Durch eine gravierende Sicherheitslücke in Computerchips von vielen Millionen Geräten können Hacker an vertrauliche Nutzerdaten gelangen. Computerforscher haben demonstriert, dass es möglich ist, sich Zugang zum Beispiel zu Passwörtern, digitalen Schlüsseln oder Programm-Informationen zu verschaffen.

Die Schwachstelle liegt in einem Verfahren, bei dem Chips Informationen, die möglicherweise später benötigt werden, schon im Voraus abrufen, um Daten schneller verarbeiten zu können. Dieses Methode kann jedoch ausgetrickst werden, um Daten abzuschöpfen. Da das Verfahren bei Chip-Herstellern weitverbreitet ist, ist die Zahl der betroffenen Geräte kaum absehbar. Allein beim Branchenriesen Intel könnten laut den Forschern, die unter anderem für Google arbeiten, fast alle Prozessoren seit 1995 betroffen sein. Auch Prozessoren mit Technologie des Chip-Designers ARM, der in Smartphones dominiert, wiesen das Problem auf. Der Intel-Konkurrent AMD erklärt zwar, seine Chips seien sicher, die Forscher betonte aber, sie hätten auch diese attackieren können. Welches Betriebssystem auf einem Gerät genutzt wird, sei bei der Sicherheitslücke völlig unerheblich, so der IT-Sicherheitsexperte Thomas Uhlemann.

Ob die Lücke bereits ausgenutzt wurde, wissen die Forscher nicht. Da die Attacken keine Spuren in traditionellen Log-Dateien hinterließen, sei das schwer festzustellen. Intel geht davon aus, dass es bisher keine Angriffe gegeben hat.

Die Forscher beschrieben zwei Attacken, die auf Basis der Schwachstelle möglich sind. Bei der einen, der sie den Namen Meltdown gaben, werden die grundlegenden Trennmechanismen zwischen Programmen und dem Betriebssystem ausgehebelt. Dadurch könnte böswillige Software auf den Speicher und damit auch auf Daten anderer Programme und des Betriebssystems zugreifen.

Die zweite Attacke, Spectre, lasse zu, dass Programme einander ausspionieren können. Spectre sei schwerer umzusetzen als Meltdown, aber es sei auch schwieriger, sich davor zu schützen.Von Spectre seien „fast alle Systeme betroffen: Desktops, Laptops, Cloud-Server sowie Smartphones“, erklärten die Forscher.Server sowie Smartphones“, erklärten die Forscher.

Die eigentliche Sicherheitslücke in den Computer-Chips lässt sich laut den Forscher nicht beseitigen. Die Schwachstelle sei zu tief in der Struktur der Prozessoren verwurzelt. Nutzer müssten darum alle verfügbaren Sicherheitsupdates auf allen Geräten installieren und die genutzte Software auf dem aktuellen Stand halten.

Entdeckt und den Unternehmen gemeldet wurde die Schwachstelle bereits im Juni. Die Firmen hatten also bereits Zeit, Gegenmittel zu entwickeln. Google, Microsoft und Amazon sicherten ihre Cloud-Dienste ab. Dabei wurde das Problem früher als geplant publik: Eigentlich wollte die Branche die Schwachstelle und ihre Maßnahmen erst am 9. Januar öffentlich machen. Doch schon in den vergangenen Tagen fiel eine erhöhte Update-Aktivität auf – und erste Berichte über eine Sicherheitslücke in Intel-Chips machten die Runde.

Besonders folgenreich könnte das Problem zumindest theoretisch in Server-Chips werden. Die Cloud-Anbieter Google, Microsoft und Amazon erklärten, ihre Dienste mit Software-Updates abgesichert zu haben. Auf etlichen Servern laufen auch in sogenannten virtuellen Maschinen mehrere Software-Systeme parallel, die nun alle abgesichert werden müssen. Bislang gingen die Tech-Unternehmen davon aus, dass von den Computer-Prozessoren keine Gefahr droht.