Ahnungslos?

Weißes Haus: NSA wusste nichts von Computerchip-Schwachstelle

Die NSA wusste angeblich nichts von der Schwachstelle in Computer-Chips, obwohl das ein wertvolle Angriffsziel wäre. Denn durch Spectre und Meltdown könnten Daten entwendet werden, ohne Spuren zu hinterlassen
Von dpa /

Sicherheitslücke bei Computerchip-Design Sicherheitslücke bei Computerchip-Design
Bild: dpa Der US-Geheimdienst NSA hat die jüngst bekanntgewordene massive Sicherheitslücke in Computerchips nach amerikanischen Regierungsangaben nicht gekannt. "Die NSA wusste nicht von der Schwachstelle, hat sie nicht ausgenutzt und freilich würde die US-Regierung nie ein großes Unternehmen wie Intel einem Risiko aussetzen, um eine Angriffsfläche offenzuhalten", sagte der Cybersicherheitskoordinator im Weißen Haus, Rob Joyce, der Washington Post. Er führte einst selbst die NSA-Abteilung, die auf das Eindringen in Computersysteme spezialisiert ist.

Durch die Sicherheitslücke können zumindest theoretisch auf breiter Front Daten abgeschöpft werden. Die Schwachstelle steckt in einem branchenweit angewendeten Verfahren, das die Chips schneller machen sollte. Deswegen sind Prozessoren verschiedenster Hersteller betroffen. Forscher demonstrierten, dass es möglich ist, sich Zugang zum Beispiel zu Passwörtern, Krypto-Schlüsseln oder Informationen aus Programmen zu verschaffen. Nach Angaben aus der Tech-Branche sind bisher keine Schadprogramme bekanntgeworden, die die Sicherheitslücke ausnutzen.

Wertvolle Angriffsmethode für Geheimdienste

Sicherheitslücke bei Computerchip-Design Sicherheitslücke bei Computerchip-Design
Bild: dpa Für einen Geheimdienst wäre die Angriffsmethode umso wertvoller, da sie in den üblichen Log-Dateien keine Spuren hinterlässt. Die NSA ist für ausufernde Ausspäh-Aktivität rund um die Welt berüchtigt, spätestens seit ihr Ex-Mitarbeiter Edward Snowden im Jahr 2013 geheime Programme offengelegt hatte.

Geheimdienste suchen gezielt nach Schwachstellen in Computer-Systemen, die sie für ihre Arbeit nutzen können. In den USA gibt zugleich ein Verfahren, in dem abgewogen wird, ob die Lücke angesichts öffentlicher Gefährdung den Herstellern gemeldet werden sollte, damit sie sie schließen können.

Auch weitere aktuelle und frühere Mitarbeiter der NSA bestätigten der "Washington Post" dass der Dienst die Computerchip-Schwachstelle nicht gekannt habe. "Ich mache mir keine Sorgen wegen der NSA. Ich mache mir Sorgen wegen allen anderen", sagte der Zeitung Jake Williams, ein Top-Manager der IT-Sicherheitsfirma Rendition InfoSec und ebenfalls früherer NSA-Mitarbeiter. Experten befürchten, dass jetzt, da die Lücke allgemein bekannt, aber noch nicht überall gestopft ist, die Hacker aktiv werden könnten.

Zahlreiche Klagen in den USA

Tech-Firmen sind gerade dabei, die seit Jahren bestehende Schwachstelle in den Computerchips - so gut es geht - mit Software-Aktualisierungen dichtzumachen. Komplett kann man das Problem nach Ansicht vieler Fachleute aber nur durch einen Austausch der Prozessoren beheben.

Auch deshalb sieht sich der Chipriese Intel ersten Klagen von US-Verbrauchern ausgesetzt. Die Kunden argumentieren mit Blick auf die entdeckte Schwachstelle, dass ihnen schadhafte Chips verkauft worden seien und fordern Wiedergutmachung. Am Wochenende wurden zunächst fünf Klagen bekannt: Zwei in Kalifornien (PDF) sowie jeweils eine in Indiana (PDF), Oregon (PDF) und New York (PDF). Die Kläger streben den Status von Sammelklagen an, denen sich weitere Verbraucher anschließen können. Zu den Klagen äußerte sich der Konzern zunächst nicht.

Debatte um Leistungseinbußen durch Updates

Forscher machten bei der Sicherheitslücke zwei Angriffsszenarien aus: Mit "Meltdown" kann man Daten aus dem Betriebssystem abgreifen, mit "Spectre" aus anderen Programmen. Die Kläger schießen sich jetzt zum Teil darauf ein, dass "Meltdown" bisher nur auf Intel-Prozessoren nachgewiesen wurde. Sie verweisen darauf, dass Intel bereits seit Monaten über die Schwachstelle Bescheid gewusst habe, und argumentieren, dass sie sich keinen Computer mit Intel-Chip gekauft oder weniger dafür bezahlt hätten, wenn diese Informationen öffentlich gewesen wären. Die Forscher und die Unternehmen hatten die Offenlegung bis Januar zurückgehalten, um in dieser Zeit Gegenmaßnahmen zu entwickeln.

Unterdessen geht die Debatte darüber weiter, wie stark die als Schutzmaßnahmen gegen das "Meltdown"-Szenario veröffentlichten Software-Updates die Leistung der Computer-Systeme drosseln. Die Spielefirma Epic Games machte die Aktualisierung für Probleme bei den Online-Funktionen für ihren Titel "Fortnite" verantwortlich. Sie veröffentlichte eine Grafik, aus der hervorgeht, dass danach die Prozessor-Auslastung der Cloud-Server auf einen Schlag von unter 20 auf rund 45 Prozent hochgesprungen sei und weiter gestiegen sei. Zuletzt hatten mehrere große Anbieter erklärt, die Updates dürften die Systeme nicht merklich bremsen - anfänglich waren Leistungsverluste von bis zu 30 Prozent befürchtet worden.

Wie Meltdown und Spectre die bisher bekannten Sicherheitsprinzipien von Computern und Smartphones aushebeln was dabei für Privatanwender besonders gefährlich werden könnte, haben wir bereits am Freitag in dem ausführlichen Editorial Kernschmelze im Prozessor erklärt.

Mehr zum Thema Sicherheitslücke