Netzwelt

Schwachstellen in Prozessoren

Erste US-Nutzer verklagen Intel

Smartphones, Tablets, Computer: Viele Geräte weltweit sind von zwei Computerchip-Sicherheitslücken betroffen. Verbraucher in den USA nehmen nun Chip-Hersteller Intel ins Visier. Auch die NSA äußerte sich.

REUTERS

Intel-Logo

Sonntag, 07.01.2018   12:30 Uhr

Nach Bekanntwerden der gravierenden Sicherheitslücken auf Computerchips gerät der Branchenriese Intel ins Visier erster Klagen von US-Verbrauchern. Sie argumentieren mit Blick auf die entdeckte Schwachstelle, dass ihnen schadhafte Chips verkauft wurden und fordern Wiedergutmachung.

Bis Samstag wurden zunächst drei Klagen in den Bundesstaaten Kalifornien, Indiana und Oregon eingereicht. Sie streben den Status von Sammelklagen an, denen sich weitere Verbraucher anschließen können.

Experten hatten zuvor zwei Schwachstellen auf Mikroprozessoren entdeckt, die in vielen IT-Geräten verbaut sind. Die erste Sicherheitslücke namens "Meltdown" betrifft den Angaben zufolge nur Chips des Branchenführers Intel. Sie ermögliche es Hackern, die Barriere zwischen Anwenderprogrammen und dem Datenspeicher eines Computers zu überwinden und so möglicherweise Passwörter auszulesen.

Die zweite Schwachstelle mit dem Namen "Spectre" trifft nicht nur Intel-Nutzer, sondern verschiedene Hersteller. Denn "Spectre" findet sich auf Mikroprozessoren von AMD und dem Chip-Entwickler ARM - die Lücke steckt damit in Laptops, PC, Smartphones, Tablets und Servern weltweit. Am Donnerstag hatte etwa auch Apple mitgeteilt, dass iPhones, iPads und Mac-Computer betroffen sind.

Intel wusste seit Monaten über Schwachstelle Bescheid

Die Kläger schießen sich jetzt zum Teil darauf ein, dass "Meltdown" bisher nur auf Intel-Prozessoren nachgewiesen wurde, und verweisen darauf, dass der Konzern bereits seit Monaten über die Schwachstelle Bescheid wusste. Sie argumentieren, dass sie sich keinen Computer mit Intel-Chip gekauft oder weniger dafür bezahlt hätten, wenn diese Informationen öffentlich gewesen wären.

Die Forscher und die Unternehmen hatten die Offenlegung bis Januar zurückgehalten, um in dieser Zeit Gegenmaßnahmen zu entwickeln. Die Tech-Firmen sind derzeit dabei, die seit Jahren bestehende Lücke so gut es geht mit Software-Aktualisierungen zu stopfen. Komplett kann man das Problem nach Ansicht von Experten aber nur durch einen Austausch der Prozessoren beheben.

Intel, Microsoft und Apple betonten, dass nach ihren Erkenntnissen die Schwachstelle noch nicht für Angriffe ausgenutzt worden sei. Intel wies zudem Berichte zurück, wonach durch die Behebung der Schwachstelle mit Softwareupdates eine Verlangsamung der Computer um bis zu 30 Prozent drohe.

In der Zwischenzeit veröffentlichte der Spieleanbieter Epic Games eine Grafik, die einen deutlichen Performance-Verlust zeigt: Der Einbruch um rund 20 Prozent hänge mit Updates zusammen, die wegen der "Meltdown"-Sicherheitslücke nötig gewesen seien, hieß es in einem Forums-Beitrag.

Geheimdienst NSA: Wussten nichts von Lücken

Auch der US-Geheimdienst NSA will bislang nichts von den massiven Sicherheitslücken in Computerchips gewusst haben, sagte der Cybersicherheitskoordinator im Weißen Haus, Rob Joyce, der "Washington Post".

"Die NSA wusste nicht von der Schwachstelle, hat sie nicht ausgenutzt und freilich würde die US-Regierung nie ein großes Unternehmen wie Intel einem Risiko aussetzen, um eine Angriffsfläche offenzuhalten", sagte Joyce. Er führte einst selbst die NSA-Abteilung, die auf das Eindringen in Computersysteme spezialisiert ist.

Die NSA ist für ausufernde Ausspäh-Aktivität rund um die Welt berüchtigt, spätestens seit ihr Ex-Mitarbeiter Edward Snowden im Jahr 2013 geheime Programme offengelegt hatte. Der weltweite Angriff mit der Erpressersoftware "WannaCry" im vergangenen Jahr etwa basiert auf einer Sicherheitslücke, die ursprünglich von der NSA für ihre Überwachungsprogramme ausgenutzt und nicht gemeldet worden war. Das Wissen gelangte dann aber in die falschen Hände.

Antworten auf die wichtigsten Fragen zur aktuellen Sicherheitslücke finden Sie hier im Überblick.

MEHR ZUM THEMA

gru/dpa

insgesamt 36 Beiträge
walnutyoghurt-vulture 07.01.2018
1. Ach was
Es ist doch wohl eine Frage des Aszendenten, ob und wie gefährlich die ganze Bedrohungsszenarienangelegneheitstechnikdarstellung sich nachhaltig einprägt, also ob sie Wirkung zeigt oder solche nur möglicher Weise im Szenario [...]
Es ist doch wohl eine Frage des Aszendenten, ob und wie gefährlich die ganze Bedrohungsszenarienangelegneheitstechnikdarstellung sich nachhaltig einprägt, also ob sie Wirkung zeigt oder solche nur möglicher Weise im Szenario eine tragische Rolle zu spielen hat. Es ist doch wirklich immer wieder lustig wie sicher doch Akteure sind, wie sie am Ende des Artikel mit "falsche Hände" bezeichnet werden, denn obwohl diese mit genau der Technik arbeiten müssen wie sie "uns" weltweit bedroht. Erinnert alles sehr an die Funktion und Eigenschaft von Sternen und Sternbildern in der Astrologie, die selbst sind zwar nicht tabu, aber unerreichbar und die uns davon Kunde bereiten sind aus ihrem Selbstverständnis so sakrosankt wie es nur sein kann.
shardan 07.01.2018
2. Jaja.....
Geheimdienste wussten davon nichts. Und die Erde ist eine Scheibe und der Mond aus grünem Käse. Wer glaubt, die Geheimdienste wüssten davon nichts, glaubt auch an den Eierpfau. So ein gefundenes Fressen - dazu ja auch noch eine [...]
Geheimdienste wussten davon nichts. Und die Erde ist eine Scheibe und der Mond aus grünem Käse. Wer glaubt, die Geheimdienste wüssten davon nichts, glaubt auch an den Eierpfau. So ein gefundenes Fressen - dazu ja auch noch eine Bedrohung der Geheimdienste, die eben diese Prozessoren genau so einsetzen - lässt sich ein Geheimdienst wohl kaum entgehen. Ich hoffe sehr, dass die Sammelklagen Erfolg haben werden, auch wenn wir hier in Europa/Deutschland wie immer leer ausgehen werden. Als Informatiker gruselt es mich gewaltig, wenn ich die Gefahren dieser Angriffe abschätze. Praktisch jeder heute laufende PC, Mac, eine riesige Anzahl an Smartphones und Tablets, medizinisches Gerät, Steuerungen - allesamt anfällig für einen Angriff, der praktisch keine Spuren hinterlässt und damit nicht nachweisbar ist! Man darf sich von den nun hastig veröffentlichten Sicherheitspatches nicht all zu viel versprechen. Sie sind nur Flicken auf der Lücke, sie beseitigen sie nicht, die Patches dichten auch nicht hundertprozentig ab. Und die Rechner werden langsamer. Der einzelne Heimuser wird es an seinem PC kaum bemerken. Aber die Firmen und Webseitenbetreiber, die z.B. eine große Datenbank im Hintergrund nutzen, die werden es bemerken. Erste Tests auf unserer Firmendatenbank zeigen Leistungsverluste von über 20% - und die Datenbank ist vergleichsweise klein. Neue Server, ggf. mehr Stromverbrauch... die Liste der Konsequenzen und Kosten ist lang.
thoscha 07.01.2018
3. To late for excuses
Na das freut doch den Biertrinker! Intel stellte also mit dem Wissen um diese Lücke lustig weiter jahrelang CPU's her frei nach dem Motto : wird schon niemand herauskriegen bzw. ausnutzen. Wer steckt schon seine Nase tief ins [...]
Na das freut doch den Biertrinker! Intel stellte also mit dem Wissen um diese Lücke lustig weiter jahrelang CPU's her frei nach dem Motto : wird schon niemand herauskriegen bzw. ausnutzen. Wer steckt schon seine Nase tief ins Prozessorendesign? Niemand. Tja, liebe Intel - Jungs jetzt ist es halt passiert, aber das ihr die Frechheit besitzt alles mit einem Software - Update zu kitten, ist wohl ein schlechter Scherz, oder?! Was wenn jemand die Software aushebelt? Reverse........!! Mehr kann man wohl nicht mehr dazu sagen. Und dann drohen einem noch dazu Geschwindigkeitseinbußen? Hallo USA - bei der Abgassaffäre seit ihr ganz schön gegen die Verursacher vor- gegangen. Das sollten wir jetzt auch gegen Intel und Co. ins Auge fassen. Da jetzt die ganze Welt über die CPU Lücken und ihre Dokumentation bescheid weiß, ist es nur noch : a question of time - bis zum Supergau! Have a nice day. In God we trust - in Intel never again.
Referendumm 07.01.2018
4.
So ist es - außerdem stehts doch schom im Text (P.S.: Die NSA lügt doch, wenn die verantwortlichen nur den Mund aufmachen): "Die NSA wusste nicht von der Schwachstelle, hat sie nicht ausgenutzt und freilich würde [...]
Zitat von shardanGeheimdienste wussten davon nichts. Und die Erde ist eine Scheibe und der Mond aus grünem Käse. Wer glaubt, die Geheimdienste wüssten davon nichts, glaubt auch an den Eierpfau. So ein gefundenes Fressen - dazu ja auch noch eine Bedrohung der Geheimdienste, die eben diese Prozessoren genau so einsetzen - lässt sich ein Geheimdienst wohl kaum entgehen. Ich hoffe sehr, dass die Sammelklagen Erfolg haben werden, auch wenn wir hier in Europa/Deutschland wie immer leer ausgehen werden. Als Informatiker gruselt es mich gewaltig, wenn ich die Gefahren dieser Angriffe abschätze. Praktisch jeder heute laufende PC, Mac, eine riesige Anzahl an Smartphones und Tablets, medizinisches Gerät, Steuerungen - allesamt anfällig für einen Angriff, der praktisch keine Spuren hinterlässt und damit nicht nachweisbar ist! Man darf sich von den nun hastig veröffentlichten Sicherheitspatches nicht all zu viel versprechen. Sie sind nur Flicken auf der Lücke, sie beseitigen sie nicht, die Patches dichten auch nicht hundertprozentig ab. Und die Rechner werden langsamer. Der einzelne Heimuser wird es an seinem PC kaum bemerken. Aber die Firmen und Webseitenbetreiber, die z.B. eine große Datenbank im Hintergrund nutzen, die werden es bemerken. Erste Tests auf unserer Firmendatenbank zeigen Leistungsverluste von über 20% - und die Datenbank ist vergleichsweise klein. Neue Server, ggf. mehr Stromverbrauch... die Liste der Konsequenzen und Kosten ist lang.
So ist es - außerdem stehts doch schom im Text (P.S.: Die NSA lügt doch, wenn die verantwortlichen nur den Mund aufmachen): "Die NSA wusste nicht von der Schwachstelle, hat sie nicht ausgenutzt und freilich würde die US-Regierung nie ein großes Unternehmen ..." Der weltweite Angriff mit der Erpressersoftware "WannaCry" im vergangenen Jahr etwa basiert auf einer Sicherheitslücke, die ursprünglich von der NSA für ihre Überwachungsprogramme ausgenutzt und nicht gemeldet worden war... Danke, keine weiteren Fragen.
hanfiey 07.01.2018
5. Performance hat einen Preis, die Sicherheit!
Die CPU's werden immer ausgefeilter und komplexer um erstens Strom zu sparen und Performance pro Watt zu generieren. Intel war Jahrelang an der Spitze was die Leistung anbelangte, wie wir sehen können rächt sich dieses [...]
Die CPU's werden immer ausgefeilter und komplexer um erstens Strom zu sparen und Performance pro Watt zu generieren. Intel war Jahrelang an der Spitze was die Leistung anbelangte, wie wir sehen können rächt sich dieses Verkaufsargument nun. Auch alle anderen waren offensichtlich gezwungen die Schnelligkeit zu verbessern um nicht am Markt abgehängt zu werden. Der Cache im Prozessor macht es möglich und sollte eigentlich vom "Benutzerteil" schön getrennt bleiben. Die Benutzerdaten werden aber durch diesen Angriff direkt in den Cache vom Prozessor geladen, natürlich nicht so verschlüsselt wie es sein könnte und sollte. Intel hat mit dieser Sicherheit aber Werbung gemacht und nun fällt das zurück auf die Füße, ich bin sehr gespannt was dabei rum kommt.

Mehr im Internet

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

TOP