Haftungsfrage in einer Bananenrepublik für Spectre und Meltdown



  • Wer haftet jetzt bei Spectre und Meltdown? In Deutschland hat man sich ja vom Rechtssystem verabschiedet und die Politik sagt, die Hersteller müssen nur groß genug sein um alles zu dürfen.
    Was machen Nutzer mit älteren Prozessoren, und die Performanceverluste kosten am Ende des Tages auch noch Geld. Es liegt jede Menge Hardware in den Regalen die momentan falsch beworben wird. Für mein Board gibt es kein BIOS-Update mehr und was neues zu kaufen zu diesem Zeitpunkt ist sinnfrei.
    Wer also ist zuständig dafür?


  • Global Moderator

    Schwierig. Welches Versprechen wurde denn gebrochen? Die Prozessoren laufen nach wie vor so schnell und mit allen Spezifikationen, wie beworben. Die Software ist langsamer geworden, aber es zwingt dich ja niemand, die langsamere Software einzusetzen.

    Also letztlich vermutlich niemand, zumindest nicht schadensersatztechnisch vor Gericht. Besonders da du als Privatperson wohl schwer nachweisen kannst, dass du überhaupt einen konkreten Schaden hast.

    Die letztliche Konsequenz für Intel, was das Geld angeht, wird wohl folgendes sein:
    1. Imageschaden
    2. Intels große Abnehmer werden bei ihren nächsten Einkäufen wohl einen dicken Rabatt raushandeln können
    3. Eventuell noch irgendwelche aktienrechtliche Geschichten, aber das hat ja nicht direkt etwas mit Schadensersatz zu tun



  • Naja,

    aus meiner Sicht wirfst du hier gerade verschiedene Aspekte durcheinander. Du hast und das ist ein Fakt, genau das gekauft was dir auch verkauft wurde.

    Die CPU's wurden eben wie Intel gerne sagt genauso gebaut und mit Software bestückt, wie es die zuvor erstellte Spezifikation vorgesehen hat. Über die Sicherheitsaspekte wurde an der Stelle vermutlich garnicht nachgedacht, da man es nicht für eine Schwachstelle hielt.

    Ich weiß jetzt ehrlich gesagt nicht, wie es mit älterer Hardware aussieht, aber gerade bei den aktuellen CPU's greift aus meiner Sicht sowieso die Herstellergarantie. Und die wird eben durch Softwareupdates realisiert.

    Rechtlich halte ich als einziges die Senkung der Leistung für bedenklich. Denn damit wird einem etwas genommen, das man mit gekauft hat. Da ich jedoch kein Anwalt bin kann ich keine Auskunft geben, ob man in irgend einer Art und Weise Schadensersatz fordern kann.



  • Die Software läuft ja langsamer wegen der Hardware, da kann die Software doch nichts dafür. Und bei geringerer Performance muss man länger rechnen und das geht auf die Stromrechnung, was ausrechenbar ist.
    Klar hast du Recht das es für den Privatmann in diesem Land keine Chance gibt sich zu wehren.
    Was ist mit der Hardware die im Umlauf ist? Die Performance und Benchmarktests entsprechen nicht mehr den Angaben.
    Es ist auch interessant zu wissen das diese Fehler schon seit Monaten bekannt sind, und es trotzdem niemanden interessiert hat. Was haben die denn gedacht? Das es niemals rauskommt?


  • Global Moderator

    Keinrechtfürnormalos schrieb:

    Die Software läuft ja langsamer wegen der Hardware, da kann die Software doch nichts dafür.

    Nein, eben nicht. Die Software von Dezember läuft heute noch genauso schnell wie damals. Es wurde halt ein neues Feature in vielen Betriebssystemen eingebaut (bessere Abschottung des Kernels), welches Betriebssystemcalls langsamer macht. Kannst du nutzen (und solltest du nutzen!), musst du aber nicht. Intel haftet schließlich auch nicht dafür, dass SHA-256 langsamer läuft als MD5.

    Es ist auch interessant zu wissen das diese Fehler schon seit Monaten bekannt sind, und es trotzdem niemanden interessiert hat. Was haben die denn gedacht? Das es niemals rauskommt?

    Offensichtlich haben sie an dem Problem gearbeitet. Schließlich gab es praktisch schon nahezu am Tag der Veröffentlichung des Problems einen Patch für alle Systeme (zumindest für Meltdown), an dem monatelang im geheimen gearbeitet wurde.



  • inflames2k schrieb:

    Ich weiß jetzt ehrlich gesagt nicht, wie es mit älterer Hardware aussieht,

    Ivy Bridges (CPUID/Signature 306Ax) und älter werden keinen Microcode erhalten. Zumindest ist keiner im aktuellen Microcode Update vom 8.1.2018 enthalten.

    Haswell (CPUID/Signature 306C3) wird noch upgedatet, da gibt es schon Microcodes.

    Die "derzeitige" Grenze bezüglich Microcode Updates liegt also genau zwischen Ivy Bridge und Haswell.
    Ob sich Intel bemüht noch weitere, also ältere CPUs zu fixen, steht offen. Updates gibt's dazu jedenfalls noch keine.

    Die Hersteller von Gamer Mainboards (ASUS, Gainwards usw.) werden maximal Boards die 1-2 Jahre alt sind fixen.

    Der Hersteller SuperMicro, der auch Mainboards herstellt, hat bereits gesagt, dass er bereit ist, die Mainboards, die bis zum Nehalem (Releasedatum 2008) zurück gehen zu fixen, sofern Intel dafür Microcodes zur Verfügung stellt.
    Das wären dann die X8 Boards von Supermicro.
    https://www.supermicro.com/support/security_Intel-SA-00088.cfm?pg=X8

    Rechtlich halte ich als einziges die Senkung der Leistung für bedenklich. Denn damit wird einem etwas genommen, das man mit gekauft hat.

    Nein, denn es wurde einem keine Leistung zugesichert.
    Bestennfalls wurde gesagt, dass diese oder jene CPU performant ist. Aber wie performant die sein muss, das wurde nicht zugesichert.

    Da ich jedoch kein Anwalt bin kann ich keine Auskunft geben, ob man in irgend einer Art und Weise Schadensersatz fordern kann.

    Man wird nichts kriegen, weil gar kein Schaden beziffert werden kann.
    Im Heiseforum hat das jemand richtig gut mit zwei Sätzen formuliert, aber den Thread finde ich nicht mehr.

    Bestenfalls kriegen nur die etwas, die zwischen Sommer 2017 und jetzt eine neue CPU gekauft haben, denn ungefähr im Juni wuste Intel von der Sicherheitslücke schon.
    Die Chancen würde ich aber eher sehr gering einschätzen, das es in der Branche üblich ist, dass man Sicherheitslücken erst dann an die große Glocke hängt, wenn bereits Patches zur Verfügung stehen.
    Ich bin übrigens auch kein Anwalt.



  • Keinrechtfürnormalos schrieb:

    Die Performance und Benchmarktests entsprechen nicht mehr den Angaben.

    Die sind nicht von Intel und Intel hat dir beim Kauf auch nichts dergleichen zugesichert, dass die CPU, die du gekauft hast, genau diese Benchmarkergebnisse erreicht.
    Das ist also nur ein fiktives Konstrukt in deinem Kopf, dass deine CPU dieses Benchmarkergebnis erbringen müsste, aber das ist eben alles rechtlich nichts wert.

    Es ist auch interessant zu wissen das diese Fehler schon seit Monaten bekannt sind, und es trotzdem niemanden interessiert hat. Was haben die denn gedacht? Das es niemals rauskommt?

    Nein, das ist wie bereits gesagt Branchenüblich.

    Zuerst müssen die fixes fertig werden, dann werden die Updates unters Volk gemischt und erst dann oder zeitgleich mit der Bekanntgabe der Updates wird auch bekannt gemacht, das es diese Sicherheitslücke gibt.

    Das macht man um weiteren Schaden zu vermeiden.
    Denn wenn es anders herum wäre, dann würdest du mit heruntergelassenen Hosen dastehen, jeder Hacker wüsste, wie er in deinen Rechner angreifen kann und fixes gibt es noch keine, denn die müssten dann ja erst programmiert werden, was dauern kann.
    Deswegen macht man das so nicht. Ich denke das leuchtet ein und das wird auch jeder Richter mit Verstand so sehen. Da kriegste also nix.



  • Kleine Korrektur:

    Ivy Bridges mit CPUID bzw. Signature 306E4 sollen auch noch Microcode Updates erhalten.
    Nur eben die älteren 306Ax Modelle nicht.



  • Ich bin kein Anwalt, aber ich hätte jetzt mal angenommen dass für Schadensersatz Forderungen entweder grobe Fahrlässigkeit oder ein nicht eingehaltenes Versprechen nötig wären.

    Und beides liegt hier nicht vor.

    Bei einem Problem das eine ganze Generation von Entwicklerung und Usern über 15 Jahre lang nicht erkannt haben kann man wohl kaum von grober Fahrlässigkeit sprechen wenn die Entwickler es nicht erkannt haben.
    Und das Versprechen dass es das, was im Zusammenhang mit Meltdown/Spectre als "Side-Channels" bezeichnet wird, nicht geben kann, hat es sicher auch nicht gegeben.



  • Es gibt ja den Begriff "Stand der Technik". Den kann Intel und auch jeder Hersteller eines anderen Produktes vortragen, um deine gewünschten Ansprüche abzulehnen.