Sicherheitslücken machen digitale Endgeräte weltweit verwundbar - was du jetzt wissen musst
„Meltdown” und „Spectre” betreffen vermutlich Milliarden Geräte.
Computer, Handys und Smartphones in aller Welt sind aktuell gefährdet. Grund sind zwei gefährliche Schwachstellen in Prozessoren, die ein Forscherteam am Mittwoch öffentlich gemacht. Die Lücken betreffen vermutlich Milliarden von Geräten.
Zwischen Betriebssystem und den Programmen auf einem Gerät besteht eigentlich eine Trennung. Die „Meltdown” genannte Schwachstelle hebt diese Trennung auf, schreiben die Forscher. Angreifer können danach auch Daten lesen, die statt auf dem Gerät in einer Cloud (wie z.B. Dropbox, Google Drive oder box.com) liegen.
Die Schwachstelle „Spectre” könne PCs, Smartphones und Server beeinträchtigen, da die Lücke in Prozessoren der Hersteller Intel, AMD und ARM vorhanden sei - und solche stecken in beinahe jedem Gerät. Durch „Spectre” wird zugelassen, dass Daten zwischen Programmen ausgetauscht werden. Beides kann von Schadsoftware ausgenutzt werden, die dann auf Passwörter, Dokumente, Emails und Nachrichten zugreifen könnten.
Hersteller haben mittlerweile Softwareupdates herausgebracht, die die Schwachstellen zumindest teilweise schließen sollen.
Ist mein Gerät betroffen?
Vermutlich ja, schreiben die Forscher in einem Blogpost. Denn die Sicherheitslücken betreffen Prozessoren des Herstellers Intel, sowie ARM und ADM. Und die sind weltweit in Milliarden von Geräten verbaut, darunter PC's, Macs, Android-Handy, iPhones und viele mehr.
Was du jetzt tun sollest, um dich besser zu schützen: alle Softwareupdates des Herstellers zulassen und regelmäßig prüfen, ob es neue Updates gibt.
Für Nutzer von Android-Smartphones
Nach Angaben von Google wurde für heute ein Sicherheitsupdate veranlasst, das „Schutzmaßnahmen” für dein Smartphone enthält. In naher Zukunft soll es noch mehr solcher Updates geben.
Wenn du ein Google-Smartphone hast, etwa ein Nexus oder ein Pixel, dann musst du selbst nicht aktiv werden. Das Update sollte automatisch heruntergeladen werden und du musst es nur installieren. Bei Android-Smartphones anderer Hersteller sollte das ähnlich sein, wenn du aber in den nächsten Tagen kein Update bekommst, melde dich bei deinem Hersteller.
Für Nutzer von iPhone, iPad und iPod touch
Wenn dein Gerät mit iOS-Version 11.2 läuft, musst du erst einmal nichts tun. In einem Statement gibt Apple an, dass diese Version bereits Schutzmaßnahmen gegen „Meltdown” enthält. Weitere Updates sollen folgen.
Um nachzuschauen, ob du iOS 11.2 bereits hast, gehe auf Einstellungen -> Allgemein -> Softwareupdate.
Für Nutzer von Macs und Apple-TV
Auch für iMacs, MacBooks, Mac Pros und Mac Mini gibt Apple an, bereits durch ein Update im Dezember eine Reihe von Schutzmaßnahmen bereit gestellt zu haben. Um zu schauen, ob dein Gerät das Update zu Mac OS High Sierra 10.13.2 hat klicke auf den Apple-Button oben links auf deinem Bildschirm und gehe auf „Über diesen Mac“, um zu sehen, ob du die aktuellste Version hat.
Wenn nicht, gehe in den App-Store. Unter der Schaltfläche „Update” kannst du dein Betriebssystem aktualisieren.
Für Nutzer von Windows PCs
Microsoft hat am Mittwoch ein Sicherheitsupdate herausgebracht, um das Problem zu beheben. Wenn du also mit Windows 10 arbeitest und deine Einstellungen automatische Updates zulassen, dann müsstest du das Update mit der Kennnummer KB4056890 bereits haben.
Alternativ kannst du es unter der Update-Funktion installieren. Wenn du dabei Probleme hast, hat Microsoft hier einige Anleitungen für bekannte Fehler aufgeschrieben.
Für alle, die den Google Chrome Browser nutzen
Ein Sicherheitsupdate für Google Chrome gibt es laut Google erst am 23. Januar. Du kannst aber zwischenzeitlich trotzdem etwas unternehmen: und zwar indem du eine experimentelle Funktion einschaltest, die sich „Site Isolation“ nennt.
Einfach gesagt führt dieses Feature dazu, dass Seiten, die du aufrufst, nicht so einfach miteinander verbunden werden. Rufst du eine Seite auf, löst das einen Prozess aus. Üblicherweise können Informationen zwischen diesen Prozessen hin- und hergehen, was das Risiko für potentielle Angriffsmöglichkeiten erhöht. Mit „Site Isolation“ läuft jeder Prozess laut Google-Enwicklern in einer eigenen sogenannten „Sandbox” an und die Wahrscheinlichkeit für einen Angriff ist geringer.
Um „Site Isolation” für Windows, Mac, Linux, Chrome OS oder Android einzuschalten, musst du Folgendes tun:
Safari, Mozilla und andere Browser
Mozilla, Microsoft und Apple haben angekündigt, ihre Browser zu aktualisieren. „In den kommenden Tagen planen wir, Maßnahmen in Safari herauszubringen, die gegen Spectre schützen”, schrieb Apple am Donnerstag.
Apple TV, Apple Watch
Das am 4. Dezember veröffentlichte Update von tvOS 11.2 enthält laut Google bereits wichtige Sicherheitsupdates. Die Apple Watch ist nach Aussagen des Unternehmens nicht von „Meltdown” betroffen. Updates für „Spectre” sollen noch kommen.
Machen die Updates mein Gerät langsamer?
Die britische Webseite „The Register” hatte gestern berichtet, dass die Softwareupdates die Prozessoren verlangsamen. Der Prozessor-Hersteller Intel widerspricht dem und geht von nur zwei Prozent Geschwindigkeitsverlust aus.
Ist nach den Updates alles wieder gut?
Nicht ganz. Denn nur die Sicherheitslücke, die durch „Meltdown” verursacht wird, kann durch Softwareupdates behoben werden, schreiben die Forscher. Bei „Spectre” hilft ein Update erst dann, wenn Schadprogramme, die die durch „Spectre” entstandene Lücken nutzen, auf dem Gerät erkannt wurden.
Ursache für die Schwachstellen ist eine Technik, die Prozessoren schneller machen soll
Prozessoren mussten in den letzten Jahren immer schneller werden - Hersteller verwendeten daher etwas, dass sich „spekulative Ausführung” nennt. Dabei werden Informationen, die vermutlich demnächst gebraucht werden, auf den Chips spekulativ - als im Voraus - bereitgestellt. Wie die Forscher nun aufdecken konnten, führt dies aber auch zu schweren Sicherheitsproblemen.