Meltdown und Spectre

04. Januar 2018 11:48; Akt: 04.01.2018 12:19 Print

So schützen Sie sich vor der Chip-Sicherheitslücke

Die gravierenden Lücken namens Meltdown und Spectre bedrohen Milliarden PCs und Handys weltweit. Was Sie als Nutzer jetzt tun können.

Bildstrecke im Grossformat »
Die Sicherheitslücken Spectre und Meltdown bedrohen weltweit Milliarden Geräte. Betroffen sind unter anderem Computer, Tablets, Smartphones – unabhängig vom Betriebssystem. Laut IT-Experten sind die Sicherheitslücken die wahrscheinlich schlimmsten CPU-Bugs, die jemals entdeckt wurden. Betroffen sind unter anderem Chips der Hersteller Intel, AMD und ARM. Nutzer sollten umgehend alle verfügbaren Updates für jegliche Geräte installieren. Ob die Schwachstellen bereits ausgenutzt wurden ist laut den Forscher nicht bekannt. Sehen Sie in den nachfolgenden Bildern, welche Cyberangriffe in der Vergangenheit Schäden anrichtete. Die Schadsoftware infizierte Mitte 2017 mehrere Hunderttausend Systeme in 150 Ländern und verschlüsselte alle Dateien auf den PCs. Die Angreifer forderten darauf ein Lösegeld, um die Files wieder freizugeben. Betroffen waren zahlreiche Firmen, darunter Renault, Fedex und die britische Gesundheitsbehörde. Grund für die rasende Verbreitung: Wannacry nutzte eine Lücke, die zuvor beim US-Auslandsgeheimdienst NSA gestohlen worden war. Am 27. Juni 2017 wurde die Ransomware Petya losgelassen. Weltweit wurden PC-Systeme gesperrt. Betroffen von dem Angriff waren unter anderem der Ölkonzern Rosneft, die dänische Reederei Maersk und das britische Werbeunternehmen WPP. Am meisten Infizierungen gab es in der Ukraine. Getroffen hat es auch diesen Supermarkt in der zweitgrössten Stadt der Ukraine, Charkiw. Die Verteilung der Schadsoftware gelang unter anderem über NSA-Exploits, die gestohlen worden waren. Der Mutterkonzern der Kondom-Marke Durex hat nach dem Angriff mit Ausfällen zu kämpfen, weil durch Petya Produktionsstätten lahmgelegt wurden. Auch der Lebensmittel-Riese Mondelez, der unter anderem Oreos und die Milka-Schokolade herstellt, war von dem Angriff betroffen. Forscher der Sicherheitsfirma Eset berichten von einer Schadsoftware, die Blackouts in Stromnetzen erzeugen kann. Der sogenannte Industroyer soll Ende 2016 für einen Stromausfall in der ukrainischen Hauptstadt Kiew verantwortlich gewesen sein. Im Jahr 2016 gab der IT-Konzern bekannt, dass 2013 und 2014 bei Cyberangriffen die Daten von 1,5 Milliarden Mitgliedern abhandengekommen waren. Unter anderem wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtstage und Teile von Passwörtern entwendet. Unbekannten gelang es im Jahr 2016, in die Systeme des Department of Justice einzudringen. Die Angreifer entwendeten Namen, E-Mail-Adressen, Wohnorte und Job-Titel von mehr als 30'000 US-Beamten. Mit der anschliessenden Veröffentlichung wurden 1797 FBI-Spezialagenten enttarnt. Die Seitensprungplattform sorgte 2015 für Schlagzeilen. Eine Gruppe namens Impact Team entwendete rund 25 GB Daten von den Servern. Neben Interna der Firma wurden im Anschluss auch die E-Mail-Adressen von 37 Millionen Mitgliedern veröffentlicht, die über die Plattform nach einem Seitensprung gesucht hatten. Hacker, die sich selbst in Verbindung mit der Terrororganisation IS bringen, kaperten 2015 den Twitter-Account von CentCom. Das United States Central Command ist eines von sechs Regionalkommandozentren der US-Streitkräfte. Wenige Minuten vor der Übernahme hatte der damalige US-Präsident Barack Obama in Washington über Cybersecurity gesprochen. Die sogenannten Guardians of Peace (GOP) starteten im Jahr 2014 einen grossen Cyberangriff auf Sony. Sie veröffentlichten Interna von 47'000 Mitarbeitern. Darunter waren auch mehrere prominente Schauspieler. Auch mehrere unveröffentlichte Skripts und Filme wurden publik gemacht. Hinter dem Angriff vermuten Experten Drahtzieher aus Nordkorea als Reaktion auf den Film «The Interview». Im Film mit Seth Rogen geht es um einen Mordkomplott gegen Kim Jong-un. Der Sicherheitsexperte Bruce Schneier beschrieb die Lücke folgendermassen: «Auf einer Skala von 1 bis 10 ist das eine 11.» Die Schwachstelle blieb mehrere Jahre unentdeckt, kam aber 2014 ans Licht. Wegen eines Fehlers in der Sicherheitssoftware OpenSSL konnten Hacker Verschlüsselungen aushebeln und so vermeintlich geschützte Daten abgreifen. Mehrere 100'000 Websites weltweit waren schätzungsweise betroffen. Dem US-Auslandsgeheimdienst NSA sei die Lücke seit 2012 bekannt gewesen, schrieb damals Bloomberg.com. Hackern gelang es 2014, Namen, E-Mails, Adressen, Telefonnummern und Geburtsdaten von Ebay-Servern zu stehlen. In der Folge forderte die Firma 145 Millionen aktive Mitglieder auf, ihr Passwort zu ändern. In einem gross angelegten Angriff gelang es Hackern 2011, Daten von rund 100 Millionen Nutzern der Plattform Playstation Network zu entwenden. Gestohlen wurden unter anderem auch Bankdaten und Adressen. Sony musste wegen des Datenlecks eine Strafe von 250'000 britischen Pfund bezahlen. Der Wurm gilt als erste bekannte Cyberwaffe. Stuxnet wurde 2010 eingesetzt, um die Steuerungssysteme in iranischen Uran-Anreicherungsanlagen zu manipulieren. Den Angreifern gelang es, die Zentrifugen so zu beschleunigen, dass diese kaputtgingen. Rund ein Fünftel aller Zentrifugen wurde so zerstört. Laut Whistleblower Edward Snowden steckten Geheimdienste aus den USA und Israel hinter dem Angriff. 2009 wurde Google.cn gleich mehrmals angegriffen. Die Attacken liefen unter dem Namen Aurora. Den Angreifern gelang es, Daten von Google zu entwenden. Neben Google wurden gleichzeitig rund 30 weitere Firmen angegriffen. Im Jahr 2008 nistete sich der Virus in Windows-Betriebssystemen ein. Mithilfe von Conficker gelang es Hackern, Passwörter und persönliche Informationen und Bankdaten abzugreifen. Mehr als neun Millionen Geräte wurden damals infiziert. Dieser Makrovirus war für MS Word programmiert. Er richtete 1999 relativ grossen Schaden an, da er sich automatisch an die 50 ersten Outlook-Kontakte weiterschickte. Das brachte die Netzwerke zur Überlastung, weshalb selbst Firmen wie IBM und Microsoft ihre Netzwerke temporär ausschalten mussten. Der Schaden wurde auf rund 80 Millionen US-Dollar geschätzt. Einem 15-jährigen Teenager gelang es 1999, in Systeme des US Departement of Defense einzudringen. Dort installierte er dann eine Hintertür und griff so Nutzernamen, Passwörter und Tausende E-Mails ab. Mit den Daten entwendete er dann Software von der Nasa, deren Systeme darauf drei Wochen ausser Betrieb waren. Laut der Nasa hatte das Tool einen Wert von 1,7 Millionen US-Dollar und war dazu da, die Innentemperatur und Luftfeuchtigkeit der ISS zu regulieren.

Zum Thema
Fehler gesehen?

Sind Sie von der Lücke betroffen?

Umfrage
Haben Sie Angst vor Hackerangriffen?

«Ja, garantiert», schreiben die IT-Experten, die die aktuellen Schwachstellen entdeckt haben.

Was ist passiert?

Sicherheitsforscher, unter anderem von Google, haben in Chips gravierende Sicherheitslücken gefunden. Die Schwachstellen heissen Meltdown und Spectre. Sie betreffen Milliarden Geräte weltweit, darunter Server, Computer, Tablets, Notebooks und Smartphones. Daniel Gruss, Forscher an der Technischen Universität Graz, der Meltdown entdeckte, nannte es den «wahrscheinlich schlimmsten CPU-Bug, der je gefunden wurde».

Wer ist betroffen?

Computerchips von verschiedenen Herstellern, darunter praktisch alle Prozessoren, die der Branchenriese Intel seit 1995 ausgeliefert hat, könnten von dem Problem betroffen sein. Ebenfalls anfällig sind laut Forschern Chips der Hersteller AMD und ARM. Dabei ist es egal, ob darauf Windows, macOS, Linux oder ein anderes Betriebssystem läuft. Ursache ist das Design moderner Chips und die Art, wie diese Daten verarbeiten.

Wo liegt das Problem?

Die beiden Lücken erlauben es Angreifern, die Hardwarebarrieren zu umgehen und Daten aus dem Betriebssystem abzurufen. Sie können so Zugriff auf sensible Informationen oder Passwörter in Anwendungen – etwa Browsern – erhalten. Ein solcher Angriff hinterlässt laut den Angaben der Forscher keine Spuren. Ob Hacker die Methoden bereits ausnutzen, ist nicht bekannt.

Hilft meine Antiviren-Software?

Das ist theoretisch möglich, in der Praxis aber unwahrscheinlich, schreiben die Experten. Im Gegensatz zu gewöhnlicher Malware sind Meltdown und Spectre schwer von normalen und gutartigen Anwendungen zu unterscheiden.

Gibt es eine Lösung?

Laut den Hardwarelieferanten können die Lücken per Software gestopft werden. Die Hersteller arbeiten unter Hochdruck an Updates. Microsoft hat bereits eine Notfall-Aktualisierung für Windows-10-Computer veranlasst. Weitere Hersteller dürften in den nächsten Stunden und Tagen nachziehen. Google hat ebenfalls reagiert und Updates für seine Pixel-Smartphones bereitgestellt. Bei macOS sei das Problem mit der Version 10.13.2 behoben worden, schreibt ein Sicherheitsforscher.

Was kann ich jetzt tun?

Installieren Sie umgehend alle verfügbaren Sicherheits-Updates für jegliche Geräte. Auch sollte darauf geachtet werden, dass man im Internet nur mit den aktuellsten Browser-Versionen surft. Zudem sollte man besondere Vorsicht bei Downloads oder E-Mail-Anhängen walten lassen und diese nicht unbedacht öffnen.

(tob/sda)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Dante Veritas am 04.01.2018 12:02 Report Diesen Beitrag melden

    Achso

    Mit anderen Worten: " Die Hersteller haben bewusst Sicherheitslücken in die Hardware eingebaut. Geheimdienste konnten und können sich daran austoben und gewünschte Daten, ohne Spuren zu hinterlassen, absaugen." Alles andere ist doch schlichtweg geheuchelt und gelogen.

    einklappen einklappen
  • Ernst Sehr am 04.01.2018 12:11 via via Mobile Report Diesen Beitrag melden

    Wirtschaftsboom

    Das nenn ich aber einen Antrieb für neue IT Systeme anzuschaffen... was auch immer dahinter steckt, es hat System und einen Sinn für die Wirtschaft anzukurbeln. Da lässt sich wieder hippstermässig eine Menge Kohle machen. Und glaubt ja nicht dass das neue Material ohne Bugs daher kommt. Schliesslich will das wiederholt werden.

    einklappen einklappen
  • Yannick Schmid am 04.01.2018 12:09 via via Mobile Report Diesen Beitrag melden

    Mehr Potenzial

    In dieser Branche steckt definitiv mehr Potenzial. Ich finde auch, dass sich die Nutzer auch mehr informieren müssen. Es herschen grosse Lücken.

    einklappen einklappen

Die neusten Leser-Kommentare

  • Argus am 05.01.2018 09:55 via via Mobile Report Diesen Beitrag melden

    Das Ganze hat System

    Das Ganze hat System. Wer glaubt, dass diese Lücken zufällig sind, ist sehr naiv. Die Nutzer sollen rascher und häufiger neue Geräte kaufen. Es ist reine Angstmacherei und schüren von Unsicherheit. Die langsamen I Phone Akkus nach Updates lassen grüssen. Es geht also um Generierung von Umsatz und Gewinn. In der II Branche passiert nichts ohne Grund. Die Nutzer sind der ganzen Branche ausgeliefert.

    • Xeno72 am 05.01.2018 10:44 via via Mobile Report Diesen Beitrag melden

      @Argus

      Das ist bei diesem Bug keine überzeugende Erklärung. Die Grundfehler sind über 20 Jahre alt, das ist in der Elektronik ewig.

    einklappen einklappen
  • Chnuuschti am 05.01.2018 08:19 Report Diesen Beitrag melden

    und Motorola?

    Ich habe noch G5-Przessoren am laufen; sind die auch betroffen?

  • Earny am 05.01.2018 01:41 via via Mobile Report Diesen Beitrag melden

    Löchli und immer wieder Löchli

    Schon beim "Millenium-Bug" hat man den Untergang der Welt voraus gesagt. Was ist passiert: Wer daran geglaubt hat, kaufte sich neue Geräte. Das Geschäft boomte. Dass die ganze IT nur aus Löchern besteht, ist nun wirklich nicht neu. Es ist wie bei den Schulden. Löcher werden mit neuen Schulden gestopft. Im Vergleich: Jedes Update bringt (den Beteuerungen der Programmierungen zum Trotz) neue Löcher. Gäbe es ein sicheres System, müsste man sagen: DAS IST ES UND DABEI BLEIBEN WIR! IT ist längst zum Glücksspiel geworden. Man kann nur hoffen, dass es einen nicht erwischt.

  • It Security Spezi am 04.01.2018 22:24 via via Mobile Report Diesen Beitrag melden

    Unglaublich aber realistisch!

    Ich arbeite in dieser Branche und kenne mich zusätzlich auch technisch aus, was ja nicht selbstverständlich ist! Man könnte effektiv glauben, dass alles nur Fake ist, wenn z.B. innert 5 min. 27 neue Sicherheitslücken nur auf Android gefunden wurden. Aber ich mache mir hin und wieder denn Spass, dass ich solche Lücken ausprobiere und siehe da, es funktioniert, meistens! Also doch nicht nur Fake. Und weil economy of scale gilt, zählt der Ansatz nicht: bei mir gibt es nichts zu holen! Jeder ist betroffen, nicht gezielt, aber im Schwarm-Verfahren.

  • _uhu am 04.01.2018 22:13 Report Diesen Beitrag melden

    Einmal mehr..

    ...würde es einen mehr schützen, beim Anklicken zu denken ...aber denken ist heutzutage für viele zu umständlich. Ich kenne genug Beispiele von Leuten, die ohne Antivirenprogramm nie Viren etc. haben - darunter auch Senioren - es geht also! :-)