11. Januar 2018, von Michael Schöfer
Die PC-Industrie lässt Normal-User im Regen stehen

Nicht genug, dass auf unseren Computern mit Meltdown und Spectre nun wahrhaft katastrophale Lücken, die nahezu alle modernen Prozessoren aufweisen, ausnutzbar sind - es kommt leider noch eine weitere Katastrophe hinzu: der überwiegend ahnungslose User. Selbst Redakteure von heise.de geben offen zu, dass sie das Ganze nur annähernd verstehen. Immerhin hat der Verlag auch welche, die offenbar ziemlich viel darüber wissen. Fortgeschrittene User sind sicherlich dankbar für die mühsame Aufklärungsarbeit und für die nützlichen Tipps, die dort zu lesen sind.

Aber was ist mit dem unbedarften Normal-User, der offen gesagt nur Bahnhof versteht? Er ist schon froh, wenn er von der detaillierten Analyse des Security-Supergaus die Hälfte kapiert. Und allzu oft nicht einmal das. Okay, zumindest eines ist klar: Da existieren gewaltige Lücken und man sollte möglichst rasch das Betriebssystem und die Browser updaten. Das ist vergleichsweise leicht, aber unglücklicherweise vollkommen unzureichend. Es empfiehlt sich nämlich, auch ein Update des Grafiktreibers und des BIOS vorzunehmen. Was ein Grafiktreiber ist, wissen vielleicht die meisten. Doch die wenigsten dürften eine Ahnung davon haben, welches BIOS (Firmware auf der Hauptplatine) in ihrem Rechner verbaut ist. Und das Update des BIOS ist nicht trivial. Zwar kann man die dafür notwendige Software herunterladen und starten, doch ist es irrtümlich die falsche oder geht beim Update etwas schief, hat der Rechner womöglich nur noch Schrottwert. Und der tendiert gegen null.

Auf heise.de sind auch Links zu einzelnen Herstellern zu finden, etwa zur Prozessor-Schmiede Intel. "Intel will im Januar für alle innerhalb der vergangenen fünf Jahre hergestellten Prozessoren Microcode-Updates bereitstellen", heißt es. Schauen sich Normal-User auf der Intel-Website um, verstehen die meisten wohl ebenfalls nur Bahnhof - alles in Englisch und für Menschen ohne vertiefte IT-Kenntnisse wenig erhellend. Bleibt die Frage: Microcode-Updates? Wie kommen die zum Anwender? Und wie macht er das? Noch schlimmer: Ich besitze nur ältere Rechner (der jüngste aus dem Jahr 2014), denn ich sehe keinen Anlass, jedes Jahr einen funktionierenden PC durch ein neues Gerät zu ersetzen. Aber auf den Websites der Hersteller meiner Computer habe ich kein einziges aktuelles BIOS-Update gefunden. Es ist davon auszugehen, dass die dort angebotene ältere Software, in meinem Fall aus den Jahren 2011 bis 2014, keine Überarbeitung mehr erfährt, immerhin sind die Lücken schon seit Juni 2017 bekannt. Vom Smartphone und Tablet, deren Betriebssystem ohnehin selten Updates bekommt, ganz zu schweigen.

Und falls man wider Erwarten doch etwas findet, dann funktioniert es unter Umständen nicht, so hat beispielsweise der neue Grafiktreiber auf meinem PC reproduzierbar einen Blue Screen (schwere Fehlermeldung) hervorgerufen. Zum Glück hat sich das Betriebssystem selbstständig repariert und auf die Vorgängerversion zurückgeschaltet, dadurch bleibt die Lücke aber vorerst offen. Sogar der Neukauf eines Computers ist nutzlos, da es momentan nur welche mit fehlerhaften Prozessoren gibt. Wann es fehlerbereinigte gibt, steht in den Sternen. Außerdem werden ja ständig Lücken entdeckt, neue Prozessoren könnten sich nach ein paar Monaten erneut als Risiko erweisen.

Wie dem auch sei, ich fürchte jedenfalls, ohne manuelles Eingreifen des Users wird hier nicht allzu viel gehen. Wäre natürlich schön, das Betriebssystem würde die dafür notwendigen Analysen (was konkret gebraucht wird) selbständig vornehmen und die Updates automatisch installieren. Aber so wird das wohl kaum laufen. Allerdings müsste es genau so laufen, andernfalls dürften zahlreiche Computer noch sehr, sehr lange eine reale Gefahr darstellen. Die Hersteller lassen die Konsumenten im Regen stehen. Vom Besitzer eines Diesel-Pkw erwartet man ja auch nicht, dass er das Software-Update seines Motors selbst einspielt, sondern ruft ihn dazu samt Fahrzeug in die Werkstatt zurück. Und bei der PC-Industrie? Fehlanzeige!

Die haarsträubenden Lücken unserer Computer werden uns vermutlich noch viel Ärger bereiten. Vor allem dann, wenn Kriminelle sie erst einmal systematisch ausnutzen, das soll ja bislang nicht der Fall sein, wird aber bestimmt noch kommen. Sofern die Computer nicht bald - wie auch immer - abgedichtet werden, dürften daher Passwörter und Zugangsdaten massenhaft in falsche Hände gelangen. Gewiss, eine PC-Abstinenz könnte helfen, doch die ist unrealistisch. Ebenso wie der Rat, die fehlerbehafteten Computer wenigstens konsequent vom Netz zu trennen. Kein Online-Banking, keine Einkäufe im Internet, kein Download von Zeitungen, keine Infos, keine Filme? 1990 hätten wir so leben können, aber die Welt hat sich mittlerweile drastisch gewandelt. Insbesondere für die Unternehmen. Ohne Netz - das wäre der Rückfall in ein längst überwunden geglaubtes Zeitalter. Wie ein Leben bloß mit ARD und ZDF in den siebziger Jahren - mit Sendebeginn um 17 Uhr und Sendeschluss plus Testbild ab 23 Uhr.

Es muss sich bei den Herstellern nicht bloß sicherheitstechnisch etwas ändern, sie müssen für ihre Produkte auch wesentlich länger als bisher Updates bereitstellen. Und die auf für Normal-User narrensichere Art und Weise. Notfalls ist es Aufgabe des Gesetzgebers, das zwingend vorschreiben.

---