"Meltdown"-Entdecker: "Wir können alles mitlesen, was Sie eintippen"

Schwachstellen in Computersystemen sind keine Besonderheit, doch die nun entdeckten Lücken bei den meisten Prozessoren sind außergewöhnlich gefährlich. Denn sie liegen nicht in der Software, sondern im Herzstücks eines jeden Computers, wo die eigentliche Rechenarbeit erledigt wird. Die möglichen Auswirkungen sind massiv. „Handys, PCs, alles wird etwas davon betroffen sein“, sagte Brian Krzanich, Chef des weltgrößten Chipherstellers Intel. Es geht um Milliarden Geräte, denn betroffen sind potenziell fast alle Prozessoren seit 1995.

Entdeckt wurden die Lücken von verschiedenen Forscherteams, unter anderem bei Google und an der TU Graz. Einer der Beteiligten war Michael Schwarz. Im Tagesspiegel-Interview erklärt der Experte von der TU Graz, wie Angreifer die Lücke missbrauchen und wie sich Nutzer davor schützen können.

Herr Schwarz, wie haben Sie die Schwachstelle entdeckt?

Eigentlich haben wir Anfang 2017 Gegenmaßnahmen gegen drei andere Attacken entwickelt. Im Laufe des Jahres gab es dann ungewöhnlich viele Aktivitäten rund um ähnliche Sicherheitspatches. Das hat uns verwundert und wir dachten, dahinter müsse etwas Größeres stecken. Dadurch haben wir selbst weiter experimentiert und dann festgestellt, wie man Daten aus dem Prozessor auslesen kann, auf die man eigentlich keinen Zugriff haben sollte. Wir waren selbst schockiert, dass das funktioniert und haben es Anfang Dezember an Intel gemeldet. Die haben uns dann mit anderen Forschern, unter anderem von Google, zusammengebracht, die auch schon an dem Problem gearbeitet haben.

Auf welche Informationen konnten Sie zugreifen?

Auf die Daten von allen Programmen, die gerade im Computer verarbeitet werden. Das können im Browser gespeicherte Passwörter sein oder Informationen aus Dokumenten, die Sie gerade verwenden. Wir können im Prinzip alles mitlesen, was Sie gerade eintippen.

Und da die Lücke die extrem verbreiteten Prozessoren betrifft, sind jetzt fast alle Rechner akut gefährdet?

Prinzipiell schon. Allerdings müssen die Angreifer erst einmal auf ihren Computer gelangen. Sie müssen also andere Schadsoftware oder Lücken nutzen. Wie oft und einfach das geschehen kann, haben jedoch beispielsweise die vielen Attacken mit Ransomware im letzten Jahr gezeigt, bei denen Rechner verschlüsselt wurden.

Aber wenn ich Sicherheitssoftware nutze und aufpasse, bin ich relativ sicher?

Richtig, dann nützt die „Meltdown“ (Kernschmelze) genannte Lücke Angreifern nichts. Doch es gibt eine zweite Schwachstelle, die wir „Spectre“ (Geist) genannt haben. Damit ist auch schon ein Eingriff aus dem Browser möglich, also sobald Sie im Netz surfen. Das könnte auch selbst auf seriösen Seiten passieren, wenn jemand dort zum Beispiel in einer Werbeanzeige einen passenden Schadcode einsetzt.

Sollte ich also lieber meinen Rechner vom Netz abklemmen?

Nein. Denn das Gute an „Spectre“ ist, dass dieser Angriff trotzdem viel schwerer durchzuführen ist.

Warum?

Der Angreifer muss dafür wissen, welche Daten sich gerade im Speicher des Prozessors befinden, also welche Programme auf dem Rechner laufen. Das ist individuell immer sehr unterschiedlich, deswegen kann man nicht so einfach großflächige Angriffe durchführen.

Welche Prozessoren und Geräte sind betroffen?

Wir konnten Meltdown bisher nur bei Intel reproduzieren. Das trifft viele Computer, aber auch die Server der Anbieter von Cloud-Infrastrukturen, wo dann auch Daten von anderen Kunden ausgelesen werden können. Von Spectre sind noch mehr Prozessoren betroffen, darunter auch ARM-Chips, die in sehr vielen Handys stecken. Ich würde aber von keinem Anbieter ausschließen, dass er nicht anfällig ist.

Gilt das auch für Chips in Autos oder Maschinen?

Das sind meist kleinere Chips, bei denen es nicht funktioniert. Und normalerweise führen die auch keine Programme aus, die nicht vertrauenswürdig sind. Es trifft eher leistungsstärkere Prozessoren in Computern, Handys, Tablets und Servern.

Was raten Sie nun den Nutzern?

Man sollte nicht in Panik geraten und sich so verhalten, wie sonst auch. Wer die normalen Sicherheitshinweise befolgt und keine unbekannten Anhänge öffnet oder auf dubiosen Seiten surft und komische Links anklickt, für den besteht keine unmittelbare Gefahr. Und dann sollten natürlich so schnell wie möglich die Sicherheitspatches eingespielt werden.

Wann wird es die Updates geben?

Einige gibt es bereits und weitere Updates sollten bis Anfang nächster Woche verfügbar sein. Aber das Problem ist so grundlegend, dass es uns trotzdem noch länger verfolgen wird.

Denken Sie, die Lücken werden für größere Attacken genutzt?

Ich hoffe es nicht, aber man kann es natürlich nicht ausschließen.

Wurden die Lücken schon für Angriffe genutzt? Erklären sie gar einige der großen Hackerattacken der letzten Zeit?

Das ist sehr schwer zu sagen, denn Angreifer hinterlassen dabei im Gegensatz zu anderen Attacken keine Spuren in den Protokolldateien (Logfiles). Man kann daher nicht feststellen, ob sie schon verwendet wurden. Zudem gibt es die Lücken seit Jahren, aber erst jetzt wurden sie parallel von vier verschiedenen Forscherteams entdeckt. Wir wissen aber nicht, ob beispielsweise Geheimdienste sie schon länger kennen und möglicherweise verwenden.

Die Sicherheitsupdates die jetzt kommen, sollen Rechner womöglich stark verlangsamen. Was befürchten Sie?

Wir haben das auch getestet und für normale Arbeiten lagen die Leistungseinbußen bei unter einem Prozent. Normale Nutzer, die im Internet surfen, ihre Urlaubsfotos auf dem Rechner bearbeiten oder Computerspiele spielen, sollten das also nicht bemerken.

Und Unternehmen oder professionelle Nutzer, die mehr Rechenleistung benötigen?

Da könnte das durchaus spürbar werden. Gerade wenn viele Datenbanktransaktionen durchgeführt werden oder viele kleine Dateien verarbeitet werden, sind die Einbußen wohl am größten.

Die Rede war von bis zu 30 Prozent Leistungsverlust. Ist das realistisch?

Ja, für einige Anwendungsfälle ist das im Worst-Case-Szenario eine realistische Grenze.