Dresden. Zwei schwere Sicherheitslücken in fast allen neueren Rechnern versetzen derzeit weltweit Computerbesitzer in Aufruhr: Hacker können Angriffspunkte mit den bedrohlich klingenden Codenamen „Meltdown“ (Kernschmelze) und „Spectre“ (Schreckgespenst) nutzen, um Passworte und andere sensible Daten auszulesen. Zu den Entdeckern dieser gravierenden Schwachstellen gehören Thomas Prescher und Werner Haas von der Dresdner Sicherheits-Softwareschmiede „Cyberus Technology“.

„Das fing eher beiläufig an und hat mit unserem Hintergrund zu tun“, erzählt Haas. Im Sommer 2017 habe ihm sein Kollege Thomas Prescher den Blog-Eintrag eines Hackers gezeigt, der vergeblich versucht hatte, die Spekulationsfähigkeiten von Intel-Prozessoren zu überlisten. Aber weil viel zu tun war, dauerte es bis zum November, bis sich beide wieder mit dieser Randnotiz beschäftigten. Prescher schrieb neue Codes – und bekam plötzlich Zugriff auf Daten, die der Prozessor ihm niemals hätte zeigen dürfen. „Ich habe dann ein eigenes Programm geschrieben, um sicher zu sein und kam zu den gleichen Ergebnissen.“

Weil Haas die Kollegen noch von seiner Zeit bei Intel Braunschweig kannte, meldete der Cyberus-Ingenieur den Fund direkt an die kalifornische Chipschmiede. Die Reaktion und die Bitte um nähere Informationen kamen so rasch, dass man sich bei Cyberus bald klar war: Das war eine große Nummer, an der andere auch schon hinter verschlossenen Türen saßen. Die „Meltdown“-Lücke, die Prescher und Haas entdeckt hatten, war unabhängig von den Dresdnern auch Experten von Google und der Uni Graz aufgefallen. Intel bat die sächsischen Ingenieure, die Nachricht nicht vor dem 9. Januar 2018 in die Welt hinaus zu posaunen, um eine Chance zu bekommen, gemeinsam mit Linux- und Windows-Programmierern eine wenigstens provisorische Lösung zu suchen. „Daran haben wir uns auch gehalten“, betont Haas. Aber gegen Jahresende kochte die Gerüchteküche im Internet bereits über, auch angeheizt durch ein auffälliges Linux-Update, das plötzlich verteilt wurde. „Da entschloss sich Intel, seine Investoren schon früher zu informieren.“ Seitdem beschäftigen „Meltdown“ und „Spectre“ Programmierer, Sicherheitsbehörden und Administratoren rund um den Globus.

Dass ausgerechnet ein junges und kleines Unternehmen wie Cyberus zu den ersten gehörte, die „Meltdown“ auf die Schliche kamen, hängt mit der beruflichen und akademischen Vergangenheit der sechs Gründer zusammen: Einige arbeiteten in der – inzwischen geschlossenen – Dependance von Intel in Braunschweig, später dann in der Dresdner Niederlassung der Sicherheits-Softwarefirma Fireeye. Und fast alle sind sie Ingenieure, die an der TU Dresden, der RWTH Aachen, der Uni Erlangen und anderen namhaften Universitäten studierten. Zusammen brachten sie besonderes Know-How in der Software-Sicherheit und Prozessorarchitektur mit.

Schon bei Fireeye hatte sich das Team auf den Schutz virtueller Systeme spezialisiert, wie sie in vielen Unternehmen eingesetzt werden: Hochleistungscomputer, auf denen unabhängig voneinander mehrere virtuelle Rechner laufen. Für jeden Nutzer, der an einem Bildschirm sitzt, sieht es so aus, als ob er ganz allein an einem Windows-PC, einem Apple-Mac oder Linux-Rechner arbeiten würde. Tatsächlich aber sorgt für dieses „Trugbild“ eine sogenannte „Virtuelle Maschine“ (VM). Dies ist eine Softwareschicht, die mehrere Computer auf einem Rechner abbildet und voneinander abkapselt.

Solche virtuellen Rechner werden wie normale PCs durch Virenwächter und Firewalls gegen Angreifer von außen abgeschirmt. Um aber eine zusätzliche Verteidigungslinie aufzubauen, falls Hacker die Brandmauer überwinden, hatte Udo Steinberg von der TU Dresden einen frei nutzbaren und besonders spezialisierten Hypervisor namens „Nova“ programmiert. Dieser virtuelle Aufseher kann Angriffe abfangen, isolieren beziehungsweise nachträglich dokumentieren.

Im Sommer 2016 machte Fireeye die erst 2014 gegründete Niederlassung in Dresden wieder dicht. „Wir waren aber von unserem Konzept überzeugt und wollten mit dem Hypervisor weitermachen“, erzählt Haas. Und so gründete das Sextett im Februar 2017„Cyberus Technology“ mit Hauptsitz in Dresden.

Inzwischen hat Cyberus den Nova-Hypervisor zu einer Supernova-Plattform weiterentwickelt. Das erste abgeleitete Produkt namens „Tycho“ soll demnächst auf den Markt kommen: Diese analytische Software lauert für Angreifer völlig unsichtbar im Hintergrund und passt auf, was auf einem virtuellen PC passiert. Dieser digitale Analytiker soll menschlichen Abwehrteams gegen Cyberkriminalität helfen, unter den rund 400.000 neuen Schadprogrammen, die tagtäglich weltweit auftauchen, die heimtückischsten herauszupicken. Und auch der Name dieses Analyseprogramms aus Dresden hat seine besondere Bedeutung: „Wir haben mit dem Nova-Hypervisor der TU Dresden angefangen und daraus eine Supernova gemacht“, sagt Haas. „Und wer ist für die Dokumentation einer Supernova berühmt geworden? Tycho Brahe.“

Mehr Infos im Netz: cyberus-technology.de

Von Heiko Weckbrodt

DNN