IT SicherheitEine Lücke, die uns alle betrifft

Gefühlt schlägt das Smartphone ständig ein Update vor. Die meisten tippen einfach auf "später installieren" und hoffen darauf, dass das Update nachts installiert wird, wenn man selbst schläft.

Wir machen uns eher selten Gedanken darüber, dass solche Updates Sicherheitslücken - meistens in der Software - schließen und uns so vor Datendiebstahl schützen können. So lange alles läuft, gibt es ja auch kein Problem, denkt sich der unbedarfte Nutzer gerne. 

Bug in der Hardware, statt in der Software

Von Bugs, Sicherheitslücken und Software-Problemen haben wir alle schon mal gehört, aber wir vertrauen auch darauf, dass uns der Hersteller unsere Smartphones oder Tablets mit den notwendigen Updates versorgt. 

Allerdings gibt es eine Form der Sicherheitslücke, die sich nicht mehr so leicht mit einem Software-Update beheben lässt. Dann nämlich, wenn sich dieses Schlupfloch in der Hardware befindet, zum Beispiel im Prozessor. 

Daniel Gruß erforscht als IT-Sicherheitsexperte Software und Hardware-Lücken an der TU Graz. Probleme, die die Hardware, beispielsweise die Prozessoren von Geräten betreffen, stellen aus seiner Sicht eine neue Dimension in der Gefährdung unserer Daten dar. 

So auch die Sicherheitslücken Meltdown und Spectre, über die seit einigen Monaten viel in den Medien berichtet wird. Diese Security-Bugs betreffen die Hardware und damit eigentlich alle Endgeräte, die es gibt. Damit sind auch Apple- und Linux-Nutzer nicht mehr sicher, die zuvor weniger Cyberattacken zu befürchten hatten. 

Moritz Lipp gehört zum Team der IT-Sicherheitsexperten der TU Graz. Er charakterisierte Meltdown und Spectre in einem Interview in der Süddeutschen im übertragenen Sinne als Dieb und Hypnotiseur: 

In den Prozessoren laufen verschiedene Abläufe parallel ab. Sie greifen beispielsweise auf unsere sensiblen Daten, wie auf Passwörter oder den PIN-Code unseres Bankkontos, zu und fragen im Abstand von wenigen Nanosekunden nach, ob das System diesen Zugriff überhaupt erlaubt. 

Wenn dann die Information kommt, dass die Prozessoren nicht auf diese Daten zugreifen sollen, ist das bereits passiert. Diese Parallelität der Abläufe nutzen Angreifer aus, um unsere Daten mit Sicherheitslücken wie Meltdown und Spectre auszuspionieren.

Die Sicherheitslücken in der Hardware liegen eine Ebene tiefer als die Bugs in der Software. Sie lassen sich nicht so leicht mit einem Software-Update beheben. Das Programm muss dann um die Sicherheitslücken "herum arbeiten", erklärt Daniel Gruß von der TU Graz. 

Dadurch, dass das Sicherheitsproblem sich auf der Hardware-Ebene befindet, nimmt es eine ganz neue Dimension an. Denn es betrifft jedes Gerät, egal, welche Software darauf installiert ist. Und in Zeiten, in denen das Internet der Dinge - beispielsweise in Smarthomes - eine immer wichtigere Rolle spielt, wird die Bedrohung durch Cyber-Attacken umso konkreter.  

 IT-Sicherheitsexperten wie Daniel Gruß warnen: Künftig müssen wir damit rechnen, dass Cyberangriffe die Energieversorgung ganzer Regionen lahmlegen können:

Sollte es einem Angreifer gelingen, eine niedrige Millionenanzahl von Geräten beispielsweise in Smarthomes zu kontrollieren, dann wäre es wahrscheinlich möglich, die Energieversorgung auszuschalten. 

Das gelingt dem Angreifer dadurch, dass er diese Geräte alle konzertiert auf einen Schlag an- und wieder ausschaltet. Unser Stromnetz würde das nicht aushalten und  zusammenbrechen. Mit solchen Angriffen müssen wir in Zukunft rechnen, sagt Daniel Gruß.