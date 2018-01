Die Ausmaße von "Spectre" und "Meltdown" sind gewaltig: Milliarden von Geräten sind von den Sicherheitslücken betroffen. Angreifer haben die Möglichkeit, auf verschlüsselte Daten auf Computern, aber auch Smartphones und sogar Smartwatches zuzugreifen. Was sie anrichten, welche Geräte betroffen sind und was hilft, erklären wir euch hier.

Was sind Spectre und Meltdown?

Spectre und Meltdown sind die Namen zweier Sicherheitslücken, die fast alle aktuellen Chipsätze betreffen. Sie gewähren Zugriff auf Informationen, die eigentlich tief im System versteckt sind. Vereinfacht gesagt lassen sich wegen eines grundlegenden Fehlers im Design der Prozessoren verschlüsselte Daten wie Passwörter oder Sicherheitsschlüssel auslesen. Denn: Die Chipsätze rufen diese Informationen schon vorab auf, damit sie bei Bedarf schneller vorliegen. Spectre und Meltdown sind zwei unterschiedliche Herangehensweisen, diese Daten ohne weitere Erlaubnis abzurufen. Meltdown betrifft Intel-Chipsätze, Spectre wiederum Intel-, AMD und ARM-Chipsätze. Eine sehr ausführliche und technische Beschreibung liefert das Project Zero von Google, das sie Sicherheitslücken mitentdeckt hat.

Welche Geräte sind betroffen?

Grob gesagt alle Geräte, in denen aktuelle Intel-, AMD- oder ARM-Chipsätze stecken. Das betrifft neben Laptops und PCs auch Konsolen wie die Playstation, Xbox oder Nintendo Switch sowie Server von Cloud-Anbietern – und auch Smartphones, Tablets sowie Smartwatches. Egal ob Windows, Linux, macOS, Android oder iOS: Das Betriebssystem spielt keine Rolle. Betroffen sind alle.

Getestet und nachgewiesen wurden die Sicherheitslücken bei Prozessoren, die ab 2011 hergestellt wurden. Theoretisch betroffen sind sogar alle seit 1995 produzierten Chipsätze. Grundsätzliche sollte jedes nicht negativ getestete Gerät als gefährdet betrachtet werden.

Egal ob A11 Bionic von Apple, Snapdragon 835 von Qualcomm, Exynos 8895 von Samsung oder Helio P20 von Mediatek: Alle in Smartphones und Tablets verbauten Chipsätze basieren auf einem ARM-Kern und sind ebenso betroffen wie die wenigen Modellen mit Intel-Chipsätzen. Auch der Snapdragon 2100, der für Wearables vorgesehen ist und zum Beispiel in der Asus Zenwatch 3 oder der Misfit Vapor steckt, ist genauso ein ARM-Chipsatz wie die S-Chip der Apple Watch.

So schützt man sich vor Spectre und Meltdown

Entdeckt wurden Spectre und Meltdown bereits im Juni 2017. Seitdem arbeiten Entwickler daran, die Sicherheitslücken zu schließen. Für Meltdown waren sie auch erfolgreich, doch das Schlupfloch von Spectre lässt sich nicht so einfach schließen.

Mit einem Software-Update kann man zwar eine "höhere Mauer" um den Kernel bauen, sodass der Meltdown-Angriff nicht mehr funktioniert. Damit gehen allerdings Leistungseinbußen einher, die sich zwischen fünf und 30 Prozent bewegen.

Unter Windows

Amazon und andere Betreiber von Cloud-Plattformen haben ihre System bereits aktualisiert oder ein Update für die erste Januar-Hälfte angekündigt. Für Windows hat Microsoft bereits am 4. Januar einen Sicherheitspatch veröffentlicht. Haltet beim Windows Update nach "KB4056892" Ausschau. Entwickler verschiedener Linux-Distributionen arbeiten bereits an entsprechenden Updates. Apple hat sich noch nicht geäußert, aber man kann davon ausgehen, dass mit einem der nächsten Updates für macOS auch dort die Lücke geschlossen wird. Chrome solltet ihr bereits jetzt auf die neueste Version aktualisieren und am 23. Januar auf die Version 64 updaten. Bei Firefox solltet ihr mindestens die Version 57 installieren. So oder so, solltet ihr unabhängig vom Betriebssystem die Sicherheitsupdate installieren.

Spectre stellt die Entwickler dagegen vor eine deutlich größere Herausforderung. Sie konnten bisher noch keinen Weg finden, den Angriff ganz zu unterbinden, da die Lücke quasi fest eingebaut ist. Deswegen ist in diesem Zusammenhang oft von "Mitigation" die Rede, was sich mit "Minderung" übersetzen lässt,. Euch bleibt am Ende auch hier nichts anderes übrig, als auf Updates der Hersteller zu warten und sie zu installieren.

Unter Android

So enthält zum Beispiel das Android-Sicherheitsupdate für den Januar 2018 Minderungen für Spectre. Google hat dieses für das Nexus 5X, Nexus 6P, Pixel C, Pixel (XL) und Pixel 2 (XL) bereits veröffentlicht. Andere Hersteller müssen ihre Geräte selber mit dem Update versorgen und haben die nötigen Informationen von Google bereits im Dezember erhalten. Leider lässt die Versorgung mit Updates bei vielen Modellen zu wünschen übrig. Euch bleibt ihn diesem Fall nur das Warten auf ein Update.

"Strict site isolation" in Chrome unter Android aktivieren. (© 2018 CURVED)

In der Android-Version des Chrome-Browsers könnt ihr "chrome://flags" in das Adressfeld eingeben und in den dann erscheinenden Einstellungen nach "Site" suchen. Aktiviert ihr die "Strict site isolation" erschwert ihr Zugriffe über Spectre. Nebenwirkungen, etwa auf die Darstellung von Webseiten, sind allerdings nicht ausgeschlossen. Es handelt sich noch um eine experimentelle Sicherheitsfunktion.

Unter iOS

Auch wenn Apple sich noch nicht geäußert hat, kann man davon ausgehen, dass mit einem der nächsten Updates von iOS – evtl. ja schon iOS 11.2.5 – das Einfallstor für Spectre verkleinert wird.