In der jüngsten Vergangenheit haben die Sicherheitslücken Meltdown und Spectre in der IT-Welt für Aufsehen gesorgt. Aufgrund der Tatsache, dass die bekanntgewordenen Sicherheitslücken relativ weitreichende Folgen haben und die Informationslage unübersichtlich ist, möchten wir Sie gern über die wichtigsten Fakten informieren. In einem kurzen Interview geht unser Experte für IT-Security, Hr. Daniel Philips, auf folgende Fragen ein:
Meltdown und Spectre sind Sicherheitslücken, die anders als üblich nicht auf Schwachstellen im Betriebssystem zurückzuführen sind. Die Lücken treten stattdessen in der Gerätearchitektur an sich auf und betreffen mit dem Prozessor das Herzstück und die zentrale Recheneinheit eines jeden Computersystems.
Große Medienpräsenz, teilweise gegensätzliche Aussagen und Empfehlungen wie auch die Tatsache, dass es bis heute keine vollumfängliche Behebung des Problems gibt, zeigt die Tragweite der Sicherheitslücken. Zwar ist bisher noch keine tatsächliche Ausnutzung der Sicherheitslücke bekannt, aber es ist bald damit zu rechnen. Die Auswirkungen hingegen lassen sich jedoch schon abgrenzen. In erster Linie wird es durch die Ausnutzung der Sicherheitslücken zu unautorisierten Zugriffen auf „Geheimnisse“, also kleinere Datenmengen, die einen sensiblen Inhalt ausweisen wie etwa Benutzerdaten, kommen. Zusammengefasst und im Klartext: Die Bedrohung ist real, mit einer ersten Ausnutzung ist täglich zu rechnen und eine vollumfängliche Lösung gibt es noch nicht.
Das Ungewöhnliche ist sicherlich die Anzahl der betroffenen Systeme, da es nahezu keine Eingrenzungen gibt. Weil die Schwachstelle nicht auf dem Betriebssystem basiert, sind erstmal grundsätzlich alle Betriebssysteme betroffen; unabhängig von Version und Hersteller.
Darüber hinaus sind sowohl Prozessoren von Intel wie auch von AMD betroffen und zwar über alle Systeme der letzten Jahre hinweg. Entsprechend sind hier alle Systemtypen gleichermaßen gefährdet: Computer wie Handys, Betriebssysteme von Windows über iOS und MAC bis hin zu Linux.
Grundsätzlich muss ich davon ausgehen, dass mein Gerät betroffen ist. Die sogenannte „Vulnerability“, also die Anfälligkeit gegenüber dieser Sicherheitslücken, kann aber überprüft werden. Microsoft stellt dafür ein Script bzw. Programm zur Verfügung, andere Hersteller ebenso.
Genau darin liegt die Schwierigkeit: Da es sich bei den Schwachstellen um die Architektur der Hardware handelt, reicht die Installation von Softwareupdates, die bei Fehlern des Betriebssystems zur Behebung aufgespielt werden, nicht mehr aus: Ein Softwareupdate kann dieses Hardwareproblem nicht ursächlich lösen.
Für die Sicherheitslücke Meltdown gibt es aktuell ein Update für Microsoftsysteme; andere haben diese ebenfalls bereits verteilt oder arbeiten noch daran. Dieses Update schafft keine Fehlerbehebung, aber zumindest eine sogenannte Linderung (engl. „mitigation“), die ein potenzielles Ausnutzen der Fehlerquelle deutlich erschwert. Bei Spectre hingegen muss ein Microcode-Update (Update der Firmware) aufgespielt werden, um denselben Effekt zu erhalten.
Die Unterscheidung liegt in der Ausnutzung der Sicherheitslücke. Ganz vereinfacht kann man sagen, dass ich bei Meltdown das System dazu bringe, mir Zugriff auf verbotene Bereiche des Speichers zu gewähren. Bei Spectre hingegen generiere ich über andere Programme eine Abfrage, auf die ich zunächst Zugriff erhalte – und zwar bis der Prozessor merkt, dass ich das nicht darf. Er korrigiert zwar seinen Fehler, aber den Zeitraum bis dahin kann ich nutzen, um Teile des Geheimnisses zu entschlüsseln. Mache ich das oft genug, sind irgendwann die vollständigen Zusammenhänge bekannt. Das ist aber wie gesagt eine stark vereinfachte Betrachtungsweise.
Bisher ist noch kein Exploit, also eine tatsächliche wiederholbare Ausnutzung der Schwachstelle, bekannt. Das erklärt auch die vielen kontroversen Aussagen rund um das Thema: Letztlich ist alles noch recht theoretisch und daher auch spekulativ, weil diese Lücke weitaus komplexer ist als die meisten bisher aufgetretenen Sicherheitsmängel. Die Installation der beschriebenen Updates ist zur Zeit die einzige Möglichkeit, sein System vor der Ausnutzung der Sicherheitslücken zu schützen. Ob weitere Schritte notwendig werden ist aktuell noch unklar.
Bezüglich der Updates kursieren viele Meldungen in puncto Leistungseinbuße. Eine Leistungseinbuße wird definitiv Folge der Updateinstallation sein. Deren Ausprägung hängt allerdings stark vom Gerätealter und auch vom Betriebssystem ab: Je aktueller das Notebook oder der PC, desto weniger Leistungsminderung wird der User spüren. Je älter Betriebssystem und Prozessor, desto stärker spürbar werden die Auswirkungen der Updates sein.
Neben der Leistungseinbuße haben die Updates bei bestimmten Gerätetypen auch Kompatibilitätsprobleme, die sich durch Neustarts oder Ähnliches bemerkbar machen. Um diesem entgegenzuwirken empfiehlt es sich für Unternehmenskunden, die Updates in einem kleineren Pilotkreis zu testen.
Das liegt schlicht daran, dass die Kaufentscheidung für Prozessoren seit Jahren nur auf Geschwindigkeit und eventuell im mobilen Bereich noch auf Leistungsaufnahme (Stichwort: Akkulaufzeit) basiert: Schneller gleich besser. CPUs wurden rein vor dem Hintergrund guter Performance und gegebenenfalls langer Akkulaufzeit konzipiert.
Eine entsprechend angepasste Architektur wäre zwar möglich, würde dann aber entweder negative Auswirkungen auf die Rechenleistung oder eine merkliche Preiserhöhung mit sich bringen. Machbar ist es aber definitiv und voraussichtlich werden dieses Jahr noch entsprechende Prozessoren vorgestellt werden:
Weiterführender Artikel dazu:
Ich denke nicht nur durch Meltdown und Spectre wird deutlich, dass sich die Bedrohungslage rasant ändert. War es bei Ransomware ein relativ einfaches Verfahren, das durch Verschlüsselung zu großem Schaden und Erpressungen geführt hat, der aber in der Regel auf Windows Systeme begrenzt war, ist es jetzt eine Bedrohungslage, die sehr in die Breite geht und speziell auf sensible Daten wie Benutzernamen und Kennwörter abzielen wird
Aus meiner Sicht lassen sich aus der Bedrohungslage zwei elementare Dinge ableiten:
Speziell Meltdown und Spectre zeigen nochmal mit unbarmherziger Deutlichkeit, dass der Schutz alleine zukünftig nicht mehr ausreichen wird. Die Annahme, dass ich es schaffe, mich vollständig vor allen Formen der Cyberangriffe zu schützen, ist schon als grob fahrlässig einzuordnen. Systeme, die Cyberattacken erkennen (beispielsweise an deren grundsätzlichem Vorgehen an der Datenübermittlung an den Angreifer oder durch gezielte Analyse von IT-Sicherheitsspezialisten) bilden zukünftig einen wichtigen Baustein einer jeden Sicherheitsstrategie. Wir als Betreiber eines Cyber Security Operation Centers (CSOC) stellen unseren Kunden bereits jetzt die Erkennung erster möglicher Ausnutzungen der Meltdown-/Spectre-Sicherheitslücke zur Verfügung.
Cyber Security Operation Center (CSOC):
Der zweite Punkt, den man aus den jüngsten Ereignissen lernen kann ist, dass auch die Schutzmaßnahmen breiter aufgestellt sein sollten als nur Virenschutz und Firewall. Selbst wenn ich es nicht schaffe, mich vor der Ausnutzung der eigentlichen Sicherheitslücke zu schützen, kann ich zumindest die Auswirkungen deutlich minimieren. Bezüglich Ransomware wurde beispielsweise in Windows 10 eine Funktion ergänzt, mit der ich bestimmte Ordner (also beispielsweise meine Dokumentpfade) vor eben diesen Massenverschlüsselungen schützen kann. Für Meltdown und Spectre wäre eine logische Konsequenz, meine „Geheimnisse“ – also Benutzernamen und Kennwörter – um weitere Faktoren (die ich im Besitz haben muss, sprich: Multifaktorauthentifizierung) zu ergänzen.
Mein persönlicher Apell an alle Unternehmen lautet:
Und um einen Satz aus der ersten Hilfe zu verwenden: Alles ist besser als nichts zu tun!
