Sicherheitslücke Weißes Haus: NSA wusste nichts von Chip-Schwachstelle
Washington (dpa) - Der US-Geheimdienst NSA hat die jüngst bekanntgewordene massive Sicherheitslücke in Computerchips nach amerikanischen Regierungsangaben nicht gekannt.
„Die NSA wusste nicht von der Schwachstelle, hat sie nicht ausgenutzt und freilich würde die US-Regierung nie ein großes Unternehmen wie Intel einem Risiko aussetzen, um eine Angriffsfläche offenzuhalten“, sagte der Cybersicherheitskoordinator im Weißen Haus, Rob Joyce, der „Washington Post“. Er führte einst selbst die NSA-Abteilung, die auf das Eindringen in Computersysteme spezialisiert ist.
Durch die diese Woche bekanntgewordene Sicherheitslücke können zumindest theoretisch auf breiter Front Daten abgeschöpft werden. Die Schwachstelle steckt in einem branchenweit angewendeten Verfahren, das die Chips schneller machen sollte. Deswegen sind Prozessoren verschiedenster Hersteller betroffen.
Forscher demonstrierten, dass es möglich ist, sich Zugang zum Beispiel zu Passwörtern, Krypto-Schlüsseln oder Informationen aus Programmen zu verschaffen. Nach Angaben aus der Tech-Branche sind bisher keine Schadprogramme bekanntgeworden, die die Sicherheitslücke ausnutzen.
Für einen Geheimdienst wäre die Angriffsmethode umso wertvoller, da sie in den üblichen Log-Dateien keine Spuren hinterlässt. Die NSA ist für ausufernde Ausspäh-Aktivität rund um die Welt berüchtigt, spätestens seit ihr Ex-Mitarbeiter Edward Snowden im Jahr 2013 geheime Programme offengelegt hatte.
Tech-Firmen sind gerade dabei, die seit Jahren bestehende Lücke in den Computerchips so gut es geht mit Software-Aktualisierungen zu stopfen. Komplett kann man das Problem nach Ansicht von Experten aber nur durch einen Austausch der Prozessoren beheben.
Auch deshalb sieht sich der Chipriese Intel ersten Klagen von US-Verbrauchern ausgesetzt. Die Kunden argumentieren mit Blick auf die entdeckte Schwachstelle, dass ihnen schadhafte Chips verkauft wurden und fordern Wiedergutmachung. Bis Samstag wurden zunächst drei Klagen in den Bundesstaaten Kalifornien, Indiana und Oregon eingereicht. Die Kläger streben den Status von Sammelklagen an, denen sich weitere Verbraucher anschließen können.
Forscher machten bei der Sicherheitslücke zwei Angriffsszenarien aus: Mit „Meltdown“ kann man Daten aus dem Betriebssystem abgreifen, mit „Spectre“ aus anderen Programmen. Die Kläger schießen sich jetzt zum Teil darauf ein, dass „Meltdown“ bisher nur auf Intel-Prozessoren nachgewiesen wurde.
Sie verweisen darauf, dass Intel bereits seit Monaten über die Schwachstelle Bescheid wusste, und argumentieren, dass sie sich keinen Computer mit Intel-Chip gekauft oder weniger dafür bezahlt hätten, wenn diese Informationen öffentlich gewesen wären. Die Forscher und die Unternehmen hatten die Offenlegung bis Januar zurückgehalten, um in dieser Zeit Gegenmaßnahmen zu entwickeln.