SRF News: Muss ich mir jetzt als Nutzer Sorgen machen?
Martina Gassner: Man muss sich sicher Sorgen machen, dass man einer der Betroffenen ist. Denn die Rede ist von Milliarden von Geräten von verschiedensten Anbietern. Der Sicherheitsfehler ist eben ganz grundsätzlich im Chip mit eingebaut. Es geht um die Architektur der Prozessoren, also um das Herzstück eines jeden Computers. Diese sind auf Grund der Art und Weise, wie sie nun mal seit Jahrzehnten hergestellt werden, nicht sicher. Die Branche muss also in Zukunft ganz grundsätzlich über ihre Vorgehensweise nachdenken. Denn Forscher haben eben nun bekannt gegeben, dass sie all diese Prozessoren mit zwei verschiedenen Sorten von Attacken angreifen können.
Die Frage ist eigentlich, sind solche Schwachstellen vielleicht bereits in den letzten Jahren ausgenutzt worden?
Und vor welchen Attacken müssen sich Computer- und Smartphonenutzer nun in Acht nehmen?
Einerseits vor einem «Meltdown», also zu gut deutsch vor einer Kernschmelze, so nennen Forscher die erste dieser beiden Attacken, bei der Informationen aus den Betriebssystemen abgegriffen werden können. Man kann es sich vielleicht so vorstellen, dass jegliche Barrieren einfach durchbrochen werden, die eigentlich zum Schutz gedacht wären, um an die Kerninformationen zu gelangen. Hier sind vor allem Intel-Prozessoren betroffen. Und die zweite Attacke, die wurde von den Forschern auf den Namen «Spectre» getauft, späht Anwendungen aus, um an Informationen zu gelangen, die eigentlich in einem geschützten Bereich sicher sein sollten. «Spectre» ist viel kniffliger als «Meltdown» und auf fast allen Geräten mit Prozessoren durchführbar. Hier sind dann auch beispielsweise Mobiltelefone betroffen. Grundsätzlich kann jedes Gerät betroffen sein, das einen Chip enthält. Die Rede ist hier sogar von Baby-Phones oder Thermostaten.
Wie wahrscheinlich ist es jetzt, dass Hacker diese Sicherheitslücke nutzen, um auch eben an sensible Daten zu gelangen?
Die Frage ist eigentlich: Sind solche Schwachstellen vielleicht bereits in den letzten Jahren ausgenutzt worden? Die Sicherheitsforscher, die diese Lücken bekanntgaben, sagen, sie wissen es schlicht und einfach nicht. Denn es ist sehr schwierig solche Attacken überhaupt nachzuweisen, da sie keinerlei Spuren in den Log-Dateien hinterlassen. Sicher ist allerdings, die Branche wird nun alles daransetzen, diese Lücken so schnell wie möglich zu schliessen, um den Schaden möglichst klein zu halten.
Die Updates zu installieren, kann ich nur wärmstens empfehlen.
Was können Computer- und Smartphonenutzer dagegen tun?
Die müssen unbedingt updaten. Alle Sicherheitsupdates die für das jeweilige Betriebssystem erscheinen, sollten möglichst schnell installiert werden. Es gibt bereits diverse Updates. Die Linux-System haben schon in den vergangenen Wochen Patches erhalten. Auch Windows hat sein Update verfrüht veröffentlicht. Und Apple hat Anfang Dezember mit der Mac-OS-Version 10.13.2 die «Meltdown»-Lücke geschlossen. Es ist aber damit zu rechnen, dass in den nächsten Tagen noch weitere Updates folgen. Man muss sich allerdings bewusst sein, dass bei diesen Softwareupdates die Leistung der Prozessoren dadurch beeinträchtigt werden kann. Sie werden also etwas langsamer. Aber nichtsdestotrotz: Diese zu installieren, das kann ich jedem nur wärmstens empfehlen – auch abgesehen von den aktuellen Vorkommnissen.
Die meisten dieser anfälligen Chips wurden vom US-Konzern Intel hergestellt. Was hört man nun von Intel?
Intel sagt, dass bei ihnen noch keine Attacken stattgefunden haben, was allerdings schwierig zu beweisen ist. Intel beteuert aber im gleichen Atemzug auch, dass sie sehr intensiv an Lösungen arbeiten. Man habe sich zudem mit anderen Firmen zusammengeschlossen. Denn es ist ja nicht nur der Chip-Gigant Intel betroffen, sondern auch beispielsweise dessen Konkurrent AMD oder der Chip-Hersteller Arm, der vor allem den Smartphone-Markt dominiert. Sie alle wurden bereits im Juni 2017 über die Sicherheitslücke informiert. Und seither beschäftigen sie sich mit verschiedenen Software-Massnahmen zur Lückensicherung. Das ist übrigens auch der Grund, warum wir bereits heute über diese Sicherheitslücke sprechen. Denn eigentlich sollte die Weltöffentlichkeit erst nächste Woche über das Problem informiert werden.
Das Gespräch führte Rino Curti.