FACTS 2020

UNSERE ZIELGRUPPEN

60% haben eine hohe Ausgabe- bereitschaft für technische Geräte (wie Computer und Fernseher)

373.000 sind Entscheider / Mitentscheider bei betrieblichen Investitionen

663.000 Leser geben öfter Ratschläge und gelten als Experten

219.000 Leser bekleiden eine Führungsposition, sind Führungskraft im Betrieb

426.000 Leser gehören zu den Innovatoren / Trendsettern – sie stellen einen hohen Anspruch an Produk-te und sind oft markenaffin

702.000 Leser sind an beruflicher Weiterbildung interessiert

577.000 Leser halten Erfolg im Beruf für wichtig und erstrebenswert

268.000 Leser sind im Karrierealter: 25–39 Jahre

963.000 Leser pro Ausgabe

880.000 sind umfassend oder selektiv printaffine Leser

428.000 sind Workaholics, die voll in ihrem Beruf aufgehen

Quelle: AWA 2019

661.000 sind Multiplikatoren und Ratgeber

382.000 Leser zählen darüber hinaus zu den Early Adoptern

FACTS 2020

UNSERE ZIELGRUPPEN

Quelle: AWA 2019

Jeder Zweite Leser zeigt bei Handy und Smartphones eine hohe Investitionsbereitschaft.

603.000 Leser haben ein HH-Nettoeinkommen von mehr als 3.000 Euro.

358.000 Leser haben Interesse an Aktienfonds.

Was Leser wollen: 195.000 Laptop, Notebook140.000 Tablet PC407.000 Computerzubehör468.000 Smartphones126.000 Video, Hifi, Lautsprecher, Heimkino150.000 Fernseher der neusten Generation80.000 VR-Brille

906.000 Leser entscheiden über den Kauf von Computer/ -zubehör.

79 % haben ein starkes Interesse an gesunder Ernährung und Lebensweise.

651.000 Leser sind an privater Altersvorsorge interessiert.

29 % aller Leser sind Fair Trade orientiert,

59 % wollen langlebige Produke.

Knapp 60 % fokussieren sich bei ihren Ausgaben auf Computer und Fernseher.

FACTS 2020

UNSERE ZIELGRUPPEN

Quelle: AWA 2019

31 % besuchen Messen und Ausstellungen.

330.000 Leser sind Heavy Reader, sie lesen fast alle Seiten und das intensiv.

58 % der Leser sind reisefreudig.

638.000 Leser wollen in technischen Belangen immer auf dem Laufenden bleiben (Index 240!).

748.000 Leser sind bereit, für gute Qualität mehr zu zahlen.

Jeder 4.Leser würde für das Beste vom Besten viel Geld ausgeben.

Aber

361.000 Leser kaufen dort, wo es besonders günstig ist.

Für 33 % hat das Auto einen besonderen Stellenwert,wenn es um die Investitionsbereitschaft geht.

180.000 lesen gezielt, auf der Suche nach wichtigen Informationen.

56% geben für Hobbies gerne Geld aus.

614.000 Leser interessieren sich für Geld/-Kapitalanlagen.

heise online

App: c’t

8 %

online

62 %

mobil

30 %

PRINT

c’t APP

c’t ONLINE www.c t .de

Verkaufte Auflage: 227.393*

PI:4,6 Mio

IVW August / 2019

Inhalt aktuelle News / Content-Datenbank (Artikel aus den Heften)

Services (Tipps & Tricks, Support): Test & Kaufberatung, Praxis & Tipps, Wissen, Trends & News, c’t Uplink

Vorteile

✓ Integration von Bilderstrecken, Videos erhöht die Attraktivität für Leser/Nutzer

✓ Interaktive Anzeigen, Videos, Verlinkungen erhöhen den Nutzen für Anzeigenkunden

c’t UPLINK - Der Podcast aus Nerdistan

✓ Aktuelle Themen, Trends und Hintergründe✓ 50.000+ Aufrufe pro Folge✓ Werbemöglichkeiten mit Audio-/Videospot

858.000 Unique User Quelle: AGOF daily digital facts 2019-08 (Juni-Aug (df ))

c’t 2018, Heft 1116

Neue Lücken und noch mehrPatches – „Spectre Next Gene -ration“ steht direkt vor der Tür.Acht neue Sicherheitslücken inIntel-Prozessoren haben Forscherbereits gefunden, wie Informa -tionen belegen, die c’t exklusivvorliegen.

Von Jürgen Schmidt

Spectre und Meltdown erschüttertendie IT-Welt in ihren Grundfesten: For-

scher wiesen nach, dass das Design allermodernen Prozessoren ein prinzipiellesProblem aufweist, das ihre Sicherheit ge-fährdet [1]. Dann gab es Patches und die

Welt schien wieder in Ordnung. Zwarwarnten einige Experten, dass da nochmehr folgen könnte. Doch es blieb dieHoffnung, dass die Hersteller das Problemmit ein paar Sicherheits-Updates in denGriff bekommen.

Diese Hoffnung können wir begra-ben. Ganze acht neue Sicherheitslückenin Intel-CPUs haben mehrere Forscher-Teams dem Hersteller bereits gemeldet,die aktuell noch geheimgehalten werden.Alle acht sind im Kern auf dasselbe De-sign-Problem zurückzuführen, das derKasten „Meltdown und Spectre für Dum-mies“ näher erläutert – sie sind sozusagenSpectre Next Generation.

c’t liegen exklusive Informationen zuSpectre NG vor, die wir auf mehrerenWegen verifizieren konnten, sodass wir anderen Echtheit keine Zweifel mehr hegen.

Technische Details werden wir jedochnoch nicht veröffentlichen, solange nocheine Chance besteht, dass die Herstellerihre Sicherheits-Updates vor dem Be-kanntwerden der Lücken fertig bekom-men. Wir werden unsere Informationenjedoch nutzen, um kommende Veröffent-lichungen von Patches und Hintergrund-informationen journalistisch zu begleiten.

Acht neue LückenJede der acht Lücken hat eine eigeneNummer im Verzeichnis aller Sicherheits-lücken bekommen (Common Vulnerabi-lity Enumerator, CVE) und jede erforderteigene Patches – wahrscheinlich bekom-men sie auch alle eigene Namen. Bisdahin nennen wir sie gemeinsam dieSpectre-NG-Lücken, um sie von den bis-her bekannten Problemen abzugrenzen.

Wieder verspekuliertSuper-GAU für Intel: Weitere Spectre-Lücken im Anflug

ct.1118.016-018.qxp 03.05.18 14:26 Seite 16

Neue Spectre-Lücken in Intel-Prozessoren | c’t deckt auf

c’t 2018, Heft 11 17

Konkrete Informationen liegen unsbisher nur zu Intels Prozessoren undderen Patch-Plänen vor. Es gibt jedocherste Hinweise, dass zumindest einzelneARM-CPUs ebenfalls anfällig sind. Wei-tergehende Recherchen dazu, ob und inwelchem Maß etwa die eng verwandteAMD-Prozessorarchitektur für die einzel-nen Spectre-NG-Lücken anfällig ist, lau-fen bereits.

An einigen Spectre-NG-Patches ar-beitet Intel bereits selbst; andere werdenin Zusammenarbeit mit den Betriebs -systemherstellern erarbeitet. Wann dieersten Spectre-NG-Patches kommen, istbislang nicht klar. Unseren Informatio-nen zufolge plant Intel zwei Patch- Wellen: Eine erste soll bereits im Mai an-rollen; eine zweite ist derzeit für Augustgeplant.

Für mindestens einen der Spectre-NG-Patches steht schon ein konkreterTermin im Raum: Googles Project Zerohat erneut eine der Lücken gefunden undim Mai läuft die Frist ab, die sie dem Her-steller typischerweise vor einer Veröffent-lichung der Details zu einer Lücke einräu-men. Googles Elite-Hacker sind rechtkompromisslos, was solche Termine an-geht und veröffentlichten nach deren Ablauf schon öfter Informationen zuSchwachstellen, für die der Herstellernoch keine Patches fertig hatte. Bei einerzweiten Lücke rechnet Intel selbst damit,dass Informationen jederzeit an die Öf-fentlichkeit kommen könnten. Für diesebeiden Lücken sollten Patches also eherfrüher als später erscheinen.

Auch Microsoft bereitet sich offen-sichtlich schon auf CPU-Patches vor: Ur-sprünglich wurde für Microcode-Updatesgegen Spectre auf BIOS-Updates verwie-sen, nun erscheinen sie doch in Form von(optionalen) Windows-Updates. Die PC-Hersteller brauchen wohl schlichtweg zulange für BIOS-Updates. Microsoft lobtzudem in einem Bug-Bounty-Programmfür Spectre-Lücken bis zu 250.000 US-Dollar Prämie aus. Die Linux-Kernel-Ent-wickler tüfteln ebenfalls kontinuierlich anHärtungsmaßnahmen gegen Spectre- Attacken.

Gefährlicher als SpectreVier der Spectre-NG-Sicherheitslückenstuft Intel selbst mit einem „hohen Risi-ko“ ein; die Gefahr der anderen vier ist le-diglich als mittel bewertet. Nach unsereneigenen Nachforschungen sind Risikenund Angriffsszenarien bei Spectre-NG

ähnlich einzustufen wie bei Spectre – miteiner Ausnahme.

Eine der Spectre-NG-Lücken verein-facht Angriffe über Systemgrenzen hin-weg so stark, dass wir das Bedrohungs -potential deutlich höher einschätzen alsbei Spectre. Konkret könnte ein Angreiferseinen Exploit-Code in einer virtuellenMaschine (VM) starten und von dort ausdas Wirts-System attackieren – also etwaden Server eines Cloud-Hosters. Oder ergreift die auf dem gleichen Server laufen-den VMs anderer Kunden an. Passwörterund geheime Schlüssel für sichere Daten-übertragung sind sehr begehrte Ziele aufCloud-Systemen und durch diese Lückeakut gefährdet. Intels Software Guard Extensions (SGX), die auf den Schutz sen-sibler Daten auf Cloud-Servern abzielen,sind übrigens ebenfalls nicht Spectre- sicher [2].

Angriffe auf andere VMs oder dasWirts-System waren zwar prinzipiell auchschon mit Spectre möglich; doch die realeUmsetzung erforderte so viel Vorwissen,dass sie extrem schwierig war. Die er-wähnte Spectre-NG-Lücke lässt sich je-doch recht einfach auch für Angriffe überSystemgrenzen hinweg ausnutzen; dieGefahr erhält damit eine neue Qualität.Besonders betroffen sind folglich Anbietervon Cloud-Diensten wie Amazon oderCloudflare und natürlich deren Kunden.

Die konkrete Gefahr für Privatleuteund Firmen-PCs ist hingegen eher gering,weil es dort in aller Regel andere, einfacherauszunutzende Schwachstellen gibt. Trotz-dem sollte man sie ernst nehmen und dieanstehenden Spectre-NG-Updates nachderen Erscheinen zügig einspielen.

Allerdings deutet einiges darauf hin,dass das alles nicht ganz reibungslos funk-tionieren wird. Bereits bei der Bereitstel-lung der Spectre-Updates gab es mehrerePannen, trotz mehr als sechs MonatenVorlauf. Obendrein reduzieren mancheder Patches die Performance und einigeFirmen verweigern BIOS-Updates für wenige Jahre alte Computer. Das alleswird mit Spectre NG eher schlimmer alsbesser werden.

Kein Loch, sondernSchweizer KäseInsgesamt zeigen die Spectre-NG-Lü-cken, dass Spectre und Meltdown keineeinmaligen Ausrutscher waren. Es han-delt sich eben nicht um ein simples Loch,das man mit ein paar Flicken nachhaltigstopfen könnte. Es verdichtet sich viel-mehr das Bild einer Art Schweizer Käse:Für jedes abgedichtete Loch tauchen zweiandere auf. Das ist die Folge davon, dassbei der Prozessorentwicklung der letztenzwanzig Jahre Sicherheitserwägungenimmer nur die zweite Geige gespielthaben.

Ein Ende der Patches für Hardware-Probleme der Spectre-Kategorie ist jeden-falls nicht in Sicht. Doch eine niemals endende Patch-Flut ist keine akzeptableLösung. Man kann sich nicht schulter -zuckend damit abfinden, dass die zentraleKernkomponente unserer gesamten IT-Infrastruktur ein grundsätzliches Sicher-heitsproblem aufweist, das immer wiederzu Problemen führen wird.

Natürlich muss Intel die aktuellenLücken erst einmal möglichst schnellverarzten – und das passiert auch. Doch

Viele der c’t-Investigativ-Recherchen sind nur möglichdank Informationen, die Leserund Hinweisgeber direkt oderanonym an uns übermitteln.

Wenn Sie selbst Kenntnis von einemMissstand haben, von dem die Öffent-lichkeit erfahren sollte, können Sie unseinen anonymen Hinweis oder brisan-tes Material zukommen lassen. NutzenSie dafür bitte unseren anonymen undsicheren Briefkasten.

https://heise.de/investigativ

Bisherige CPU-Sicherheitslücken Meltdown und SpectreGGooooggllee--NNaammee KKuurrzzbbeezzeeiicchhnnuunngg CCVVEE--NNuummmmeerr

Spectre Variante 1 Bounds Check Bypass CVE-2017-5753

Spectre Variante 2 Branch Target Injection (BTI) CVE-2017-5715

Meltdown (GPZ V3) Rogue Data Cache Load CVE-2017-5754

GPZ steht für Google Project Zero, Spectre V1 und V2 werden auch GPZ V1 und GPZ V2 genannt

ct.1118.016-018.qxp 03.05.18 14:26 Seite 17

Einzelverkauf: 28.462Lesezirkel: 1.292sonst. Verkauf: 104

* Quelle: IVW II/2019

* Quelle: IVW II/2019

Abos: 197.535 (davon 16.726 Digital-Abos)

ca. 25.000 Abonnenten (inkl. PLUS-Abonnenten) und Einzelkäufer pro Ausgabe

mit über 30.000 Kontakten/Öffnungen der App

(rund 120.000 PLUS-Abonnenten haben Zugriff auf die digitalen Inhalte)Potential

16.726 Verkauf gesamt*