Eine Sicherheitslücke in zahlreichen Computer- und Smartphone-Prozessoren macht die Chips anfällig für Datenklau. Privatnutzer können vorerst nicht viel tun, außer einige Sicherheitstipps zu beachten.
Nutzer sollten schnellstmöglich Sicherheitsupdates installieren
Um zu vermeiden, dass Schadsoftware auf den Rechner kommt, sollten Programme nur aus sicheren Quellen installiert werden, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik. Beim Anklicken von Mail-Anhängen und Werbebannern sollten Anwender weiterhin misstrauisch sein. Vor allem aber sollten sie immer so schnell wie möglich Sicherheitsupdates für Programme installieren, insbesondere für die Betriebssysteme. Damit wird auch die aktuelle Lücke gestopft. Einige Anbieter haben schon reagiert:
- Windows: Microsoft hat ein Update für Windows 10 veröffentlicht. Auch für Windows 8 und Windows 7 sollen Updates folgen. Sofern sie nicht automatisch eingespielt werden, sollten Nutzer in den nächsten Tagen in der Systemsteuerung unter "Windows Update" schauen, ob bereits frische Software vorhanden ist. Grundsätzlich rät Microsoft, immer sofort die neuesten Sicherheitsupdates einzuspielen.
Chip-Schwachstellen: Die wichtigsten Infos zur Sicherheitslücke
Weltweit sind zahlreiche Computer, Handys und Tablets von einer neu bekanntgewordenen Sicherheitslücke betroffen, mit der Angreifer theoretisch sensible Daten erbeuten können. Experten sprechen von einer "massiven Sicherheitslücke". Die wichtigsten Fragen beantwortet:
WORIN BESTEHT DIE SICHERHEITSLÜCKE?
In jedem Heimcomputer, Laptop oder Smartphone steckt als zentrale Einheit ein Prozessor, der beispielsweise Rechenbefehle ausführt, Daten aus dem Arbeitsspeicher ausliest oder auch die Datenübertragung zwischen unterschiedlichen Komponenten des Computers steuert.
Genau dieses Rechner-Herzstück ist von den Sicherheitslücken betroffen: Um die Abarbeitung von Prozessen zu beschleunigen, nimmt die Rechenzentrale immer wieder Prozesse im Voraus vorweg - und lagert dafür Daten in einem Zwischenspeicher.
Laut Experten des Internetriesen Google gibt es dabei zwei Wege - genannt "Meltdown" und "Spectre" - mit denen Angreifer Daten erbeuten könnten. Darüber sei es potenziell möglich, "sensible Informationen" wie Passwörter, Verschlüsselungen oder Daten aus Programmen auszulesen.
WER IST BETROFFEN?
Den Google-Sicherheitsexperten zufolge betrifft die Lücke Prozessoren der großen Hersteller Intel, AMD und ARM, die weltweit zum Einsatz kommen. Chips von Intel und AMD sind in den meisten Computern und Laptops verbaut, die von ARM kommen vor allem in Smartphones zum Einsatz.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte, betroffen seien "nahezu alle Geräte, die über einen komplexen Prozessorchip der betroffenen Hersteller verfügen". Dazu zählen unter anderem Computer, Smartphones und Tablets aller gängigen Betriebssysteme. Auch Anbieter virtueller Dienste, wie etwa Cloud-Anbieter, sind demnach betroffen.
WAS SOLLEN NUTZER NUN TUN?
Das BSI rät allen Privatanwendern und Unternehmen, unverzüglich Sicherheitsupdates zu installieren, sobald sie von den Herstellern zur Verfügung gestellt werden. Das gilt dem Bundesamt zufolge für Betriebssysteme wie Windows, aber auch für Internet-Browser. Auch für mobile Geräte sollten Sicherheitsupdates unmittelbar eingespielt werden.
Grundsätzlich empfiehlt das BSI allen Nutzern, Software und Betriebssysteme immer auf dem aktuellen Stand zu halten. Außerdem sollten Apps nur aus vertrauenswürdigen Quellen stammen.
WIE REAGIEREN DIE HERSTELLER?
Microsoft veröffentlichte noch am Mittwoch ein Windows-Sicherheitsupdate, Google erklärte, die Systeme des Konzerns seien mit Updates gegen die Schwachstelle geschützt worden. Das Unternehmen arbeite zudem mit Hardware- und Softwareherstellern der gesamten Branche zusammen, um beim Schutz der Nutzer zu helfen.
Der Chipriese Intel kündigte an, das Unternehmen arbeite gemeinsam mit AMD und ARM daran, einen "industrieweiten Ansatz" zur schnellen und konstruktiven Lösung des Problems zu entwickeln.
WAS SAGEN EXPERTEN?
Michael Veit vom Anbieter für Sicherheitslösungen Sophos spricht von einer "ganz massiven Sicherheitslücke", da die Schwachstelle sehr viele Plattformen betreffe. Außerdem befürchtet er, dass trotz der Updates noch lange Zeit verwundbare Systeme im Umlauf sein werden - auch weil nicht alle Rechner oder Smartphones mit aktuellen Betriebssystemversionen ausgestattet sind. So habe es etwa nach dem Schadsoftware-Angriff "WannaCry" im vergangenen Jahr auch zwei Monate, nachdem Microsoft ein entsprechendes Sicherheitspatch veröffentlicht habe, noch zahlreiche ungeschützte Systeme gegeben.
Der Sicherheitsforscher Tatu Ylonen von der Firma SSH Communications sagte, entscheidend sei nun vor allem, Netzwerke und Clouddienste auf den neuesten Stand zu bringen. Auch das BSI forderte Diensteanbieter auf, ihre Anwendungen schnellstmöglich abzusichern.
WERDEN COMPUTER NACH DEN UPDATES LANGSAMER?
Intel selbst wies Berichte zurück, wonach durch die Behebung der Schwachstelle mit Softwareupdates ein Leistungseinbruch von bis zu 30 Prozent drohen könnte. Für den durchschnittlichen Computernutzer würden die Auswirkungen auf die Rechnerleistung "nicht signifikant" sein und sich zudem über die Zeit weiter abschwächen.
Auch Veit hält 30 Prozent für übertrieben. Zwar seien spürbare Auswirkungen etwa bei rechenintensiven Prozessen oder Datenbanken denkbar, Nutzer normaler Workstations würden davon aber "wahrscheinlich gar nichts merken". (afp)
- macOS: Auch Mac-Nutzer sollten Updates sofort installieren, wenn sie über den Mac App Store angeboten werden. Nach Angaben von Apple ist die Gefahr durch die Sicherheitslücke mit der Version 10.13.2 bereits abgemildert worden. Es sei nicht bekannt, dass die Lücke schon ausgenutzt wurde. Darüber hinaus weist Apple darauf hin, Software nur von vertrauenswürdigen Quellen wie dem App Store herunterzuladen.
- iOS: Auch für mobile Geräte von Apple wie iPhones und iPads gibt es Updates: Mit der iOS-Version 11.2 seien auch die Auswirkungen der Lücke abgeschwächt worden. Die Apple Watch ist nicht betroffen.
- Android: Nutzer von Android-Smartphones sind unter Umständen ebenfalls betroffen. Laut Google sind Geräte mit dem jüngsten Sicherheitsupdate (Stand 5. Januar) geschützt. Dies betrifft hauptsächlich neuere Androiden und Googles eigene Pixel-Smartphones. Wann es von den einzelnen Herstellern für ihre jeweiligen Geräte Sicherheitsupdates gibt, ist noch unklar. Viele ältere Geräte werden erfahrungsgemäß kein Update erhalten.
- Browser: Nutzer von Chromium-basierten Browsern (etwa Chrome, Opera oder Vivaldi) sollten laut Google die "Website-Isolierung" aktivieren. Dazu geben sie in die Adressleiste den Befehl "chrome://flags/#enable-site-per-process" ein und drücken die Eingabetaste, dann klicken sie auf "aktivieren" und starten den Browser anschließend neu. Für den Firefox-Browser will Entwickler Mozillaeinige Maßnahmen umsetzen, die ein Ausnutzen der Prozessor-Schwachstelle erschweren. Als Erstes wird dies beim aktuellen Firefox 57 umgesetzt. Safari soll laut Entwickler Apple in den nächsten Tagen mit einem Update versorgt werden, das die Auswirkungen der Sicherheitslücke abschwächen soll. (dpa)