Berlin

Kernschmelze der Computer-Chips

Elektro-Verband sieht „weltweiten Chip-GAU“ als Weckruf. Auch Apple-Geräte von Sicherheitslücke betroffen

Berlin.  Nach dem Bekanntwerden der schwerwiegenden Sicherheitslücken in Computerchips will Bundesinnenminister Thomas de Maizière (CDU) stärker auf eigene Entwicklungen bei wichtigen Schlüsseltechnologien setzen. „Hierzu gehört auch die Chiptechnologie, jedenfalls aber Sicherheitstechnologie“, sagte de Maizière am Freitag. IT-Sicherheitsprodukte aus Deutschland seien weltweit hoch anerkannt. „Dieses Potenzial muss noch besser genutzt werden.“

Auch der Verband der Elektrotechnik, Elektronik und Informationstechnik VDE sieht den „weltweiten Chip-GAU“ als „Weckruf“ für den Standort Deutschland. Gefordert seien hierzulande Kompetenzen in Technologie, Hardwaredesign und Produktion, sagte VDE-Chef Ansgar Hinz. Seit Jahren trete der VDE dafür ein, die gesamte Kette vom Chipdesign bis zur Fertigung in Europa zu fördern.

De Maizière sprach sich dafür aus, künftig Mindeststandards in Sachen IT-Sicherheit verbindlich vorzuschreiben. Ob dies über freiwillige Gütesiegel in Verbindung mit einem Haftungsregime oder als verpflichtendes Marktzugangskriterium eingeführt werde, prüfe die Bundesregierung noch.

In dieser Woche waren schwerwiegende Sicherheitslücken direkt in weltweit millionenfach verbauten Computerchips von Intel und anderen Herstellern bekannt geworden – ein bislang undenkbares Szenario.

Ein junger Wissenschaftler hatte es kommen sehen: Es war Anfang Dezember, als Daniel Gruß und seine Forscherkollegen Moritz Lipp und Michael Schwarz noch etwas Berufliches besprachen – und per Zufall eine der gravierendsten Sicherheitslücken in einem Mikroprozessor entdeckten, die jemals gefunden wurden.

Gruß sitzt an diesem Abend zu Hause vor seinem Computer, per Chat unterhalten sich die Sicherheitsforscher der Technischen Universität Graz. Schon seit Wochen bemerken sie eine ungewöhnlich hohe Nachfrage nach dem von ihnen entwickelten Sicherheitssystem das Hackerangriffe auf Chipspeicher abwehren kann, der „Kaiser-Patch“. Vor allem die erhöhte Nachfrage von Amazon macht die drei stutzig und sie schlussfolgern: Die großen IT-Konzerne müssen in ihren Systemen eine Sicherheitslücke entdeckt haben, für die zufällig der „Kaiser-Patch“ Abhilfe schafft. Deshalb die vielen Zugriffe auf ihr Programm. Gruß beginnt, einen Hackerangriff auf seinen eigenen Computer zu simulieren – mit Erfolg. „Plötzlich sah ich den privaten Browserverlauf und die Inhalte von privaten E-Mails auf meinen Bildschirm.“

Gruß und seine Kollegen können es zunächst kaum fassen: „Wir waren schockiert“, sagt Gruß. „Wir haben befürchtet, dass wir uns selbst nicht schützen können.“ Inzwischen teilten die Hersteller mit, Fortschritte bei den nötigen Updates zu machen. Betroffen sind Prozessoren der Hersteller Intel, AMD, ARM, in denen seit 20 Jahren ein gängiges Verfahren angewendet wird, das Computerchips schneller machen soll – genau das macht sie nun für Datenklau anfällig. Auch iPhones und iPads, MacBooks und iMacs des Herstellers Apple sind betroffen.

Apple kündigte für die kommenden Tage ein Update an, um die Schwachstellen zu beseitigen. Auch Intel und seine Softwarepartner kommen voran: Das Unternehmen habe inzwischen Updates für alle Intel-basierten Systeme entwickelt, die vor den beiden Angriffsszenarien „Meltdown“ und „Spectre“ schützen, teilte Intel mit. Für einen Großteil der Intel-Prozessoren seien Updates veröffentlicht worden. Bis Ende kommender Woche sollen mehr als 90 Prozent dieser Chips sicher sein. Ob die Prozessoren dann auch vor der weitaus komplizierteren Sicherheitslücke „Spectre“ geschützt sind, bleibt abzuwarten.

Behörde ist noch keine aktive Nutzung der Lücke bekannt

Das Bundesamt für Sicherheit in der Informationstechnik teilte mit, es sei noch kein Fall der aktiven Ausnutzung dieser Sicherheitslücken bekannt. Anwender sollten die notwendigen Updates einspielen, sobald sie von den Herstellern wie Microsoft, Google, Apple und anderen bereitgestellt werden. Neben den Betriebssystemen sollten vor allem auch die genutzten Browser aktualisiert werden.

Laut den großen IT-Konzernen besteht für die Kunden kein unmittelbarer Nachteil durch das Update.
Microsoft, Apple und Google hätten bestätigt, dass die eingespielten
Updates für die überwiegende Mehrzahl der Kunden kaum bemerkbar
sein dürften, betonte Intel.

Sicherheitsforscher Gruß geht
davon aus, dass die entwickelten
Updates „einen durchschnittlichen Nutzer vor Angriffen schützen.“ Um die „Spectre“-Lücke zu schließen,
seien aber noch über Jahre hinweg
Updates notwendig, sagt er. Und ein wenig stolz ist er auch, dass sein eigenes Schutzprogramm nun weltweit Millionen von Kunden neue Sicherheit bietet.