Zwei jetzt öffentlich gewordene Sicherheitslücken in Prozessoren bedrohen Millionen Computer und Smartphones weltweit. Auslöser ist ein Designfehler in einem Verfahren, dass die Chips schneller - und damit besser - machen sollte.

Es klingt nach einem sicherheitstechnischen Super-GAU: Ein gängiges Verfahren, das Prozessoren effizienter machen soll, weist gefährliche Fehler auf.

Über die jetzt bekannt gewordenen Sicherheitslücken können sensible Daten ausgespäht werden - auch wenn es bisher keine Hinweise darauf gibt, dass dies bereits passiert ist. Die wichtigsten Fragen - und Antworten.

Was macht die Sicherheitslücken besonders?

Die Schwachstellen - "Meltdown" und "Spectre" - betreffen beinahe alle modernen Prozessoren. Es geht nicht etwa um Software-Fehler oder ein physisches Problem in den CPUs, sondern um einen Bug auf Architekturebene: ein Problem mit der Art, wie der Prozessor arbeitet.

Prozessoren werden seit Jahren immer schneller. Eine Technik, die das ermöglicht, ist die "Speculative execution": Prozessor-Ressourcen werden dafür verwendet, möglicherweise später benötigte Daten schon vorher abzurufen, damit es keine Verzögerungen gibt. Dieses Verfahren wird von "Meltdown" und "Spectre" ausgenutzt.

Wen betreffen die Schwachstellen?

Praktisch jeden. Es geht um Milliarden Geräte - Desktop-, Laptop- und Cloud-Server ebenso wie Smartphones.

Von "Meltdown" ist laut den Forschern, die das Problem entdeckt haben, fast jede Intel-CPU seit 1995 betroffen. Einzige Ausnahme sind die Linien Itanium und Atom vor 2013.

Ob Prozessoren des Intel-Konkurrenten AMD und des Chip-Designers Arm angegriffen werden können, ist aktuell unklar. Arm-Prozessoren sind vor allem in Smartphones verbaut.

Von der weit schwerer zu stopfenden Lücke "Spectre" ist hingegen praktisch jeder Prozessor bedroht: Die Sicherheitsforscher wiesen die Schwachstelle auf Intel-, AMD- und Arm-Chips nach. Nach Angaben von Arm sind jedoch nur wenige Produktlinien betroffen.

Welche Daten können abgegriffen werden?

Bei einem erfolgreichen "Meltdown"-Angriff ist keine Art von Daten sicher. Ein "Spectre"-Schadprogramm könnte Passwörter in einem Passwort-Manager oder im Browser abgreifen, Fotos, E-Mails oder Dokumente stehlen, wie es in der Dokumentation der Sicherheitsforscher heißt, die das Problem offengelegt haben.

Welche Angriffsmöglichkeiten wurden bisher bekannt?

Über "Meltdown" lassen sich Sicherheitssperren zwischen Programmen und Betriebssystem durchbrechen.

Bei einem erfolgreichen Angriff könnte der Zugriff auf den kompletten Speicher gelingen. Es ist die größere Bedrohung und muss auf Betriebssystem-Ebene behoben werden.

"Spectre" hebt die Trennung zwischen zwei laufenden Apps auf: Es bringt Anwendungen dazu, normalerweise verborgene Informationen preiszugeben. Ein Schadprogramm könnte so zum Beispiel Passwörter oder Daten laufender Programme ausspähen.

Zwar ist die Attacke schwerer zu bewerkstelligen - aber auch die Lücke weit schwerer zu beheben.


Sind die Schwachstellen schon ausgenutzt worden?

"Wir wissen es nicht", heißt es vonseiten der Sicherheitsforscher knapp. Eine Attacke hinterlasse in den herkömmlichen Log-Dateien keine Spuren.

Intel geht davon aus, dass es bisher keine Angriffe gegeben hat.

Was wäre das schlimmste Szenario?

Wahrscheinlich, dass Angreifer über Serverchips in Rechenzentren eine Vielzahl fremder Daten klauen könnten.

Gibt es schon Sicherheitsupdates?

Die Schwachstellen wurden im Juni 2017 entdeckt und den Chipherstellern gemeldet. Seither wurde daran gearbeitet, das Problem zu beheben.

Google, Microsoft und Amazon haben ihre Cloud-Dienste schon abgesichert.

Es stehen zudem Updates für Windows, OS X und Linux zur Verfügung, die "Meltdown" unschädlich machen. Microsoft dürfte seinen Patch kommende Woche beim Januar-Patchday bereitstellen, wie das Branchenmagazin "ZDNet" meldet.

Auch an Patches gegen "Spectre" wird gearbeitet. Diese Lücke muss jedoch auf Software-Ebene und nicht im Betriebssystem gestopft werden.

Eigentlich wollte die Branche die Schwachstellen und ihre Maßnahmen erst am 9. Januar öffentlich machen. Doch schon in den vergangenen Tagen fiel eine erhöhte Update-Aktivität auf - und erste Berichte über eine Schwachstelle in Intel-Chips machten die Runde.

Wenn das Verfahren die Chips schneller machen sollte - machen die Gegenmaßnahmen sie dann langsamer?

Ja. Allerdings erklärte Intel, dass der Leistungsabfall in den meisten Fällen zwei Prozent nicht überschreiten werde. Nach ersten Tests war von 30 Prozent die Rede.

Mit Material der dpa