Wenn Geheimdienste sich eine Sicherheitslücke bei Computern wünschen dürften, sähe sie wahrscheinlich so aus wie die, die jetzt bekannt geworden ist. Der schwerwiegende Fehler, der Milliarden PCs und Handys betrifft, sitzt dort, wo sich Herz und Hirn eines jeden Computers befinden: im Prozessor. Nahezu alle Intel-Prozessoren, dazu einige des Konkurrenten AMD und auch solche für Mobilgeräte wie Smartphones und Tablets sind in einer Weise angreifbar, dass Daten wie Passwörter oder kryptografische Schlüssel ausgespäht werden können. Und: Ein solcher Angriff hinterlässt überhaupt keine Spuren.
Das kommt dem größten anzunehmenden Unfall in der Computerei schon ziemlich nahe. Deshalb arbeitet die Branche in einer gemeinsamen Anstrengung daran, das Problem zu lösen. Doch das ist erstens nicht so leicht, und zweitens nicht ohne Nebeneffekte zu stemmen. Computer, besonders jene in Rechenzentren, werden durch die erforderlichen Sicherheitsvorkehrungen um 20 bis 30 Prozent langsamer, schätzen Experten.
Ein Fall von globaler Bedeutung wie dieser lenkt den Blick auch darauf, wie sehr die Welt mittlerweile von Computern abhängt. Das mag man zwar beklagen, doch es gibt kein Zurück mehr. Längst ist Computertechnik unverzichtbar geworden fürs Funktionieren von Wirtschaft und Gesellschaft.
Vieles im Reich der Rechner stammt jedoch aus einer Zeit, in der kaum jemand daran dachte, welch immense Bedeutung diese Technik einmal erlangen würde und wie hoch damit auch das Sicherheitsrisiko sein würde. Die nun bekannt gewordene Lücke, die nahezu jeden Computer und viele Smartphones betrifft, macht deutlich, wie wichtig es wäre, Sicherheit nicht wie bisher erst im Nachgang aufzupfropfen, sondern von vorneherein mitzudenken.
Wie sehr hier auch heute noch geschlampt wird, lässt sich etwa beobachten, wenn Alltagsgegenstände vernetzt werden, zum sogenannten Internet der Dinge. Wird auf stümperhafte Weise vernetzt, so kann ein IT-Sicherheitsrisiko daraus entstehen. Viele private Nutzer gehen noch immer allzu sorglos mit Computertechnik um. Das beliebteste Passwort zum Beispiel lautet nach wie vor 123456. Immerhin: Im Fall der Prozessor-Sicherheitslücke hat die Branche das Schlimmste wohl verhindern können - auch wenn niemand mit Gewissheit ausschließen kann, dass die verwundbaren Stellen nicht bereits ausgenutzt worden sind. Firmen wie Intel, Microsoft, Apple und andere erfuhren von Sicherheitsforschern bereits vor Monaten von dem Problem. Sie haben die Lücken geschlossen, soweit das möglich war. Windows-Nutzer sollen Reparatur-Software zum nächsten Update-Tag erhalten, das ist am kommenden Dienstag.
Durch die Lücke können Angreifer auf zwei Wegen Daten abgreifen, und für einen davon gibt es nur eine wirklich sichere Abhilfe: ein neuer Prozessor. Dieser Angriff ist zwar schwer auszuführen, dafür aber auch kaum völlig zu verhindern. Gewisse Teile der Hardware würden sich eben nicht mehr nachträglich über Software-Updates im sogenannten Mikrocode ändern lassen, sagt Moritz Lipp von der TU Graz, einer der Entdecker der Sicherheitslücke. Das ist vor allem deshalb ein Problem, weil sich in Rechenzentren häufig mehrere Benutzer einen Server-Computer teilen. Einer der Angriffe macht es möglich, auf Informationen anderer Benutzer eines Servers zuzugreifen.
In beiden Fällen ist der Ausgangspunkt für die Attacken ein Merkmal moderner Computerchips. Sie laden Informationen, die vermutlich bald benötigt werden, sozusagen schon auf Verdacht in den Speicher. Dadurch arbeiten die Chips um einiges schneller.
Dass in der Vergangenheit das Augenmerk bei der Chip-Entwicklung vor allem auf deren Geschwindigkeit lag, nicht aber auf der Sicherheit, das beklagen nun Kritiker. "Wir haben es wirklich vermasselt", sagte Paul Kocher, Sicherheitsexperte und einer der an der Entdeckung der Lücke beteiligten Forscher, der New York Times. "Die Industrie wollte zugleich schnell und sicher sein", doch nun zeige sich, dass man nicht beides in gleichem Maß haben könne. Die Hersteller standen tatsächlich unter großem Druck, weil sie mit den bisher üblichen Fertigungstechniken von Chips allmählich an die Grenzen der Physik stoßen. Die Anwender aber verlangen nach immer schnelleren Prozessoren.
Privatanwender sollten, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik, so schnell wie möglich Updates auf ihre Geräte laden. Viele werden bei älteren oder günstigen Smartphones allerdings mit dem Risiko leben müssen - deren Hersteller spielen Sicherheitsupdates oft nicht mehr ein.