Die Branche lässt die Kunden hängen
Herbe Kritik an Intel, AMD und Apple: Sie tun zu wenig, um den Schaden der neusten Sicherheitslücken zu beheben. Unzählige PCs und Smartphones sind ungeschützt.
Matthias Schüssler
«Die IT-Branche tut derzeit ihr Bestes, um Vertrauen zu zerstören», wetterte Christof Windeck Ende letzter Woche. Der Journalist hat für Heise.de analysiert, wie die Tech-Riesen mit Meltdown und Spectre umgegangen sind. Das sind zwei grosse Sicherheitslücken, die von Experten unisono zum Super-GAU erklärt wurden. Sie stecken nicht in einem Betriebssystem oder einem Anwendungsprogramm, sondern im Prozessor.
Die Architektur der zentralen Recheneinheit ist auf eine Weise fehlerhaft, die es einem Programm ermöglicht, die Daten eines anderen Programms abzufragen. Das ermöglicht es beispielsweise einem Schnipsel bösartigen Programmcodes, im Browser Passwörter zu stehlen. Und solche heimtückischen Scripts in Umlauf zu bringen, ist keine grosse Kunst.
Die beiden Designfehler stecken in sehr vielen Prozessoren, die seit 1995 verbaut wurden. Die Antwort auf die Frage, ob ein Computer oder Smartphone-Nutzer heute betroffen ist, lautet generell: «Sehr wahrscheinlich ja.» Sicherheitsforscher haben Meltdown und Spectre unabhängig voneinander entdeckt und in den ersten Tagen von 2018 öffentlich gemacht. Software und Hardwarehersteller waren demgegenüber schon seit Mitte 2017 informiert und hatten Zeit, Gegenmassnahmen zu ergreifen.
Updates mit Nebenwirkungen
Trotz des zeitlichen Vorsprungs machten die Tech-Konzerne einen wenig vorbereiteten Eindruck. Microsoft beispielsweise hat zwar eilends ein Update für Windows 10 veröffentlicht. Das verursachte allerdings seinerseits Probleme mit Virenscannern und konnte sogar dazu führen, dass PCs mit AMD-Prozessor nicht mehr starten konnten. Microsoft schob den Schwarzen Peter umgehend AMD zu: Der Prozessorhersteller habe falsche Dokumentationen geliefert.
Die besten Massnahmen, um sich vor diesen und anderen Sicherheitslücken zu schützen.
«Wie kann es sein, dass sechs Monate nach Bekanntwerden gravierender Sicherheitsmängel keine konkreten Listen mit Produkten und den geplanten Updates vorliegen?», fragt Windeck: Es ist schwer abzuschätzen, welche Systeme betroffen sind, und es ist völlig unklar, was mit älteren Prozessoren passieren wird. Sie werden mit Betriebssystemen verwendet, die nicht mehr regelmässig mit Updates versorgt werden. Es steht zu befürchten, dass unzählige Computer und Smartphones noch monate-, jahrelang oder schlicht bis zur Ausmusterung in ungeschütztem Zustand im Einsatz bleiben werden.
Besonders viel Kritik muss sich Intel gefallen lassen. Der Chiphersteller beeilte sich, zu betonen, andere Hersteller seien genauso betroffen wie man selbst. Intel will neuere Prozessoren durch sogenannte Microcode-Updates abhärten. Doch da die Lücke Jahrzehnte zurückreicht, bleibt auch in diesem Fall die Frage im Raum stehen, was mit den älteren passiert.
Apple kommuniziert schlecht
Das Problem der ausbleibenden Updates stellt sich in der Android-Welt, wo es gang und gäbe ist, dass erst wenige Jahre alte Geräte nicht mehr mit Aktualisierungen versorgt werden. Doch auch Apple lässt die Nutzer im Unklaren. Zwar sind die aktuellen Systeme fürs iPhone/iPad (iOS 11) und für die Macs (High Sierra) inzwischen nachgebessert. Doch wie es mit den älteren Versionen ausschaut, bleibt offen. Apples Informationen dazu waren widersprüchlich. Das bittere Fazit von Journalist Christof Windeck: «Im Zweifel liegt die Loyalität der grossen IT-Firmen vor allem bei sich selbst. Die Politik deckt dieses Verhalten, siehe Volkswagen. Der Kunde schaut in die Röhre.» (Tages-Anzeiger)
Die beiden verheerenden Fehler haben sogar eigene Logos: Meltdown (links) und Spectre (rechts). Bild: PD