Intel befindet sich im Zentrum eines riesigen Skandals wegen einer Sicherheitslücke, welche fest verankert ist im Prozessordesign des Chipherstellers. Seit 10 Jahren ist diese sehr schwerwiegende Lücke vorhanden und Intels Umgang mit diesem Problem zeugt von höchster Arroganz und Verantwortungslosigkeit.
Aber die anderen…
Selbstverständlich war es falsch von The Register, diese Sicherheitslücke jetzt schon publik zu machen bevor eine zufriedenstellende Lösung gefunden werden konnte. Microsoft musste heute einen Notfall-Patch ausrollen, welcher wegen eines Bugs nicht einmal auf allen PCs installiert werden kann. Es war auch falsch von AMD, zu versuchen, davon zu profitieren, solange es ging. Intel hat dennoch mit dem eigenen Statement den Vogel abgeschossen.
In diesem Statement versucht man sich nicht nur von der eigenen Verantwortung zu drücken, sondern versucht bewusst, die betroffenen Konkurrenten ebenfalls in die Misere zu ziehen. Warum? Weil der Aktienkurs von AMD bis zum Statement von Intel in die Höhe ging. Das hatte mit Intels Statement ein Ende.
Intels Statement liest sich folgendermaßen:
„Intel und andere Technologieunternehmen wurden aufmerksam gemacht auf das Ergebnis von Sicherheitsforschern, das Analyse-Methoden für Software beschreibt, welche, wenn für böswillige Zwecke verwendet, das Potenzial haben unrechtmäßig wichtige Daten von Computergeräten, welche ordnungsgemäß funktionieren, zu sammeln.“
„Berichte, welche darauf deuten, dass diese Lücken, welche einen ‚Bug‘ oder einen ‚Fehler‘ verursacht wurden, einzigartig sind für Intel, sind nicht korrekt.“
Auf Deutsch heißt das:
„Wenn Malware eure Daten stiehlt, funktioniert unser Intel-Chip ordnungsgemäß. Übrigens fiel deshalb auch der Kurs der Intel-Aktien. Bitte lasst AMD-Aktien ebenfalls fallen. Danke.“
Das Problem ist: Die schwerwiegendste Sicherheitslücke betrifft lediglich Intel-Prozessoren. Sie ist für Angreifer deutlich leichter auszunutzen und betrifft deutlich mehr Computer. Meltdown betrifft nur Intel-Prozessoren, während Spectre Intel, AMD und ARM betrifft, jedoch auch schwerer auszunutzen und auch zu Patchen ist.
Und jener Konzern, der in beide Lücken verwickelt ist, erlaubt sich, die Begriffe „Bug“ und „Fehler“ in Anführungszeichen zu setzen. Wie sollte man derartige Dinge bei Intel-Prozessoren denn sonst bezeichnen? Features?
Intel sagt Unwahrheit in Bezug auf die Schwere der Sicherheitslücke
Intel hat allerdings nicht nur die Konkurrenz angeschwärzt, um dieser durch ein sehr schwammig formuliertes Statement zu schaden, sondern hat auch in Bezug auf die Schwere des Problems, das Intel exklusiv betrifft, nicht die Wahrheit gesagt.
Im Statement formuliert Intel das folgendermaßen:
„Intel glaubt, dass diese Lücken nicht das Potenzial haben, Daten zu korrumpieren, zu bearbeiten oder zu löschen.“
Intel glaubt das vermutlich wirklich, aber es ging nie um das Korrumpieren, Bearbeiten oder Löschen von Daten. Hierbei geht es um das Stehlen von Daten und das ist dank der Intel Meltdown-Lücke sehr wohl möglich. In diesem Absatz, der überall zitiert wurde, geht es lediglich darum, Fehlinformationen zu verbreiten und Kunden, die es betrifft, zu verwirren.
Intel sagt Unwahrheit in Bezug auf Performance-Auswirkungen
Experten hatten noch gestern Abend die Performance-Auswirkungen auf 5 bis 30 Prozent geschätzt, je nach Alter des Prozessors und der genutzten Anwendung. Laut Intel wird es den durchschnittlichen Computer-Nutzer nicht betreffen, aber hier ist Intels Statement diesbezüglich:
„Entgegen einiger Berichte sind sämtliche Performance-Auswirkungen abhängig von der Anwendung und für den durchschnittlichen Computer-Nutzer sollten sie nicht signifikant sein und im Laufe der Zeit gemildert werden.“
Das heißt auf Deutsch, dass der durchschnittliche Computer-Nutzer davon gar nicht Wind bekommen sollte. Das könnte sogar stimmen, muss es allerdings nicht. Hierzu gilt es auf jeden Fall die Benchmarks abzuwarten vor und nach dem Patch.
Das ist jedoch bei Weitem nur die halbe Wahrheit und Intel verzichtet hier auf die Erwähnung des wohl wichtigsten Teils. Besonders betroffen von den Performance-Auswirkungen sind nämlich Linux-basierte Server, welche etwa 30 Prozent des Internets betreiben. Dort wird es eine spürbare Reduktion der Leistung geben von bis zu 30 Prozent. Nicht zu vergessen sind die möglichen Angriffe auf Datenzentren, von wo aus hätten Daten gestohlen werden können.
Intel-Chef verkaufte alle möglichen Intel-Aktien im November
Und zum Schluss gibt es das wohl eindrucksvollste Beispiel für die Arroganz des Intel-Konzerns. Im November dieses Jahres verkaufte der Intel-Chef sämtliche verkäuflichen Intel-Aktien in seinem Besitz im Wert von 24 Millionen Dollar. Interessant hierbei ist, dass Brian Krzanich diesen Verkauf schon im Oktober 2017 anordnete. Er wusste allerdings auch bereits seit Juni 2017 von der Sicherheitslücke.
Schlusswort
Sämtliche Statements von Intel zur Meltdown-Lücke waren vollkommen verantwortungslos und zeugen deutlich vom Versuch, Kunden, Medien und vielleicht sogar Behörden zu verwirren oder falsch zu informieren. Während manche Statements auch der Wahrheit entsprechen, so hat man stets gleichzeitig versucht, dadurch eine größere Schuld des Konzerns zu verschleiern.
via thurrott / the register
@Albert: willkommen im 2018 😉
@Albert
Das lese ich aus dem Kommentar von Intel:
Sicherheitsforscher haben uns und andere darauf hingewiesen, das Trojaner – bei anscheinend korrekt funktionierendem PC – trotzdem Daten klauen können!
Intel ist auch nicht alleinig betroffenes Unternehmen dieses Bugs.
Übrigens: Fast jede Intel CPU seit 1995 !!ist von Meltdown betroffen, nicht „erst“ 10 jahre alte. ( Seit der Einführung der Out Of Order Execution beim Pentium Pro )
Quelle: [https://meltdownattack.com | Universität Graz ]
„every Intel processor which implements out-of-order execution is potentially affected, which is effectively every processor since 1995“
Spekulation meinerseits: Das ist ein Fehler, welcher irgendwann in dieser oder ähnlicher Form kommen mußte..
Bei der Entwicklung (Software wie Hardware) wird viel Augenmerk auf Features gelegt. Möglichst schnelle Innovationen sind auch wichtig ( nicht zuletzt aufgrund der normalen Konkurrenzsituation am Markt).
Für Sicherheit ist der Kunde traditionell nicht bereit viel Geld zu investieren!
Das verhält sich ähnlich wie beim ganz anderen Thema „BIO“. „BIO ja gerne, aber bitte billig! Oder Massentierhaltung: will kaum jemand! Am Markt setzt sich meistens aber trotzdem das günstige durch.
Das Problem ist, das das Thema Sicherheit (durch die umfassende Vernetzung der Geräte) immer wichtiger wurde! (und wird!)
Bei der Entwicklung von Soft und Hardware ist Sicherheit in den vergangenen Jahrzehnten eher ein Rand Thema gewesen.
Der Punkt ist aber, das die Kunden für mehr Sicherheit auch bereit sein müssen mehr zu zahlen. Bisher ist Sicherheit weiterhin ein vernachlässigtes Thema.
So könnte sich auch erklären, das der Fehler – obwohl schon lange im Umlauf – erst jetzt auffällt. Es war einfach nicht genügend Geld für die Fehlersuche im Markt um die Chance den Bug schneller zu finden signifikant zu erhöhen!
Bad news are good news…..
„Und jener Konzern, der in beide Lücken verwickelt ist, erlaubt sich, die Begriffe „Bug“ und „Fehler“ in Anführungszeichen zu setzen. Wie sollte man derartige Dinge bei Intel-Prozessoren denn sonst bezeichnen? Features?“
Ja, als Feature. Es war kein Bug, es war ein Feature. Da man aber mit solchen Meldungen den „Skandal“ erst zum Skandal macht, muss man das nicht groß erwähnen. Immer schön schnell verurteilen, der Angeklagte ist quasi schon vor der Verhandlung vom Mob gelyncht.
Wie viele Leistungseinbußen es geben wird?……..Egal. Man misst irgendwann mal. 30, 35%, das hetzt die Leute schon mal richtig schön auf. Wenn es hinterher doch keiner spürt…..egal, die 30% sind gut für die Stammtische.
Ein Skandal! Mein Pc ist angreifbar. Nur wusste das noch keiner, außer „Forscher“.
Vielleicht erst mal bissel den Ball flach halten, sich in Seriosität üben?
Was soll Intel auch anderes verlautbaren lassen? Ja, wir erschießen uns jetzt alle, Entschuldigung?
Nach der Lücke, ist vor der Lücke…..ach nee, das ging anders.
wtf? Ist das dein Ernst?
Muss man deinen Kommentar verstehen? Ich hoffe, dass du das ironisch meinst… Warum soll eine Sicherheitslücke ein Feature sein? Warum sollen die 30% Performanceverlust die Leute aufhetzten?
Lieber Albert, denk dir bei solchen Kommentaren nichts. Troll oder Fanboy, beides unbedeutend.
Ruhig…
Das Thema wird etwas heiß gekocht momentan – da gebe ich dir recht – aber trotzdem ist ein Artikel als Kommentar dazu nicht „unseriös“.
Und der Sarkasmus es doch „Feature“ zu nennen ist hier nicht angebracht.
Ich meine zwar auch, das Intel sich verhalten hat, wie es zu erwarten war von einem Amerikanischen Konzern dieser Größe. Trotzdem sollte man sachlich und ohne Sarkasmus und zu viel Ironie kommentieren, das kann schnell falsch verstanden werden.
Das ist das Problem, wenn es kaum noch Konkurrenz gibt (Oligo-/Monopolismus)…
Schade, dass es keine Surface Geräte mit AMD Prozessor gibt. Wenn die Snapdragon Notebooks erscheinen, werde ich mir wohl ein solches zulegen. Was mich auch ärgert: Laut der Microsoft App kann mein Notebook kein Windows MR, weil Intel keine neuen Grafiktreiber bereitstellt. Super.
Wo es keine Prozessoren gab, konnte man auch keine einbauen…
Gibt es inzwischen. Haben die selbe CPU-Leistung und bis zu dreifache(!) GPU-Leistung als die aktuelle achte 15W-Generation von Intel. Interessiert aber niemand, wird weiterhin Intel verbaut. Gibt sogar kaum Tests dazu…
Ist schon irgendwie traurig.
Viel rauch um nichts. Jetzt kann wieder jeder „Experte“ seinen Senf dazu geben. Alles ist und war schon immer Knackbar. Die Frage ist nur ob sich der Aufwand lohnt.
Die größte Sicherheitslücke sitzt vor (vorsetzlich) dem PC! Das ist skandalös ?
Sind die „böswilligen“ nicht die US Dienste welche von den Herstellern diese Lücken verlangen?
Das ist die Frage. HAT Intel es „übersehen“ oder MUSSTE Intel es übersehen. Wird vermutlich nie geklärt werden..
Dann sollte sich Intel jetzt mal ganz schön zurück halten, wenn Microsoft W10 auf ARM bringen will …
Mein 24/7 Server ist zum Glück nicht mal annähernd Intel. Deren Reaktion ist allerdings wirklich nicht schön..
Guter Artikel! Intel ist grad wie ein angeschlagener Boxer der wild um sich schlagend durch den Ring taumelt, in der Hoffnung noch den einen Lucky Punch zu erzielen, der das Blatt für sie wenden kann.
Diese Sache sollte man wie mit VW in den USA gleichsetzen. Leute der Führungsetage, die mit diesem Fehler in Verbindung stehen und es bewusst vertuscht bzw versucht haben es zu vertuschen, sofort festnehmen. Das ist ein genauso schweres Verbrechen gegen Kunden, wenn nicht sogar schlimmer, wie der Diesel-Skandal um VW und andere betroffene Konzerne. Und dass der Chef vorher schon bewusst Aktien beiseite geschafft hat, macht das Ganze zu einem schlimmeren Vorsatz als er ohnehin schon ist. Und dass Intel dann auch noch nicht einmal das Kreuz hat, ihre Fehler einzugestehen und den Leuten entgegenzukommen, statt einfach wahllos gegen andere zu schießen ist echt das Letzte. Für diese Praktik ist Intel ab sofort auch für mich Geschichte. Das kann einfach nicht sein. Im Grunde hat durch diese Gefahr, der alle Kunden durch Intel fahrlässig ausgesetzt werden, auch jeder das Recht, dagegen gerichtlich vorzugehen – bestenfalls in einer Sammelklage. Da wohl alle Intel-CPUs – unabhängig von Serie und Modell – betroffen sind, sitzen wir wohl alle im selben Boot. Kann man denn überhaupt noch einem Konzern trauen in der heutigen Welt?
Einem Konzern trauen? ???
Schlimmer als der VW Skandal ist er auf jedenfall, da „persönliche“ gestohlen werden können. Wie sieht es denn mit Firmendaten aus? Die sollten zwar besser geschützt sein als ein simpler Heimrechner, dennoch laufen die Dinger eben mit Intel-Prozessoren.
Zudem stellt sich die Frage wie es um die Datensicherheit im Bereich der Cloud bestellt ist … !?? ?
Eine Sammelklage wäre sicher kaum umsetzbar, weil es ja irgendwie „jeden“ betrifft.
Vielleicht wusste MS intern auch schon eher, dass die Intel Chips nichts Wahres mehr sind und daher die W10 ARM Strategie. Wer weiss dat schon …
Der Intel-Chef sollte jedenfalls direkt hinter Gittern wegen Betrugs, verschleierung und vorsetzlicher Täuschung. Da dürfte ihm das Geld aus dem Aktienverkauf (und der gerettete Verlust) wohl nicht viel helfen.
*persönliche Daten sollte es im zweiten Satz heißen ?
@Windowsarea: Zeit für die Editier-Funktion in der neuen App ?
Klar, aber man kann doch zum Editieren immer noch die alte App nutzen ?
Dir ist aber schon bekannt das VW vorsätzlich gehandelt hat?
Und was Vorsatz genau bedeutet?
Als ob es vor dem Skandal auch nur eine Sau interessiert hätte, wieviel CO2 da tatsächlich hinten raus kommt.
Der Unterschied ist, bei dem Fehler in der Prozessorstruktur sind Systeme mit sensiblen Daten angreifbar.
Menschen mit unlauteren Absichten könnten das nutzen, um anderen zu schaden.
Während beim Abgasskandal…
Mir fällt nichts negatives dazu ein, solange die fünfzehn größten Hochseeschiffe pro Monat mehr Schadstoffe ausstoßen als alle 45 Millionen in Deutschland zugelassenen Fahrzeuge pro Jahr.
Es mag Vorsatz und Betrug gewesen sein, aber nicht am Endkunden, sondern bestenfalls an demjenigen, der die Richtwerte aufgestellt hat.
Juhu, Bonk schmeißt eine Runde Whataboutism für alle. Es lebe die Argumentationslogik der glorreichen Sowjetunion!!!!
Mal ehrlich: Wenn man von einem Themenfeld ganz offensichtlich überhaupt keine Ahnung hat bzw. sein Wissen aus Tweets von Onkel Donald bezieht, sollte man ab und zu einfach still sein.
Den VW-Abgasskandal mit dem Ausstoß von CO2 in Verbindung zu bringen, grenzt wirklich an Wahnsinn, denn mit CO2 hat das so viel zu tun wie Josef Stalin ein Demokrat war.
Und nur weil irgendwelche Öltanker auf hoher See Abgase in die Luft blasen, sollen sich die Bürger von Stuttgart (Stadt mit der schlechtesten Luft in ganz Deutschland) einfach mal nicht so anstellen? Merkst Du eigentlich noch was?
Die Abgaswerte haben übrigens gegen gesetzlich festgelegte Normen verstoßen. Und natürlich interessiert es, wenn dagegen verstoßen wird. Vor dem Skandal gingen nämlich alle davon aus, dass deutsche Spitzeningenieure dazu in der Lage seien, diese einzuhalten. Das haben diese auch behauptet und sogar eine Software entwickelt, die dies vorgaukelt. So etwas nennt man übrigens Betrug … und das war der Skandal. – Klingt komisch, ist aber so.
Bei Intel ist das Vorgehen sicherlich auch skandalös, aber der Fall liegt hier doch noch etwas anders. Von daher halte ich eine Analogiebildung zwischen beiden Fällen für nicht zulässig – ohne Intel verteidigen zu wollen.
Mir ist der Abgasskandal auch nicht ganz so „wichtig“ gewesen, denn im Endeffekt hat man ja niemandem damit geschadet. Schwer hatten es nur die betroffenen Besitzer eines Fahrzeugs mit der manipulierten Software.
Dieser Prozessorskandal – und ich nenne ihn bewusst Skandal aufgrund der Gefahr für jeden Kunden – liegt allerdings noch viel schwerer, da hier wirklich die ganze Welt, sowohl Großkunden wie Firmen, Industrien, Dienstleister als auch private Anwender betroffen sind. Und allein das zeigt auch schon die die Schwere dieses „Fehlers“, „Bugs“, „Features“, wie auch immer die es nennen. Denn dieser Fall ist in der heutigen digitalen Welt eine größere Gefahr als ein paar Dieselautos, die mehr Schadstoffe ausspucken, als sie sollten. Als würde dieser Planet dazwischen unterscheiden, ob die Autos die Atmosphäre mehr verdrecken oder weniger. Gibt auf dieser Welt ohnehin noch schlimmere „Dreckschleudern“ als ein PkW/LkW mit Verbrennungsmotor. Ich wette bei einem Panzer gibt’s keine EU-Auflage.
Edit: Und ja bei VW (und Mitgefangenen) ging es weniger um CO2-Ausstoß, mehr um den Feinstaub, der beim Verbrennen von Diesel nunmal vermehrter auftritt.
Beim Diesel-Abgasskandal geht es tatsächlich in keinster Weise um CO2-Ausstoß, sondern um nicht eingehaltene gesetzliche Grenzwerte und die Verschleierung dieser Tatsache mittels Betrugs.
Diese Grenzwerte wurden nicht aus Willkür erlassen, sondern aufgrund wissenschaftlicher Erkenntnisse zum Schutz von Umwelt und Gesundheit. Wer z.B. Stuttgart kennt und über die Situation dort informiert ist, weiß warum (Stadt mit der schlechtesten Luft in ganz Deutschland). Nicht ohne Grund sind Fahrverbote für Dieselfahrzeuge nicht unwahrscheinlich.
Auch die Wirtschaft ist hiervon weltweit betroffen. Allein in Deutschland hat so ziemlich jedes Firmenfahrzeug/Dienstwagen einen Dieselmotor.
Edit: Selbstverständlich unterliegen auch Panzer gewissen Normen. Allerdings: Wie viele Panzer siehst Du denn täglich so auf den Straßen? Da werden jetzt aber wirklich wieder einmal Äpfel mit Birnen verglichen.
Der Vergleich mit den Panzern war ja auch eher sinnbildlich verglichen. Klar fahren nicht so viele Panzer wie Dieselautos rum. Aber du hast recht. Dennoch bekommt man keinen Verbrenner auf dieser Welt zu 100% oder annähernd sauber. Wenn man etwas verbrennt, werden Stoffe umgewandelt und eben irgendwann freigesetzt. Und das lässt sich auch nicht verhindern. Einfaches Beispiel: Dieselstapler. Manche von denen haben (wie ja im Grunde jedes Dieselfahrzeug), um damit in Hallen fahren zu dürfen, einen speziellen Rußpartikelfilter. Aber irgendwann ist der voll und muss um wiederverwendet werden und allgemein seine Arbeit weiterhin verwenden zu können, ausgebrannt/entlüftet werden. Damit setzt er den ganzen „Dreck“, den er zurückgehalten hat, wieder der Atmosphäre zu. Aber dafür ist er eben davor halbwegs „sauber“. An sich ist der Diesel schon eine tolle Erfindung mit einem annehmbaren Wirkungsgrad. Aber er macht eben auch Dreck. Man kann es auf ein gewisses Minimum reduzieren, aber man kann es eben nicht verhindern.
So langsam aber sicher driften wir hier immer mehr vom eigentlichen Thema ab…
Es ist auf jeden Fall besser, wenn der Diesel den Dreck auf der Autobahn rauspustet als in der Stuttgarter Innenstadt.
Es ging auch nie um 100% Emmissionsfreiheit, sondern um die einzuhaltenden Grenzwerte. Diese einzuhalten ist mit Abstrichen möglich.
Wir sind deshalb noch beim Thema, weil versucht wurde den Intel- mit dem Abgasskandal gleichzusetzen. Ein Vergleich, der in einigen Punkten hinkt.
auf jeden Fall. Vor allem in Europa, finde ich. Kunden sollten entschädigt werden, der Konzern gehört bestraft.
ich wäre für eine Rückerstattung des Kaufpreises prozentuell zu den Performance-Einbußen. Das konnte man zum Zeitpunkt des Kaufs nicht wissen, sprich, das sollte auch über die Garantie hinweggehen.
Während VW in den USA ordentlich auf die Nase bekommen hat, dürfte es mit Intel in Europa wohl nicht so sein.
Dieser Bug hat doch, soweit ich das weis, nichts mit Vorsatz zu tun!
VW hat wieder besseres Wissen betrug gegangen!
Gibt es irgend welche Belege dafür das Intel oder andere schon von Anfang an über den Bug bescheid wussten?
Seit dem Aktien Verkauf, ja, seit dem wird vermutlich auch bereits hinter verschlossenen Türen mit allen Beteiligten um eine Notlösung gerungen. Ob der Aktienverkauf ok war ist eher ein Fall für die Börsen Aufsicht stichwort „Insiderinformationen“.
Das verhalten der Manager von Intel mit beschwichtigungen, ablenkungs Taktik und anschwärzen von Konkurrenten ist definitiv nicht ok! Aber genau das erwarten die Aktionäre vom CEO eines börsennotierten globalen Unternehmens. Ich glaube nicht das ein anderer Konzern wesentlich anders gehandelt hätte!
Noch einmal: Wo liegen die Hinweise das der Bug Intel schon lange bekannt war bzw. beiM Entwurf der CPU’s schon bekannt war? Nur das gerechtfertigt einen Vergleich mit dem VW Abgasskandal! VW hat absichtlich betrogen, Intel und andere nicht (soweit jedenfalls der Kenntnisstand bisher!)
Der Vorsatz besteht darin, dass Intel ihre alte Architektur immer weiter aufgebohrt hat. Die Architektur war für damalige Verhältnisse „sicher“, da die Infrastruktur von Netzwerken nicht so stark vorhanden und so leistungsfähig war. Dadurch war der heute bekannte Fehler wahrscheinlich kaum ausnutzbar gewesen (nur mit höherem Zeitaufwand) Intel hat es einfach versäumt im Laufe der Jahre zu überprüfen, ob denn die alte aufgebohrte Grundarchitektur noch die aktuellen Sicherheitsbedürfnisse erfüllt. Und das kann man Intel durchaus vorwerfen. Und man hat das auch bewusst nicht getan, denn man wollte beim Prozessor-Wettrüsten damals mithalten und später den GreenTech-Hype nicht verschlafen.
Das ist nicht das, was man unter Vorsatz versteht!
„Versäumt“ wie du schon geschrieben hast, wurde etwas. Außerdem: Steht denn überhaupt schon fest, das alles es an intel liegt?
Der Fehler in ARM Systemen hat vermutlich nichts mit intel zu tun.
Es ist natürlich immer leicht einen „Schuldigen“ zu kennen, aber ich befürchte dieser Fall ist wesentlich komplizierter.
Klingt für mich eher nach fahrlässig bis maximal grob fahrlässig.
Da wird die Börsenaufsichts auch noch einen Blick darauf werfen.
Das riecht massiv nach Insiderhandel….