Das Problem: Bequemlichkeit

Sicherheitslücke in Intel- und ARM-Prozessoren schlimmer als gedacht [Update]

Foto von Benjamin Krämer

von Benjamin Krämer -

Die Neuigkeiten sind erschreckend: Schon die ganze Woche wird hinter vorgehaltener Hand über gravierende Sicherheitslücken in Intel-Prozessoren gesprochen. Jetzt ist herausgekommen, was viele schon gewusst haben wollten und Google deckte das Dilemma auf: Nicht nur die meisten Computer weltweit, sondern auch so gut wie alle Smartphones sind betroffen.

Prozessoren werden immer schneller. Wir merken das am heimischen Computer, der Windows oder OS X schneller hochfährt und mehrere Programme gleichzeitig öffnen kann, während das früher häufig einen Absturz zur Folge hatte (hallo Bildschirm-Freeze!). Wer jetzt denkt, dass das allerdings nur an der größeren Rechenleistung aktueller Hardware liegt, irrt sich, wie Google jetzt aufdecken konnte: Eine neue Technologie sorgt dafür, dass Prozessoren dauerhaft rechnen, auch wenn wir gerade kein Programm geöffnet haben oder überhaupt irgendetwas tun.

Computerchip

Intel ist Marktführer auf dem Prozessormarkt - da alle Prozessoren der letzten 20 Jahre betroffen sind, hat das weitreichende Konsequenzen  

Quelle: (Nor Gal) Shutterstock.com, https://www.shutterstock.com/de/image-photo/bangkok-thailand-march-05-2015-early-257899400?src=wTlPst6IPKf5578-iBxiBg-1-8

Computerchip

Intel ist Marktführer auf dem Prozessormarkt - da alle Prozessoren der letzten 20 Jahre betroffen sind, hat das weitreichende Konsequenzen  

Quelle: (Nor Gal) Shutterstock.com, https://www.shutterstock.com/de/image-photo/bangkok-thailand-march-05-2015-early-257899400?src=wTlPst6IPKf5578-iBxiBg-1-8

Mithilfe intelligenter Firmware steuern die Prozessoren selbstständig anhand des bisherigen Nutzerverhaltens Programme an, damit diese schneller laden. Wenn wir beispielsweise auf Word klicken, öffnet es sich deutlich schneller, weil der Chip bereits zuvor einen Teil seiner Rechenleistung für Word eingesetzt hatte. Klingt nach einer tollen Komfortfunktion, immerhin hassen wir es, am Bildschirm zu warten. Diese Bequemlichkeit wird uns jetzt zum Verhängnis.

+++ (Update 15.01.2018) +++

Eine neue Woche, ein neuer Grund zur Sorge: Die finnische IT-Sicherheitsfirma 'F-Secure' will herausgefunden haben, dass Angreifer lediglich 30 Sekunden benötigen, um sich physischen Zugriff auf Notebooks zu verschaffen. Grund ist eine Sicherheitslücke in Intels Active-Management-Fernwartungssystem 'AMT'. Die Sicherheitsforscher erklärten auch gleich wie das geht (liebe Hacker, bitte nicht als Anleitung verstehen!): AMT-BIOS-Erweiterungen, die hauptsächlich im Unternehmensumfeld eingesetzt werden, sind häufig nicht mit Passwörtern gesichert und machen es Angreifern möglich, nach einem Neustart über eine simple Tastenkombination in die entsprechende Erweiterung einzudringen und die Fernwartung zu aktivieren. Damit steht das gesamte System offen, wenn sich Angreifer und Opfer im selben Netzwerk befinden (zum Beispiel in öffentlichen WLAN-Netzwerken). Die beste Lösung des Problems lautet für F-Secure eindeutig: AMT ausschalten.

+++ (Ende Update 15.01.2018) +++

+++ (Update 12.01.2018) +++

Intel kommt nicht zur Ruhe: Nachdem Kunden bereits mit der bisherigen Kommunikationspolitik des Konzerns haderten, wurde jetzt ein neues Malheur bekannt: In seine bisherigen Meltdown-Patches hat der Chip-Hersteller offenbar Fehler eingebaut. Nun mussten Großkunden und OEM-Partner informiert werden, dass die entsprechenden Patches zurückgezogen werden müssen. Peinlich. Das Problem: Die fehlerhaften 'Problemlösungen' sorgen dafür, dass sich Rechner unvorhergesehen neu starten. Auf dieses Problem ist übrigens nicht Intel selbst gestoßen, sondern ähnlich wie beim Bekanntwerden der 'Spectre'- und 'Meltdown'-Sicherheitslücke waren es Dritte. In diesem Fall Kunden und nicht Google. Ärgerlich ist bei diesem erneuten Komplettversagen besonders die Kommunikation des Pannen-Herstellers: Erst abstreiten, dann auf die anderen zeigen, dann Fehler einräumen, als es nicht mehr anders geht und dann schlechte Arbeit abliefern.

Intels Kommunikationsstrategie ist nicht nur kundenfeindlich und unehrlich, sondern scheint auch keinem erkennbaren Muster zu folgen.

Konkurrent AMD ist deutlich glimpflicher davongekommen: Meltdown ist für den Chip-Giganten kein Problem, lediglich eine Variante von Spectre betrifft auch AMD-Kerne. Gänzlich unberührt von den Sicherheitslücken sind übrigens sämtliche Radeon GPUs, da diese keine 'speculative execution' in ihrer Architektur benutzen. Für die von Spectre betroffenen Produkte arbeitet AMD laut eigenen Angaben aktuell mit Hochdruck an eigenen Firmware-Updates. Apple hingegen schweigt sich erst einmal aus und hat noch nichts zum Thema Updates oder Firmware mitgeteilt - mit Blick auf Intel scheint das gar keine schlechte Strategie zu sein: Lieber länger an einer Lösung arbeiten und darüber sprechen, als fälschliche Angaben zu machen und fehlerhafte Patches anzubieten.

+++ (Ende Update 12.01.2018) +++

+++ (Update 10.01.2018) +++

AMD hat sich nicht gerade mit Ruhm bekleckert: Microsoft musste ein Sicherheitsupdate für einige Systeme mit AMD-Chipsatz zurückziehen, weil die von AMD angegebenen Spezifikationen nicht mit den tatsächlichen übereinstimmten und das Update zur Behebung der aktuellen Problematik nicht funktioniert. Weiterhin gab Microsoft an, dass AMD sich nicht an die eigens zur Verfügung gestellte Dokumentation halte, die ausgegeben wird um höchstmögliche Sicherheit und Kompatibilität zwischen Windows und den verbauten Chipsätzen herzustellen. So wird das nichts, AMD.

Es ist mittlerweile auch bekannt geworden, wie 'schlimm' die Leistungseinbußen in etwa ausfallen könnten: Windows 10 Systeme ab der 2016er Prozessoren-Generation dürften am wenigsten betroffen sein, da sich die negativen Veränderungen im einstelligen Prozentbereich befinden. Windows 10 Systeme mit 2015er Prozessoren müssen sich auf etwas höhere Latenzen einstellen. Systeme auf denen Windows 8 und 7 mit 2015er Prozessoren läuft sind am härtesten betroffen und können sich auf deutlich spürbare Performance-Einbrüche einstellen.

+++ (Ende Update 10.01.2018) +++

+++ (Update 09.01.2018) +++

Auf der aktuell in Las Vegas stattfindenden Fachmesse für Unterhaltungselektronik 'CES' hat sich Intel-CEO Brian Krzanich direkt in der Keynote des Themas angenommen. Er teilte mit, dass die firmenübergreifende Zusammenarbeit sehr gut funktioniere und binnen einer Woche zirka 90 Prozent der Probleme gepatcht und beseitigt sein werden. Er dankte auch ausdrücklich "der Industrie" (also Google) für das Aufspüren der Sicherheitslücke. Zum Ende seiner Keynote merkte Krzanich auch noch einmal an, dass bisher keine Fälle bekannt seien, in denen das Problem ausgenutzt worden sei.

Offenbar wurde also schnell genug reagiert und es bestätigt sich auch, dass es überaus komplexer Verfahren bedarf, um erfolgreiche Angriffe auf die Sicherheitslücken vorzunehmen. Besonders der Hinweis des CEO, dass man sich über die Kooperation mit anderen Unternehmen freue, stellt einen deutlich anderen Tonfall dar, als den viel defensiveren von letzter Woche, als noch im Raum stand, dass ausschließlich Intel-Prozessoren betroffen sein könnten. Da hieß es von Seiten Intels auch noch in etwa: Die anderen haben auch Probleme und es ist alles gar nicht so schlimm.

+++ (Ende Update 09.01.2018) +++

+++ (Update 05.01.2018) +++

Nachdem Google es bereits angedeutet hatte, äußerte sich gestern Abend auch Apple zu den beiden Sicherheitslücken 'Meltdown' und 'Spectre'. Und was sie zu sagen hatten, ist nicht besonders erfreulich: Sämtliche Mac und iOS Geräte sind von beiden Problemen betroffen. Auf dem hauseigenen Blog erklärte das wertvollste Unternehmen der Welt allerdings auch, dass es bis jetzt keine bekannten Angriffe auf die entsprechenden Sicherheitslücken gegeben habe. Entsprechende Schad-Software müsse erst bewusst installiert werden, darum sollten sich Nutzer schützen, indem sie Apps "nur aus vertrauenswürdigen Shops wie dem App Store" beziehen. Mit diesem Geständnis ist Apple der letzte große Konzern, der zugibt, vollumfänglich von der Problematik betroffen zu sein. Einen Patch für iOS, macOS und tvOS gab es allerdings bereits, um Teile von 'Meltdown' zu schließen. Patches gegen 'Spectre' für Safari sollen in den nächsten Tagen folgen.

Google präsentiert neue Android-Version

Google mausert sich vom Problemaufzeiger zum Problemlöser - nicht aus reinem Altruismus, sondern weil auch Chrome und Android unter Meltdown und Spectre leiden könnten  

Google präsentiert neue Android-Version

Google mausert sich vom Problemaufzeiger zum Problemlöser - nicht aus reinem Altruismus, sondern weil auch Chrome und Android unter Meltdown und Spectre leiden könnten  

In der Zwischenzeit hat Google bekanntgegeben, dass die zu erwartenden Performance-Einbrüche von bis zu 30 Prozent der Prozessorleistung möglicherweise vermieden werden können. Mit einer hauseigenen Technik namens 'ReptOnline', die der Konzern aus Mountain View inklusive Details im Internet veröffentlichte, sollen die betroffenen Hersteller dazu befähigt werden, Meltdown und Spectre entsprechend entgegenzutreten.

Interessanterweise hat sich von Intel, Apple, Microsoft, AMD und ARM, die hauptsächlich betroffen sind, bisher niemand groß mit Lösungen hervorgetan. Nicht nur die Aufdeckung des Problems, sondern auch seine Lösung scheint nur mit Google als Zugpferd zu funktionieren. Das ist nicht nur ein kleines Armutszeugnis für sie, sondern legt auch den Gedanken nahe, dass entsprechende Firmen das Problem bisher lieber verschweigen wollten, als sich mit den Konsequenzen und einer echten Lösung zu befassen.

Wenn auch mehrere Lösungen in Sicht sind und es sich abzeichnet, dass tatsächlich mit Hochdruck (und teilweisem Erfolg) an Patches gearbeitet wird, die die Löcher in der Software-Architektur fixen, gibt es auch eher beunruhigende Nachrichten: Die IT-Sicherheitsstelle der US-Regierung ('Cert') wies erst kürzlich darauf hin, dass Patches und Updates zwar als Pflaster funktionierten, eine echte Lösung der Sicherheitslücke allerdings nur durch den kompletten Austausch der Hardware gewährleistet werden könne. Das Abschöpfen von Identitätsdaten, Passwörtern, Krypto-Schlüsseln und Programminformationen sei nämlich durch die Hardware-Architektur möglich, die sich nicht komplett durch Software-Lösungen korrigieren lasse. Das Chipdesign selbst könnte also einfachen Sicherheitsupdates im Wege stehen.

+++ (Ende Update 05.01.2018) +++

Sicherheitslücke wird geschlossen - zu einem hohen Preis

In den nächsten Tagen solltet ihr regelmäßig nach Updates für eure Smartphones und Computer suchen, da Hersteller wie Microsoft, Apple und Google mit Hochdruck am Schließen der Sicherheitslücken arbeiten

Wichtig zu wissen ist, dass sowohl Intel- als auch ARM-Prozessoren betroffen sind. Bei letzteren handelt es sich um die weltweit führende Mikrochip-Architektur für Smartphone-Prozessoren. Es dürfte das erste Mal in der Geschichte sein, dass sowohl Mobil- als auch Desktop-Produkte gleichermaßen von einer weltumspannenden Sicherheitslücke betroffen sind. Dementsprechend nervös sind natürlich auch die großen Anbieter von Computer- und Smartphone-Systemen wie Apple, Microsoft und Google. Sowohl für Android, als auch für iOS, OS X und Windows gibt es bereits erste Patches.

Alles deutet darauf hin, dass jene Technologie, die für das dauerhafte Arbeiten der Prozessoren und die damit verbundenen Geschwindigkeitsverbesserungen verantwortlich ist, einfach entfernt oder blockiert wird. Wir dürften uns also mit dem Gedanken vertraut machen, dass unsere Telefone und Computer in nächster Zeit wieder deutlich langsamer werden, bis eine elegantere Lösung gefunden wurde. Erste Prognosen gehen davon aus, dass die Geschwindigkeitseinbußen der Prozessoren sich auf bis zu 30 Prozent belaufen könnten.

Auch AMD von Leck betroffen

In ersten Radioberichten war noch zu hören, dass AMD, Intels ärgster Verfolger auf dem Prozessormarkt, 'kaum' von diesem Problem betroffen sei. Mittlerweile wurde dieser Marketing-Wunschtraum der Chip-Schmiede aus Kalifornien allerdings von Google widerlegt, die das Problem immerhin aufgedeckt hatten. Aufgrund derselben verwendeten Technologie seien AMD-Produkte auch angreifbar.

Die wichtigste Reaktion für Kunden ist es nun, eigene Geräte unbedingt auf dem neusten Stand zu halten und Updates zu installieren, die teilweise bereits herausgebracht wurden. Ihr solltet auch in den nächsten Tagen immer wieder nach neuen Updates suchen, da mit einem engen Veröffentlichungsintervall zu rechnen sein dürfte. Im ersten Schritt natürlich für den Schutz eurer Daten, da sich über die Lücke unter anderem sämtliche Passwörter abgreifen lassen. Im zweiten Schritt aber auch für die Leistung eures Systems, da (wie oben beschrieben) die ersten Patches zu deutlichen Performance-Einbrüchen führen dürften.

Dieses Video fasst die Reaktionen der Hersteller in knapp zwei Minuten zusammen:

Hier erfährst du mehr über: AndroidGoogleiOS und Sicherheit

Sag uns deine Meinung!