Meltdown und Spectre 26.03.2019, 15:03 Uhr

Neue Technik findet Sicherheitslücken in Prozessoren

2018 griffen Unbekannte bestimmte Prozessoren an. Forscher der TU Kaiserslautern und der Universität Stanford entwickelten nun eine Technik, mit der Sicherheitslücken aufgespürt werden können.

Platine eines Prozessors

Prozessoren kommen in zahlreichen alltäglichen Dingen zum Einsatz – vom Smartphone bis zur Spielekonsole.

Foto: crstrbrt / Panthermedia.net

Anfang 2018 entdeckten Forscher relevante Sicherheitslücken bei bestimmten Prozessoren. Dies betraf vor allem Chiphersteller von High-End-Prozessoren, die in der Lage sind, anspruchsvolle Videoschnitte oder aufwendige Spiele effizient und möglichst störungsfrei zu verarbeiten. Ein gemeinsames Forscherteam von der Technischen Universität Kaiserslautern (TUK) und der Universität Stanford fand nun bei weiteren Prozessoren solche Sicherheitslücken. Gleichzeitig entwickelten sie ein Verfahren, mit dem sich diese Lücken aufspüren und schon während des Entwicklungsprozesses beheben lassen.

Architektur der Prozessoren birgt Risiken

Hauptsächlich waren – und sind es zum Teil immer noch – High-End-Prozessoren betroffen, die von großen US-amerikanischen Herstellern produziert werden. Sie sind aufwendig gebaut und genau diese komplexe Architektur macht sie anfällig für Angriffe. Was charakterisiert diese Prozessoren? Sie setzen auf eine sogenannte „Out-of-order-execution“. Das bedeutet: Der Prozessor ist so konzipiert, dass er Arbeitsschritte effizient ausführt – gegebenenfalls abweichend von der Reihenfolge, die ihm der Programmierer eigentlich vorgegeben hat. Das sorgt für eine deutliche Leistungssteigerung des Rechners. Denn es ermöglicht ihm, auf hohem Niveau mehrere Programme gleichzeitig auszuführen.

Genau bei dieser parallelen Programmausführung entstehen aber auch Nebeneffekte, die ein Angreifer ausnutzen kann. Bei den im vergangenen Jahr festgestellten Sicherheitslücken „Meltdown“ und „Spectre“ waren es Seitenkanäle oder verdeckte Kanäle, die Forscher als die verantwortlichen Schwachstellen identifizierten. Um in solche Seitenkanäle eindringen zu können, benötigt man weder administrative Rechte, noch einen physischen Zugang zum Rechner. „Es genügt, ein Programm mit Benutzerrechten zur Ausführung zu bringen“, erklärt Wolfgang Kunz, Leiter des Forschungsteams und Lehrstuhlinhaber für den Entwurf Informationstechnischer Systeme an der TUK. „Man nutzt Nebeneffekte wie beispielsweise Zugriffskonflikte im Speicher, die Auswirkungen auf das zeitliche Verhalten des Programmablaufs haben. Damit kann man Rückschlüsse auf den vertraulichen Inhalt des Speichers ziehen.“ Vergleichbar ist dies mit der Eckkneipe: Ein Gast kommt jeden Freitag um 21 Uhr und bestellt ein Bier. Nach wenigen Wochen zapft der Wirt das Bier schon einmal an und es steht fertig vor dem Stammgast, kaum, dass er Platz genommen hat. Prozessoren nutzen Vorhersagen, um schneller arbeiten zu können. Angreifer kommen auf diese Art und Weise an Passwörter oder verschlüsselte Daten.

Simulierter Angriff zeigt, wie Hacker an Daten gelangen

Mikrochips gehören zu unserem täglichen Leben. Sie erleichtern es, sorgen für Unterhaltung, schaffen Sicherheit und vernetzen uns. Sie kommen häufig in eingebetteten Systemen zum Einsatz, wo sie Überwachungs-, Steuerungs- oder Regelfunktionen übernehmen, Daten oder Signale verarbeiten. Sie steuern technische Systeme in der Unterhaltungselektronik, Medizintechnik, Telekommunikation, Gebäude- und Produktionsautomatisierung. Zahlreiche dieser Bereiche unterliegen besonderen Sicherheitsstandards, wie beispielsweise autonomes Fahren oder das Internet der Dinge, bei dem verschiedene Geräte miteinander vernetzt sind und Daten austauschen.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
WIRTGEN GmbH-Firmenlogo
System- und Softwarearchitekt (m/w/d) - mobile Arbeitsmaschinen WIRTGEN GmbH
Windhagen (Raum Köln/Bonn) Zum Job 
WIRTGEN GmbH-Firmenlogo
Embedded Anwendungs-Softwareentwickler (m/w/d) - mobile Arbeitsmaschinen WIRTGEN GmbH
Windhagen (Raum Köln/Bonn) Zum Job 
B. Braun Melsungen AG-Firmenlogo
Global Lead (w/m/d) Operational Technology (OT) B. Braun Melsungen AG
Melsungen Zum Job 
WIRTGEN GmbH-Firmenlogo
Duales Studium Software Engineering - Bachelor of Engineering (m/w/d) WIRTGEN GmbH
Windhagen, Remagen Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur Vermessung (m/w/d) Die Autobahn GmbH des Bundes
Montabaur Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Lösungsentwickler (w/m/d) im Digitallabor Geoinformatik Die Autobahn GmbH des Bundes
Berlin Zum Job 
VIAVI-Firmenlogo
Senior / Software Engineer (C++, Python & Cloud) (m/w/d) VIAVI
Eningen Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Teamleitung (w/m/d) BIM-Management Die Autobahn GmbH des Bundes
Berlin Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
Stadt Worms-Firmenlogo
Projektleiter (m/w/d) CAFM Stadt Worms
Worms Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur (w/m/d) C-ITS Entwicklung Die Autobahn GmbH des Bundes
Frankfurt am Main Zum Job 
Recogizer-Firmenlogo
Projektingenieur (m/w/d) KI-gestützte CO2-Reduktion Recogizer
Bonn Zum Job 
Recogizer-Firmenlogo
Projektingenieur (m/w/d) KI-gestützte CO2-Reduktion Recogizer
Bonn Zum Job 
HAWK Hochschule Hildesheim/Holzminden/Göttingen-Firmenlogo
Laboringenieur*in für das Digitallabor HAWK Hochschule Hildesheim/Holzminden/Göttingen
Holzminden Zum Job 
Tagueri AG-Firmenlogo
Consultant OTA - Connected Cars (m/w/d)* Tagueri AG
Stuttgart Zum Job 
CS CLEAN SOLUTIONS GmbH-Firmenlogo
Mitarbeiter für die Steuerungstechnik Software (m/w/d) CS CLEAN SOLUTIONS GmbH
Ismaning bei München Zum Job 
Hochschule für Technik und Wirtschaft Berlin-Firmenlogo
Professur (W2) | auf Lebenszeit Fachgebiet Rechnerarchitekturen und Rechnersysteme Hochschule für Technik und Wirtschaft Berlin
Berlin Zum Job 
Regierungspräsidium Freiburg-Firmenlogo
Manager für Building Information Modeling (BIM) (w/m/d) Bauingenieurwesen, Bauinformatik, Vermessungswesen, Geodäsie, Geoinformatik, Geomatik Regierungspräsidium Freiburg
Freiburg Zum Job 
HAWK Hochschule für angewandte Wissenschaft und Kunst-Firmenlogo
Transfermanager*in HAWK Hochschule für angewandte Wissenschaft und Kunst
Hildesheim Zum Job 
Hochschule für Technik und Wirtschaft Berlin-Firmenlogo
Professor (W2) | Permanent Computer Architecture and Computer Systems Hochschule für Technik und Wirtschaft Berlin
Berlin Zum Job 

Die Forscher des Teams der TUK und der Stanford Universität fanden heraus, dass es bei anderen Prozessoren mit einfacherer Hardware-Architektur ähnliche Lücken gibt. Sie simulierten einen Angriff, bei dem sie auch hier Seitenkanäle aufzeigten. Dieser von ihnen entwickelte „Orc-Angriff“ leitet sich vom englischen Technikbegriff „orchestration“ ab, zu deutsch Orchestrierung. Da einfache Prozessoren in vielen Anwendungen zum Einsatz kommen – vom Smartphone über das Notebook bis zur Spielekonsole –, haben Hacker große Chancen, an vertrauliche Daten zu gelangen.

Rechenverfahren deckt Sicherheitslücken auf

Dem Forscherteam gelang es, mit einem neuen Rechenverfahren, Sicherheitslücken zu enthüllen. Sie nannten es „Unique Program Execution Checking“, kurz UPEC. Anhand eines freizugänglichen „open-source“ Prozessors zeigten die Forscher, dass solche kritischen Stellen leicht möglich sind. „Open-source“ bedeutet, dass der Quelltext öffentlich und von Dritten eingesehen, geändert und genutzt werden kann – Daten der Prozessoren sind normalerweise Betriebsgeheimnisse. Die Hersteller müssten diese Methode also selbst im Entwicklungsprozess einsetzen, um zu testen, ob es Angriffspunkte gibt oder eine Sicherheitslücke dieser Art vorhanden ist. Mit diesem frühzeitigen Wissen könnte die Lücke noch während der Entwicklung geschlossen werden.

 

Lesen Sie weitere Beiträge zur IT-Sicherheit:

Ein Beitrag von:

  • Nina Draese

    Nina Draese hat unter anderem für die dpa gearbeitet, die Presseabteilung von BMW, für die Autozeitung und den MAV-Verlag. Sie ist selbstständige Journalistin und gehört zum Team von Content Qualitäten. Ihre Themen: Automobil, Energie, Klima, KI, Technik, Umwelt.

Themen im Artikel

Empfehlung der Redaktion

Projektmanagement
Projektmanagement

Die 11 besten Projektmanagement-Tools
Stromkabel an B des Bitcoin
Kryptowährung

Bitcoin: Wie umweltschädlich ist die Kryptowährung wirklich?
Messenger-Dienst

WhatsApp-Tricks, die Sie noch nicht kannten
Bildbearbeitung

Photoshop und Lightroom: Diese Alternativen sollten Sie sich anschauen
Luftbildaufnahme von Tokio
Ranking

Die 10 größten Städte der Welt
Messe

Hannover Messe Special

Ähnliche Artikel

Symbolbild IT-Sicherheit
Fraunhofer-Entwicklung

IT-Sicherheit: Diese Entwicklung verhindert Manipulationen
Blick auf ein Smartphone mit der SBB-App
Computersicherheit

Standortdaten auf Smartphones sind keine sicheren Daten
Hand auf Computertastatur mit Monitor im Hintergrund
Browser-Schnittstelle ist das Problem

IT-Sicherheitslücke gefunden: Forschende simulieren Angriffe
Symbolbild Cybersicherheit
Cybersecurity

Siemens sorgt für mehr Sicherheit bei der Industrie 4.0

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.

Jetzt anmelden

Auch auf dieser Seite werden Cookies verwendet. Wir können damit die Seitennutzung auswerten, um nutzungsbasiert redaktionelle Inhalte und Werbung anzuzeigen. Das ist für uns wichtig, denn unser Angebot finanziert sich über Werbung. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung. Weitere Infos