zum Hauptinhalt
Lücke im Apfel. Auch Apple-Geräte wie das iPhone sind vom Sicherheitsleck bei Prozessoren betroffen. Dem kalifornischen Konzern zufolge ist bisher aber kein Fall bekannt, in dem Hacker die Lücken ausnutzten.
© Robert Galbraith/rtr

Sicherheitslücken bei Computerchips: Auch Apple-Nutzer surfen riskant

Prozessoren in iPhones, iPads und Mac-Computern sind ebenfalls schadhaft. Bundesinnenminister will auf IT-Sicherheitsprodukte und Chiptechnologie aus Deutschland setzen.

Die Sicherheitslücke bei Computerchips vergrößert sich. Auch die Nutzer von iPhones und iPads gehen beim Surfen im Netz möglicherweise ein Risiko ein. Zwar kündigte Apple am Donnerstagabend ein Update für seinen Browser Safari an, der auch auf Mac-PCs und Macbooks installiert ist. Die Aktualisierung soll allerdings erst in den kommenden Tagen zur Verfügung stehen. Dem kalifornischen Konzern zufolge ist noch kein Fall bekannt, in dem Hacker die Sicherheitslücken ausnutzten. Bundesinnenminister Thomas de Maizière (CDU) plädierte am Freitag dafür, in Europa stärker auf eigene Entwicklungen bei wichtigen Schlüsseltechnologien zu setzen. „Hierzu gehört auch die Chiptechnologie, jedenfalls aber Sicherheitstechnologie“, sagte de Maizière. IT-Sicherheitsprodukte aus Deutschland seien weltweit anerkannt. „Dieses Potenzial muss noch besser genutzt werden.“

SCHUTZ VOR „MELTDOWN“

Weil auch andere Browser-Anbieter wie Google (Chrome) oder Mozilla (Firefox) ihre Programme für das mobile Betriebssystem iOS noch nicht aktualisiert haben, könnten Apple-Kunden beim Surfen ihre Daten in Gefahr bringen. Google sowie IT-Experten hatten Einzelheiten zu zwei Sicherheitslücken mit den Namen „Meltdown“ und „Spectre“ veröffentlicht. Während „Meltdown“ nur bei Chips von Intel ein Problem ist, betrifft „Spectre“ praktisch alle Chips, die in den vergangenen Jahren hergestellt wurden.

Macs, iPhones und iPads sind Apple zufolge von beiden Problemen betroffen. Die aktuellen Versionen der Betriebssysteme schützen demnach zumindest vor „Meltdown“, ohne die Geräte zu verlangsamen. Damit bleibt die Sicherheitslücke „Spectre“, die bei Browsern zum Problem werden kann. Experten zufolge könnten Hacker dank „Spectre“ Programme so manipulieren, dass wichtige Daten preisgegeben werden könnten. Die Lücke ist zwar nicht so gefährlich wie „Meltdown“, aber schwieriger zu beheben.

INTEL MACHT FORTSCHRITTE

Intel und seine Softwarepartner machen nach eigenen Angaben derweil deutliche Fortschritte bei ihren Bemühungen, die Sicherheitslücke in Computerchips zu stopfen. Das Unternehmen habe inzwischen Updates für alle Intel-basierten Systeme entwickelt, die vor „Meltdown“ und „Spectre“ schützen, teilte Intel mit. Für einen Großteil seiner Prozessoren, die in den vergangenen fünf Jahren ausgeliefert wurden, seien inzwischen Updates veröffentlicht worden, hieß es weiter. Bis Ende kommender Woche sollen mehr als 90 Prozent dieser Chips sicher sein. Ob die Prozessoren dann auch vor „Spectre“ geschützt sind, bleibt abzuwarten. IT-Sicherheitsexperten gehen davon aus, dass noch viel Arbeit bevorsteht.

In der Nacht zum Freitag erklärte der Online-Händler Amazon, dass alle Bereiche seiner virtuellen Server (EC2), die auf Linux oder Windows laufen, inzwischen geschützt seien. In den meisten Fällen seien keine Performance-Einbußen zu verzeichnen. Auch Microsoft, Apple und Google bestätigten, dass die eingespielten Updates für die überwiegende Mehrzahl der Nutzer und Kunden kaum oder gar nicht bemerkbar seien dürften. Ursprünglich war vermutet worden, dass Systeme bis zu 30 Prozent langsamer werden könnten. Intel war zuletzt davon ausgegangen, dass die Performance-Einbußen höchstens zwei Prozent betragen würden.

Die von Sicherheitsforschern bereits im vergangenen Sommer entdeckte Lücke steckt direkt im Design der Hardware. Sie besteht darin, dass Betriebssysteme für eine beschleunigte Arbeit der Programme vorab Informationen aus dem Kern des Chips beziehen. Über den gleichen Weg könnten aber auch Angreifer auf die im Chip gespeicherten sensible Daten wie Passwörter zugreifen, ohne Spuren zu hinterlassen. Nach Ansicht von IT-Sicherheitsexperten lässt sich zumindest die „Spectre“-Lücke nur durch einen Austausch der Prozessoren schließen. Intel-Chef Brian Krzanich hingegen kritisierte unterdessen manche Berichte in den Medien als völlig übertrieben. „Das ist kein Problem, das nicht behoben werden kann“, betonte Krzanich laut „c'net“.

MEHR VERBRAUCHERSCHUTZ

Deutsche Verbraucherschützer werfen den Chip-Herstellern vor, zu Lasten der Kunden zu wenig in die Sicherheit ihrer Produkte zu investieren. „Wenn ein Problem offenkundig wird, versuchen die Hersteller Schadensminimierung mit geringstmöglichem Aufwand – und möglicherweise zu Lasten der Verbraucher“, sagte ein Sprecher des Bundesverbands der Verbraucherzentralen (vzbv) der „Neuen Osnabrücker Zeitung“. In der aktuellen Affäre zeige sich eine auffällige Parallele zum Dieselskandal: „Auch dort sollten Softwareupdates das Problem lösen, mit weiterhin unklaren Auswirkungen für die Konsumenten.“ Der vzbv forderte den Gesetzgeber in Deutschland auf, Beweiserleichterungen im Haftungsrecht einzuführen. So könne erreicht werden, dass Verbraucher bei einem Schaden nicht darauf sitzen blieben.

WAS ZU TUN IST

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät allen Privatanwendern und Unternehmen, unverzüglich Sicherheitsupdates zu installieren, sobald sie von den Herstellern zur Verfügung gestellt werden. Das gilt dem Bundesamt zufolge für Betriebssysteme wie Windows, aber auch für Internet- Browser. Auch für mobile Geräte sollten Updates unmittelbar eingespielt werden. Grundsätzlich empfiehlt das BSI allen Nutzern, Software und Betriebssysteme immer auf dem aktuellen Stand zu halten. Außerdem sollten Apps nur aus vertrauenswürdigen Quellen stammen. Das Bundesamt hatte am Donnerstag erklärte, ihm sei noch kein Fall bekannt, in dem die Sicherheitslücken ausgenutzt worden seien. Der Fall sei aber ein Beleg dafür, wie wichtig es sei, Aspekte der IT-Sicherheit schon bei der Produktentwicklung angemessen zu berücksichtigen, sagte BSI-Präsident Arne Schönbohm. Der IT-Verband Bitkom riet Unternehmen generell dazu, das Thema Sicherheit zur Chefsache zu machen. Der Basisschutz sollte stets ergänzt werden um Verschlüsselung und spezielle Angriffserkennung. mit dpa, rtr, AFP

Zur Startseite