{"id":33662,"date":"2026-06-29T11:00:39","date_gmt":"2026-06-29T09:00:39","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33662"},"modified":"2026-06-29T13:26:56","modified_gmt":"2026-06-29T11:26:56","slug":"frost-fingerprinting-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/frost-fingerprinting-attack\/33662\/","title":{"rendered":"Der FROST-Angriff: Verz\u00f6gerungen beim SSD-Zugriff enth\u00fcllen die Benutzeraktivit\u00e4t"},"content":{"rendered":"

Ein aktuelles Paper<\/a> der TU Graz beschreibt eine neue Methode, mit der Benutzeraktivit\u00e4ten \u00fcber Webbrowser getrackt werden. Die neue Technik wurde FROST getauft. Das Faszinierende daran ist, dass sie zu Spionagezwecken das Solid-State-Laufwerk (SSD) eines Computers nutzt. Wir lassen technische Details erstmal beiseite und erkl\u00e4ren den Angriff in einfachen Worten: Der Hacker lockt ein Opfer auf eine entsprechend pr\u00e4parierte Website. Solange die Website ge\u00f6ffnet ist, kann der Angreifer genau verfolgen, welche Apps der Nutzer startet und welche Webseiten er noch besucht.<\/p>\n

Aber wie schaffen die Hacker das? Der erste Verdacht f\u00e4llt nat\u00fcrlich auf den Browser. In modernen Webbrowsern l\u00e4uft jedoch jede Website in einer isolierten Sandbox und hat generell keinen Zugriff auf andere Registerkarten\u00a0\u2013 und schon gar nicht auf die Computer-Hardware. Nat\u00fcrlich finden Hacker immer wieder Schlupfl\u00f6cher in diesen Schutzma\u00dfnahmen. Hier liegt die Sache jedoch anders. FROST l\u00e4sst den Browser v\u00f6llig unbehelligt. Der Angriff funktioniert einwandfrei, selbst wenn alle standardm\u00e4\u00dfigen Sicherheitsvorkehrungen greifen. Der Trick: Die v\u00f6llig legitime Browser-Funktion \u201eOrigin Private File System\u201c (OPFS) wird verwendet. Sie bietet Websites ein eigenes virtuelles Dateisystem zur Datenspeicherung. Obwohl dieser Speicher digital isoliert ist, werden die Daten aber physisch auf dieselbe SSD geschrieben, die auch alle anderen Apps und Websites auf dem Computer nutzen. Die Studie zeigt: Wenn eine b\u00f6sartige Seite die SSD st\u00e4ndig mit Anfragen bombardiert, l\u00e4sst sich anhand von mikroskopisch kleinen Verz\u00f6gerungen beim Datenzugriff herausfinden, was sonst noch auf dem PC passiert. Bevor wir uns in Einzelheiten vertiefen, werfen wir einen kurzen Blick auf die Theorie, die hinter der Attacke steht.<\/p>\n

Kurze Einf\u00fchrung: Seitenkanalangriffe<\/h2>\n

Der Begriff \u201eSeitenkanal\u201c bezieht sich auf eine Methode, mit der ein Computer (oder auch nur ein einzelner Mikrochip) indirekt ausspioniert wird. Ein Angreifer f\u00e4ngt die Daten nicht direkt ab, sondern kann beispielsweise Schwankungen des Energieverbrauchs analysieren, die Temperatur bestimmter Komponenten verfolgen oder elektromagnetische Strahlung messen. Theoretisch w\u00e4re es sogar m\u00f6glich, dass jemand \u00fcber eine Computermaus ein Gespr\u00e4ch in einem anderen Raum abh\u00f6rt<\/a>, da der optische Sensor Schallschwingungen aufnehmen kann. Auf \u00e4hnliche Weise kann ein Hacker einen Chiffrierschl\u00fcssel stehlen<\/a>, wenn er die Schwankungen der CPU-Taktfrequenz beobachtet. Selbst eine simple LED-Leuchte an einem Ausweisleseger\u00e4t kann einem Angreifer gen\u00fcgend Daten<\/a> \u00fcber die Vorg\u00e4nge innerhalb des Ger\u00e4ts liefern, um eine Smartcard zu klonen.<\/p>\n

Das \u201eSch\u00f6ne\u201c (zumindest aus der Sicht von Hackern) an solchen indirekten Datenlecks ist, dass sie schwer zu erkennen sind. Ger\u00e4tehersteller ber\u00fccksichtigen sie beim Aufbau von Sicherheitssystemen nur selten. Ebenso offensichtlich ist jedoch die Kehrseite: Die Datenextraktion durch einen Mechanismus, der nicht f\u00fcr die Daten\u00fcbertragung gedacht ist, gestaltet sich komplex, langsam und m\u00fchsam. Die \u00f6sterreichischen Forscher konzentrierten sich auf einen Untertyp, der als \u201econtention side-channel attack\u201c bekannt ist. Dabei tritt ein Leck auf, da mehrere Prozesse um dieselbe Ressource konkurrieren. Die hei\u00df begehrte Ressource ist in unserem Fall die Bandbreite der SSD.<\/p>\n

Innenansicht des FROST-Angriffs<\/h2>\n

Genau dieser Seitenkanal wurde schon fr\u00fcher untersucht, unter anderem in einer Studie<\/a> aus dem Jahr 2025. Damals war der Aufbau jedoch recht simpel: Die Forscher lie\u00dfen ein Programm, das als Datenquelle diente, auf einem Computer laufen, w\u00e4hrend ein zweites Programm auf demselben Computer versuchte, diese Daten abzufangen. Das Angriffsmodell war nicht gerade bahnbrechend, f\u00fcr theoretische Zwecke aber ausreichend. Wenn ein Hacker ein beliebiges Programm ausf\u00fchren kann, ist er nicht auf komplexe Seitenkan\u00e4le angewiesen, sondern hat viele direkte M\u00f6glichkeiten, um Daten zu stehlen.<\/p>\n

Trotzdem war die letztj\u00e4hrige Studie Jahr keine reine Zeitverschwendung. Wie sich zeigte, ist die mittels SSD-\u00dcberwachung erzielte Aufl\u00f6sung ziemlich hoch, das Datenleck ist real und die erfassten Informationen k\u00f6nnen durchaus praktischen Wert haben. Damit ist der FROST-Angriff eine logische Fortsetzung dieser Idee.<\/p>\n

Und so funktioniert die Attacke in der Praxis: Nehmen wir an, auf einer SSD befindet sich eine ziemlich gro\u00dfe Datei, die zuf\u00e4llige Daten enth\u00e4lt. Ein bestimmter Prozess liest diese Daten in regelm\u00e4\u00dfigen Abst\u00e4nden und misst die Reaktionsgeschwindigkeit. Die Geschwindigkeit schwankt je nachdem, wie stark die SSD mit anderen Aufgaben ausgelastet ist. Diese Zugriffsverz\u00f6gerungen verraten etwas \u00fcber die Aktivit\u00e4t der SSD. Die Forscher aus Graz zeigten: Eine Darstellung dieser Verz\u00f6gerungen im Zeitverlauf kann helfen, mit angemessener Genauigkeit festzustellen, welche andere Aufgabe gerade auf dem Computer ausgef\u00fchrt wird.<\/p>\n

\"Verz\u00f6gerungsdiagramme\"<\/a>

Unterschiedliche Latenzmuster, die beim \u00d6ffnen bestimmter Websites erzeugt werden. Quelle<\/a><\/p><\/div>\n

Solche Latenzdiagramme erstellten die Forscher f\u00fcr eine Vielzahl von Websites und lokalen Apps. Sie fanden eindeutige Muster (oder digitale Fingerabdr\u00fccke), die jedes Mal generiert wurden, wenn eine bestimmte Website geladen oder eine App gestartet wurde. Solche Start- oder Ladevorg\u00e4nge dauern nur Sekundenbruchteile. Um sie zu erfassen, muss die SSD \u00fcber einen l\u00e4ngeren Zeitraum hinweg kontinuierlich \u00fcberwacht werden. Die gefundenen Muster erwiesen sich jedoch auf verschiedenen Systemen als bemerkenswert einheitlich. Die Methode wurde sowohl auf einem Linux-Desktop als auch auf einem Apple Mac Mini erfolgreich getestet. Der Rest klingt ganz einfach: Die Angreifer erstellen einen Katalog mit bekannten Fingerabdr\u00fccken, messen die tats\u00e4chlichen SSD-Verz\u00f6gerungen, gleichen diese Daten ab und k\u00f6nnen dann genau ermitteln, welche Apps der Nutzer \u00f6ffnet und welche Websites er besucht. Aber ist eine solche heimliche \u00dcberwachung tats\u00e4chlich m\u00f6glich, ohne Malware auf dem Computer des Opfers zu installieren?<\/p>\n

Eben hier kommt die relativ neue Browser-Funktion \u201eOrigin Private File System\u201c (OPFS) ins Spiel. Ein hypothetischer Angreifer muss dem Nutzer keinen zwielichtigen Trojaner unterschieben. Das Opfer muss lediglich eine spezielle Webseite besuchen, die OPFS nutzt. Schon l\u00e4uft das Tracking der SSD-Aktivit\u00e4t im Hintergrund. Die clevere Abk\u00fcrzung enth\u00e4lt alle Komponenten des Angriffs: FROST steht f\u00fcr \u201eFingerprinting Remotely using OPFS-based SSD Timing\u201c. Hier sind alle Schritte des Angriffs zu sehen:<\/p>\n

\"Ablauf<\/a>

Wie die FROST-Methode verwendet werden kann, um die Aktivit\u00e4t eines Computers auszuspionieren. Quelle<\/a><\/p><\/div>\n

Einschr\u00e4nkungen der Methode<\/h2>\n

Wie alle Seitenkanalangriffe ist auch FROST nicht gerade von der schnellen Truppe. Es ist ein langsamer, methodischer Vorgang. Die konkrete Geschwindigkeit ermittelten die Forscher anhand einer speziellen Testumgebung.<\/p>\n

\"Aufbau<\/a>

Schema der Testumgebung, in der die Geschwindigkeit der Datenextraktion via OPFS gemessen wurde. Quelle<\/a><\/p><\/div>\n

Das Team f\u00fchrte auf einem Computer ein Programm aus, mit dem Daten indirekt \u00fcbertragen wurden. Das kann man sich wie einen digitalen Spion vorstellen, der eine geheime Nachricht sendet, indem er auf unterschiedliche Weise mit dem Datentr\u00e4ger interagiert. Eine\u00a01 im bin\u00e4ren Nachrichtencode k\u00f6nnte beispielsweise bedeuten, dass das Programm die SSD aktiv verwendet, w\u00e4hrend eine\u00a00 bedeutet, dass sie sich im Leerlauf befindet. Gleichzeitig richteten die Forscher im Webbrowser einen Empf\u00e4nger ein, der \u00fcber OPFS auf den Datentr\u00e4ger zugriff. Da der Browser-Empf\u00e4nger und das \u00dcbertragungsprogramm um die SSD-Bandbreite konkurrierten, ergaben sich im Browser winzige Verz\u00f6gerungen, sobald der Sender aktiv Daten sendete.<\/p>\n

Bizarres Setup\u00a0\u2013 interessantes Ergebnis: Auf einem Linux-Desktop mit AMD-Prozessor wurden Daten mit 661\u00a0Bit pro Sekunde und einer Genauigkeit von fast 90\u00a0% \u00fcbertragen. Auf einem Apple Mac Mini mit macOS erreichte die \u00dcbertragungsrate 719\u00a0Bits pro Sekunde und ebenfalls eine Genauigkeit von etwa 90\u00a0%. Diese Zahlen liegen zwar etwas niedriger als bei der Studie von 2025, bei der es um Apps ging, die direkt auf einem Computer installiert waren. Der Unterschied ist aber unwesentlich.<\/p>\n

Die eigentliche Bedrohung des FROST-Angriffs ergibt sich jedoch nicht aus der Daten\u00fcbertragung. Es geht um das Tracking der Benutzeraktivit\u00e4t. Selbst wenn ein Hacker \u00fcber eine Datenbank mit digitalen Fingerabdr\u00fccken f\u00fcr bestimmte Apps und Websites verf\u00fcgt, enthalten die Informationen, die via OPFS \u00fcber eine b\u00f6sartige Website abgegriffen werden, zu viele St\u00f6rsignale. Schlie\u00dflich laufen auf einem Computer im Hintergrund st\u00e4ndig Lese- und Schreibvorg\u00e4nge, die mit der SSD verbunden sind. Doch auch f\u00fcr das digitale Rauschen fanden die Forscher eine L\u00f6sung und griffen zu einem Werkzeug, das bei Cyberangriffen immer mehr zum Standard wird: einem neuronalen Netzwerk. Eine KI, die mit bekannten SSD-Fingerabdr\u00fccken trainiert wurde, konnte die Benutzeraktivit\u00e4t sogar in einem chaotischen Wirrwarr von Hintergrunddaten zielsicher erkennen. Das Endergebnis ist beeindruckend. Auf dem Apple Mac Mini identifizierte die KI in 89\u00a0% der F\u00e4lle korrekt, welche Website der Nutzer ge\u00f6ffnet hatte, und ordnete den Start lokaler Apps mit einer Genauigkeit von 96\u00a0% zu. Und dies funktionierte nicht nur in dem Browser, in dem der b\u00f6sartige Tab ge\u00f6ffnet war. Die KI erkannte Websites auch in einem v\u00f6llig anderen Browser richtig. Es klingt wie ein absoluter Volltreffer f\u00fcr Hacker\u00a0\u2013 abgesehen von zahlreichen Einschr\u00e4nkungen, die unter realen Bedingungen bestehen.<\/p>\n

Ist der FROST-Angriff eine reale Bedrohung?<\/h2>\n

Wenn ein Angreifer nur wei\u00df, welche Apps ge\u00f6ffnet oder welche Websites besucht werden, hat er nicht viel gewonnen. Diese Art von Daten wird normalerweise von Werbetreibenden genutzt, die eigenm\u00e4chtig digitale Benutzerprofile erstellen. Eine massenhafte Einf\u00fchrung dieser Tracking-Methode erscheint kaum realistisch. Die H\u00fcrde liegt in der grundlegenden Art und Weise, wie Computer mit Daten umgehen: Daten, auf die h\u00e4ufig zugegriffen wird, werden vom System regelm\u00e4\u00dfig im RAM gespeichert. Da der gesamte FROST-Angriff darauf beruht, die relativ geringe Bandbreite der physischen SSD zu messen, sind die Daten im RAM dabei praktisch unsichtbar. Um dieses Hindernis zu umgehen, m\u00fcsste die b\u00f6sartige Webseite das OPFS zwingen, eine riesige Datei mit weit \u00fcber einem Gigabyte zu erstellen. Klar, dass eine Website, die derart aggressiv mit Speicherressourcen umgeht, sofort Alarm ausl\u00f6sen w\u00fcrde. EDR- oder XDR-L\u00f6sungen<\/a> melden solche Vorg\u00e4nge als anomale Aktivit\u00e4t.<\/p>\n

Darum ist der FROST-Angriff (wie die meisten Seitenkanal-Spionagemethoden) nur f\u00fcr gezielte Operationen relevant. Und damit zur\u00fcck zum Anfang: Zu wissen, welche Apps jemand \u00f6ffnet oder welche Webseiten er besucht, ist eine eher bescheidene Belohnung f\u00fcr den enormen Aufwand, den so ein raffinierter Trick erfordert.<\/p>\n

Was die Praxistauglichkeit betrifft, ist FROST den meisten Seitenkanalangriffen, die in \u00e4hnlichen Studien erw\u00e4hnt werden, trotzdem Lichtjahre voraus. Vorinstallierte Malware wird nicht ben\u00f6tigt. Einzige Voraussetzung: Das Opfer muss eine sch\u00e4dliche Seite \u00f6ffnen. Diese Studie erinnert auch eindr\u00fccklich daran, wie komplex moderne Computer sind und wie viele unerwartete tote Winkel es gibt, die zu Datenlecks f\u00fchren k\u00f6nnen. Bei der Entwicklung hochsicherer Systeme f\u00fcr streng geheime Daten m\u00fcssen die Besonderheiten der Hardware unbedingt ber\u00fccksichtigt werden. Wenn der Wert der Daten hoch genug ist, kann entschlossene Angreifer nichts davon abhalten, einen spezifischen, komplexen Angriff zu entwickeln. Studien wie diese beweisen: Dieses Szenario ist in der Welt der Cybersicherheit nicht unm\u00f6glich.<\/p>\nKaspersky Next<\/a>\n","protected":false},"excerpt":{"rendered":"

\u00d6sterreichische Forscher haben eine ungew\u00f6hnliche Methode entdeckt, mit der Hacker sensible Daten stehlen k\u00f6nnen.<\/p>\n","protected":false},"author":665,"featured_media":33661,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[1406,4280,4281],"class_list":{"0":"post-33662","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-hardware","11":"tag-seitenkanalangriffe","12":"tag-ssd"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/frost-fingerprinting-attack\/33662\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/frost-fingerprinting-attack\/30818\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/frost-fingerprinting-attack\/25859\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/frost-fingerprinting-attack\/30661\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/frost-fingerprinting-attack\/32274\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/frost-fingerprinting-attack\/42049\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/frost-fingerprinting-attack\/55970\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/frost-fingerprinting-attack\/30761\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/frost-fingerprinting-attack\/36329\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/frost-fingerprinting-attack\/36219\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/seitenkanalangriffe\/","name":"Seitenkanalangriffe"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33662","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=33662"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33662\/revisions"}],"predecessor-version":[{"id":33664,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33662\/revisions\/33664"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/33661"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=33662"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=33662"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=33662"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}