Sicherheitslücken in Software-Programmen sind nichts Neues. Meist sind sie mit einem Softwareupdate schnell behoben. Ist allerdings die Hardware betroffen, dann stellt das eine ganz neue Dimension der Gefährdung dar. Vor den neu entdeckten Sicherheitslücken Meltdown & Spectre ist niemand mehr sicher. 

Gefühlt schlägt das Smartphone ständig ein Update vor. Die meisten tippen einfach auf "später installieren" und hoffen darauf, dass das Update nachts installiert wird, wenn man selbst schläft.

Wir machen uns eher selten Gedanken darüber, dass solche Updates Sicherheitslücken - meistens in der Software - schließen und uns so vor Datendiebstahl schützen können. So lange alles läuft, gibt es ja auch kein Problem, denkt sich der unbedarfte Nutzer gerne. 

Bug in der Hardware, statt in der Software

Von Bugs, Sicherheitslücken und Software-Problemen haben wir alle schon mal gehört, aber wir vertrauen auch darauf, dass uns der Hersteller unsere Smartphones oder Tablets mit den notwendigen Updates versorgt. 

Allerdings gibt es eine Form der Sicherheitslücke, die sich nicht mehr so leicht mit einem Software-Update beheben lässt. Dann nämlich, wenn sich dieses Schlupfloch in der Hardware befindet, zum Beispiel im Prozessor. 

Meltdown & Spectre: Der Dieb und der Hypnotiseur

Daniel Gruß erforscht als IT-Sicherheitsexperte Software und Hardware-Lücken an der TU Graz. Probleme, die die Hardware, beispielsweise die Prozessoren von Geräten betreffen, stellen aus seiner Sicht eine neue Dimension in der Gefährdung unserer Daten dar. 

So auch die Sicherheitslücken Meltdown und Spectre, über die seit einigen Monaten viel in den Medien berichtet wird. Diese Security-Bugs betreffen die Hardware und damit eigentlich alle Endgeräte, die es gibt. Damit sind auch Apple- und Linux-Nutzer nicht mehr sicher, die zuvor weniger Cyberattacken zu befürchten hatten. 

Moritz Lipp gehört zum Team der IT-Sicherheitsexperten der TU Graz. Er charakterisierte Meltdown und Spectre in einem Interview in der Süddeutschen im übertragenen Sinne als Dieb und Hypnotiseur: 

IT-Sicherheitsexperten an der TU Graz: Daniel Gruß, Moritz Lipp und Michael Schwarz
© Lunghammer | TU Graz
IT-Sicherheitsexperten an der TU Graz: Daniel Gruß, Moritz Lipp und Michael Schwarz
"Der Dieb klaut die Daten direkt während der Hypnotiseur sein Opfer dazu bringt, die Daten selbst herzugeben."
Deutschlandfunk-Nova-Moderator Sebastian Sonntag fasst das Prinzip zusammen

In den Prozessoren laufen verschiedene Abläufe parallel ab. Sie greifen beispielsweise auf unsere sensiblen Daten, wie auf Passwörter oder den PIN-Code unseres Bankkontos, zu und fragen im Abstand von wenigen Nanosekunden nach, ob das System diesen Zugriff überhaupt erlaubt. 

Wenn dann die Information kommt, dass die Prozessoren nicht auf diese Daten zugreifen sollen, ist das bereits passiert. Diese Parallelität der Abläufe nutzen Angreifer aus, um unsere Daten mit Sicherheitslücken wie Meltdown und Spectre auszuspionieren.

"Die Sicherheitslücke hinterlässt keine Spuren. Wenn Daten gestohlen wurden mit dieser Sicherheitslücke, dann kann ich das im Nachhinein gar nicht nachvollziehen."
Daniel Gruß, IT-Sicherheitsexperte TU Graz

Die Sicherheitslücken in der Hardware liegen eine Ebene tiefer als die Bugs in der Software. Sie lassen sich nicht so leicht mit einem Software-Update beheben. Das Programm muss dann um die Sicherheitslücken "herum arbeiten", erklärt Daniel Gruß von der TU Graz. 

Dadurch, dass das Sicherheitsproblem sich auf der Hardware-Ebene befindet, nimmt es eine ganz neue Dimension an. Denn es betrifft jedes Gerät, egal, welche Software darauf installiert ist. Und in Zeiten, in denen das Internet der Dinge - beispielsweise in Smarthomes - eine immer wichtigere Rolle spielt, wird die Bedrohung durch Cyber-Attacken umso konkreter.  

"Dass das Ganze jetzt so eskaliert ist, das ist dem zu schulden, dass das Thema in den vergangenen Jahren vernachlässigt wurde."
Daniel Gruß, IT-Sicherheitsexperte TU Graz

 IT-Sicherheitsexperten wie Daniel Gruß warnen: Künftig müssen wir damit rechnen, dass Cyberangriffe die Energieversorgung ganzer Regionen lahmlegen können:

Sollte es einem Angreifer gelingen, eine niedrige Millionenanzahl von Geräten beispielsweise in Smarthomes zu kontrollieren, dann wäre es wahrscheinlich möglich, die Energieversorgung auszuschalten. 

Das gelingt dem Angreifer dadurch, dass er diese Geräte alle konzertiert auf einen Schlag an- und wieder ausschaltet. Unser Stromnetz würde das nicht aushalten und  zusammenbrechen. Mit solchen Angriffen müssen wir in Zukunft rechnen, sagt Daniel Gruß. 

Mehr zum Thema