Bundesamt im Chip-Desaster

Nur Sprechblasen von den IT-Rettern

Von Constanze Kurz
 - 12:47
zur Bildergalerie

Das neue Jahr fängt an wie das alte: Eine Sicherheitslücke jagt die nächste, diesmal gleich zu Jahresbeginn mit epischen Ausmaßen. Die aktuell diskutierten Angriffsmöglichkeiten wurden „Meltdown“ und „Spectre“ getauft und betreffen einen Großteil aller Computer, die heute in Gebrauch sind. Die Ursache dafür ist einfach: Es ist kein Softwareproblem, wie wir es mittlerweile gewohnt sind, sondern es betrifft Hardware.

Denn die Angriffsmethoden setzen bei den am weitesten verbreiteten Prozessoren und deren Zusammenspiel mit den jeweiligen Betriebssystemen an, die in Millionen von Geräten stecken. Die beiden größten Prozessoranbieter Intel und AMD sind betroffen, ebenso alle, die diese Chips verwenden, wie Dell, HP und auch Apple mit Geräten von den Macs über die Apple Watch bis zu den iPhones.

Die Krone der bizarren Reaktionen

Die Reaktionen auf das öffentliche Bekanntwerden der schon seit Sommer des letzten Jahres vermuteten Angriffsmethoden offenbaren einmal mehr die generelle Hilflosigkeit der Branche. Zwar kann in das Innerste von Betriebssystemen, den sogenannten Kernel, eine Fehlerkorrektur eingebracht werden, um einige der Angriffe abzuwehren oder zu erschweren. Die Systeme werden dadurch allerdings etwas langsamer. Und bei einer derartigen Menge an betroffenen Systemen ist das kein kleines Unterfangen. Während das Update läuft und den Computer wieder ein kleines bisschen sicherer macht, sollte der Nutzer ruhig mal ein großes Dankeschön an die Handvoll verschwitzter und überarbeiteter Kernel-Entwickler schicken. Denn das sind die Menschen, die mit ihren Software-Abhilfen mal wieder die Welt retten, obwohl sie nicht das kleinste bisschen Schuld an der Situation tragen.

Chip-Sicherheitslücke
„Das wird ziemlich teuer“
© FAZ.NET, FAZ.NET

Der Prozessorhersteller Intel behandelte die Katastrophe im Wesentlichen als PR-Problem. Nachdem der Intel-Chef rechtzeitig noch alle Aktien abgestoßen hatte, die er verkaufen durfte, litt das öffentliche Ansehen des Prozessor-Platzhirschs dann auch deutlich. Doch wo wendet sich die deutsche Öffentlichkeit hin, wenn sie verlässliche Fakten und Hinweise zur Abhilfe sucht? Es böte sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) an, das die Fachleute hat, um eine fundierte Einschätzung abzugeben. Doch statt sinnvolle Hinweise zu geben, setzte sich das deutsche BSI die Krone der bizarren Reaktionen auf: Neben den üblichen Gemeinplätzen (immer schön patchen!) tat die IT-Sicherheitsbehörde so, als wenn sie schon lange auf das Problem hingewiesen hätte. Der BSI-Präsident Arne Schönbohm lässt sich mit einem Statement zitieren, dessen Aussage so schlicht wie hilflos ist: Haben wir euch doch schon immer gesagt!

In seinem Jahresbericht 2017 weist das Bundesamt tatsächlich abstrakt auf die Risiken von Hardware-Sicherheitslöchern und spezifisch auf sogenannte „Seitenkanalangriffe“ hin. Zu dieser Art Angriff zählen „Spectre“ und „Meltdown“ prinzipiell. Jedoch wird bei der Lektüre des betreffenden Absatzes im Jahresbericht schnell klar, dass es dem BSI um eine gänzlich andere Klasse von Problemen ging, die das Auslesen von Krypto-Schlüsseln aus Chipkarten betrifft. Konkret vor der nun veröffentlichten Problemklasse hat das BSI nicht gewarnt.

Vom BSI nur Sprechblasen und Gemeinplätze

Im Gegenteil: Das BSI hat seit vielen Jahren den Holzweg erforscht und propagiert, man könne in praktisch allen Fällen durch die sogenannte Virtualisierung effektiv sichere von unsicheren Anwendungen auf dem gleichen Computer trennen. Virtualisierung bedeutet grob gesprochen, dass mehrere Betriebssysteme gleichzeitig auf demselben Computer laufen, denen durch Software- und Hardwaretricks vorgegaukelt wird, sie wären die einzigen auf diesem Prozessor.

Nun ist es aber genau diese Virtualisierung, die von „Meltdown“ und „Spectre“ am meisten betroffen wird: Unsichere Programme in einem Teil des Computers können damit den Speicher von als sicher angesehenen Anwendungen in einem ganz anderen Teil des Rechners auslesen. Deswegen sind gerade auch alle Cloud-Anbieter hektisch mit dem Update von Hunderttausenden Systemen beschäftigt.

Countdown – der politische Newsletter der F.A.Z.
Sprinter – der politische und wirtschaftliche Newsletter der FAZ.

Werktags um 6.30 Uhr ordnen unsere Autoren die wichtigsten Themen des Tages ein. Relevant, aktuell und unterhaltsam.

Jetzt abonnieren

Die PR-Tricks des BSI im jüngsten Fall sind nur die Fortsetzung einer langen Reihe von inadäquaten Reaktionen auf eine in ihren Grundfesten erschütterte IT-Welt. Statt brauchbarer und zuverlässiger Informationen, die verunsicherten Anwendern und Unternehmen praktische Hilfestellung geben und die drängendsten Fragen zur Sicherheitslücke der Woche verständlich beantworten, gibt es vom BSI als Erstreaktion wieder nur Sprechblasen und Gemeinplätze. Die Behörde schafft es nicht einmal, auch nur einen Link zu den informativen Websites der Forscher zu setzen oder wenigstens die englischsprachigen Hinweise dort auf Deutsch zusammenzufassen.

Im Grunde gehen die beiden nun bekannten Angriffswege auf einen langjährigen Trend zurück, den auch das BSI nicht als Irrweg erkannt hat, selbst wenn es jetzt so tut, als hätte es davor gewarnt: Die Chip-Hersteller haben die Geschwindigkeit und Leistungsfähigkeit über die Sicherheit gestellt. Es musste wohl erst zu solch gravierenden Sicherheitslücken kommen, um nun ein Umdenken einzuleiten. Da alle betroffenen Anbieter unisono betonen, ein konkretes Ausnutzen der Sicherheitslücken sei derzeit nirgendwo bekannt, sind wir bisher an einer großen Katastrophe vorbeigeschrammt. Dass das nicht so bleiben wird, ist allerdings absehbar, da die Menge an nicht mit den nötigen Updates versorgten oder gar nicht versorgbaren Systemen eher steigt als sinkt. Zudem werden sich alle gedulden müssen, bis neue Prozessoren ohne die Sicherheitslücken in neu verkauften Geräten verbaut sind.

Wie bei allen Sicherheitslücken richten sich die Augen natürlich auch auf die NSA, den technischen Geheimdienst mit den sagenhaften Staatshackern. Doch anders als das BSI, das uns schon immer gewarnt haben will, betont die NSA ihre Ahnungslosigkeit mit dem lustigsten Argument bisher: Sowas würde man doch nie tun, da man damit ja dem befreundeten Unternehmen Intel geschadet hätte. Honi soit qui mal y pense.

Quelle: F.A.Z.
  Zur Startseite
Ähnliche ThemenBSIIntelAMDDellAppleApple WatchiPhoneMeltdown und Spectre