"Meltdown" und "Spectre": Intel-Sicherheitslücke bleibt vorerst offen

Berlin - Wenn US-Chiphersteller Intel an diesem Donnerstag seine Geschäftszahlen fürs vierte Quartal 2017 vorstellt, dürften die Sicherheitslücken bei seinen Mikroprozessoren bestimmendes Thema sein. Weiterhin hat das Unternehmen keine Lösung parat, um die Schwachstellen namens „Meltdown“ und „Spectre“ zu stopfen, über die Hacker an vertrauliche Nutzerdaten von PCs, Smartphones und anderen Geräten gelangen können.

"Gefahr für Verbraucher eher gering"

Die Gefahr durch die Schwachstellen sei für Verbraucher aber „als eher gering einzuschätzen, da es für Angreifer zunächst lohnendere Ziele gebe“, sagte Andreas Follner vom Fraunhofer-Institut für Sichere Informationstechnologie am Mittwoch dem Tagesspiegel. „Insbesondere sind Cloud-Betreiber wohl das erste Ziel potentieller Angreifer.“

Generell sei es wichtig, dass Verbraucher Updates für das Betriebssystem und Browser einspielten. Dadurch würden die meisten der aktuell bekannten Angriffe, die „Spectre“ und „Meltdown“ ermöglichen, bereits verhindert. Zusätzlich sei es empfehlenswert, Javascript auf nicht vertrauenswürdigen Seiten zu deaktivieren, da dies generell ein häufig gebrauchtes Einfallstor für Angreifer darstelle. Sobald eine ausgereifte Version des Updates von Intel zur Verfügung stehe, sollte diese ebenfalls installiert werden.

"Die Entwicklung der Updates ist hochkomplex"

Am Dienstag hatte Intel vor seinen eigenen Sicherheits-Updates gewarnt, da diese zu „unvorhergesehenen Problemen“ bei Computern führen könnten. Follner zeigt jedoch Verständnis für die fehlerhafte Version: „Die Entwicklung eines solchen Updates ist höchst komplex.“ Auch wenn Intel seit über sechs Monaten über die Schwachstellen informiert sei, wäre es nicht möglich, alle möglichen Kombinationen ausreichend in so kurzer Zeit zu testen.“

Doch wie lange muss ein Unternehmen überhaupt Updates zur Verfügung stellen? Das wird derzeit in Brüssel zwischen Kommission, Parlament und Rat diskutiert. Noch 2018 soll eine Richtlinie für die Bereitstellung digitaler Inhalte verabschiedet werden. Derzeit sieht diese nur eine Update-Verpflichtung für einen „angemessenen Zeitraum“ vor. „Das ist aber nicht ausreichend und konkret genug“, kritisiert Julian Gallasch, Experte für Recht und Handel bei der Verbraucherzentrale Bundesverband.

Wie lange müssen Unternehmen Updates zur Verfügung stellen?

Gerade weil immer mehr Geräte wie Kühlschränke oder Babyphones vernetzt seien, müssten Updates für deren Lebensdauer garantiert werden. Sonst könne es passieren, dass beispielsweise ein vernetzter Kühlschrank zwar noch kühle, aber aufgrund mangelnder Updates nicht geschützt sei vor Angriffen durch Botnets.

Das sieht Nabil Alsabah, Referent für IT-Sicherheit beim IT-Branchenverband Bitkom anders: „Es ist unverhältnismäßig, dass ein Unternehmen auch dann noch Updates zur Verfügung stellen muss, wenn nur noch fünf Leute ein Gerät benutzen.“ Ohnehin seien es oft die Nutzer selbst, die zur Verfügung stehende Updates nicht anwenden und damit Sicherheitslücken nicht schließen würden.