAU, sondern die gesamte IT-Branche.

Noch sind keine Angriffe auf Meltdown und Spectre bekannt geworden, doch dass mehrere Sicherheitsexperten unabhängig voneinander auf die Sicherheitslücken stießen, ist zumindest ein schlechtes Zeichen. Niemand kann ausschließen, dass Cyberkriminelle – oder staatliche Hacker – die Lecks ebenfalls aufgespürt und ausgenutzt haben. Vor allem an Intel entlädt sich deshalb aktuell die Kritik, denn der Chipriese wurde bereits im Juni über die Schwachstellen informiert und spielt ihre Bedeutung nun herunter.

Intel hatte die Sicherheitslücken zwar eingeräumt, aber auch erklärt, sie hätten »nicht das Potenzial, Daten zu korrumpieren, zu verändern oder zu löschen«. Die meisten Sicherheitsexperten sehen das nicht ganz so entspannt, denn über Meltdown und Spectre können Anwendungen auf geschützte Speicherbereiche zugreifen und die dort abgelegten Daten auslesen. Möglich machen das Optimierungsverfahren, die sich in vielen CPUs finden und die spekulativ schon mal ein paar mögliche kommende Befehle vorab berechnen, um die Performance zu erhöhen. Während Meltdown tatsächlich nur Intel-Prozessoren zu betreffen scheint, dafür mit Ausnahme der »Itanium«- und »Atom«-Reihen wohl alle seit 1995, findet sich Spectre auch in AMD- und ARM-CPUs.

Übersicht