Intel, Microsoft, Google, Apple, AMD, Samsung & Co stellen angesichts der aktuellen Sicherheitslücken ihre eigenen Interessen über die ihrer Kunden: Sie dokumentieren nicht genau genug, was zu tun ist.

Die gravierenden Sicherheitslücken Meltdown und Spectre sind der IT-Branche seit Juni 2017 bekannt. In den sechs Monaten seither haben also Intel, AMD, Microsoft, Apple, Qualcomm, Samsung, Google und viele andere Firmen Abermillionen Chips und Geräte verkauft, von denen sie klar wussten, dass sie Sicherheitslücken enthalten. Nun sind die Patches für Meltdown und Spectre besonders kompliziert und man muss einrechnen, dass die Reparatur Zeit braucht. Wenn jetzt mit einfachen Updates für sicheren Betrieb gesorgt worden wäre, könnte man wohl damit leben. Aber so ist es eben nicht gelaufen.

Nutzer stehen im Regen

Die IT-Branche tut derzeit ihr Bestes, um Vertrauen zu zerstören. Man weiß nicht, auf welche Auskünfte man sich noch verlassen kann. Intel und viele Smartphone-Hersteller lassen Besitzer älterer Rechner und Handys bisher im Regen stehen: Es ist nicht klar, welche Geräte überhaupt mit vollständigen Updates versorgt werden. Wie kann es sein, dass sechs Monate nach Bekanntwerden gravierender Sicherheitsmängel keine konkreten Listen mit Produkten und den jeweils geplanten Updates vorliegen?

Die Unternehmen könnten ihre Kunden auch umfassend informieren und zum Beispiel – wie die Macher des Raspberry Pi – genau erklären, weshalb kein Update nötig ist: Der ARM Cortex-A53 ist nicht betroffen. Das dürfte auch Besitzer von Smartphones wie dem Motorola Moto G3 interessieren – denn wer hat schon im Kopf, dass dessen Qualcomm Snapdragon 410 ebenfalls den Cortex-A53 enthält?

Ein Kommentar von Christof Windeck Christof Windeck (ciw) schreibt für c't und heise online über PC- und Server-Hardware. Er kam nach einem Studium der Elektrotechnik und sieben Jahren in einem kleinen Industriebetrieb 1999 zur c't und ist heute leitender Redakteur des Ressorts PC-Hardware. c't-Redakteur Christof Windeck

Selbst bei den Computern, die Updates erhalten sollen, herrscht jedoch Chaos: Nur wenige PC- und Mainboard-Hersteller verteilen bereits BIOS-Updates mit jenen CPU-Microcode-Updates, die zum Schutz von Spectre Variante 2 (BTI) nötig sind. Microsoft wiederum verrät nicht, weshalb man die nötigen Microcode-Updates nicht wie manche Linux-Distributionen per Betriebssystem einspielt, was durchaus möglich wäre.

AMD schreibt einerseits, es seien nur Software-Updates für die eigenen Prozessoren nötig, verteilt aber andererseits über Linux-Distributionen undokumentierte Microcode-Updates für Ryzen und Epyc.

[Update:] Mittlerweile (11.8./US-Zeit) hat AMD neue Informationen veröffentlicht und erklärt den Hintergrund der Microcode-Updates; es sollen später auch welche für ältere AMD-Prozessoren erscheinen. (/Update)

Außerdem muss Microsoft den Windows-Patch für ältere AMD-Systeme zurückziehen, angeblich weil die von AMD zur Verfügung gestellte Dokumentation nicht stimmte. Und Apple erklärt nicht genau, was ist mit älteren Macs aus den Jahren vor 2010 passiert, auf denen macOS High Sierra nicht läuft.

Den Vogel aber schießt Intel ab: Das Unternehmen will erst gar nicht von einem Prozessorfehler sprechen – denn die Prozessoren arbeiteten ja exakt wie spezifiziert. Dabei liegt genau hier das Problem. Intel will zudem zwar Updates für Prozessoren ab 2013 liefern, lässt aber die Frage offen, was das für ältere Chips bedeutet. Reichen dafür Software-Updates? Oder bleiben schlichtweg Lücken offen?

Zudem hat es Intel in sechs Monaten nicht geschafft, die per Microcode-Update nachgerüsteten Funktionen zu dokumentieren – das möchte man nachreichen. Unterdessen fand Intel-CEO Brian Krzanich aber genug Zeit, um ein großes Aktienpaket abzustoßen.

Vertrauensbruch

Google sieht sich als der weiße Ritter, war doch die Security-Abteilung Project Zero an der Aufdeckung der Lücken maßgeblich beteiligt. Glaubwürdig ist, dass Google starkes Interesse an sicheren Produkten hat. Doch Google ist einer der größten Intel-Kunden und ein harter Konkurrent sowohl von Microsoft als auch von Apple. Als unabhängige Instanz kann man Google Project Zero folglich wohl kaum bezeichnen. Und auch Google sagt bisher nicht genau, wie es mit Updates für ältere Android-Versionen aussieht. Hier verweist man schlichtweg an die Smartphone-Hersteller. Dabei weiß Google sehr genau, wie die es mit Android-Updates halten: schlecht.

Im Zweifel liegt die Loyalität der großen IT-Firmen vor allem bei sich selbst. Die Politik deckt dieses Verhalten, siehe Volkswagen. Der Kunde schaut in die Röhre.

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

(ciw)