12.02.2018

Spectre und Meltdown: Sicherheitslücken in Prozessoren

Alle (IT-)Welt scheint derzeit Kopf zu stehen angesichts der just entdeckten Sicherheitslücken in quasi allen bedeutenden Rechnerplattformen: Ob Intel oder AMD, Server oder Smartphone - die Sicherheit jedes System scheint akut gefährdet zu sein, vom grössten Serversystem bis herunter zum Embedded Prozessor im Smart Home. Ist tatsächlich nicht nur Holland, sondern sogar die ganze Welt in IT-Not?

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

Milliarden an Geräten sind gefährdet

In der Tat ist es beunruhigend, was derzeit an Horrorszenarien durch quasi alle Medien gereicht wird - sogar in die Tagespresse haben es die Meldungen über Spectre und Meltdown geschafft. Dabei wird mit Superlativen nicht gegeizt: Einige Experten sprechen vom «schwersten Fehler, der je gefunden wurde», Milliarden an Geräten seien gefährdet - und damit auch die Daten der Nutzer. Vom schlimmsten Sicherheitsleck der zugegebenermassen ja noch recht kurzen EDV-Historie wird da gesprochen - davon, dass fast alle Systeme, Plattformen und Prozessoren betroffen seien. und dass es vor allem aktuell keine Garantie gäbe, dass das eigene System nicht auch gehackt werden könne.

Aber es wäre unschweizerisch, jetzt in Panik zu verfallen und kopflos zu agieren. Was bliebe auch anderes übrig - den «Universalpatch», um Spectre und Meltdown zu verhindern, gibt es derzeit eben noch nicht. Worum geht es denn überhaupt, und weshalb ist das Bedrohungs-Szenario dieses Mal so umfassend?

Rechenoperationen werden bereits im Voraus durchführt

Ohne all zu sehr in die Tiefe zu gehen - andernfalls müssten wir an dieser Stelle einen mehrwöchigen Kurs in Computer- und Prozessortechnologie abhalten - handelt es sich bei der aktuellen Lücke um eine Art Kollateralschaden, der entsteht, weil Prozessoren möglichst immer etwas schneller als diejenigen sein sollen, die sie bedienen. Sehr verkürzt gesagt ist in den meisten Prozessoren ein Verfahren implementiert, durch das die Chips Rechenoperationen quasi bereits im Voraus durchführen sollen. Der Sinn liegt darin, etwaige Verzögerungen zu vermeiden und die Systeme dadurch schneller ihre Rechenoperationen ausführen und Daten liefern zu lassen. Beim Stichwort «Daten» sollte man allerdings hellhörig werden - bei den Bits und Bytes, die die Prozessoren da vorsorglich in eine Art Zwischenlager schieben, handelt es sich natürlich gegebenenfalls um genau Ihre persönlichen Daten, die in digitaler Form von dem PC, Laptop, Server oder Handy bearbeitet werden und dort vorliegen. Diese befinden sich bei dem «Zwischenspeicherverfahren» also in einer Art Vorratsraum für die alsbaldige Verwendung. Leider hat niemand so recht daran gedacht, diesen Raum auch gegen unbefugten Zugriff zu sichern. Das ist etwas schwer verständlich, weil andererseits die Sicherheit in den meisten IT-Systemen einen recht hohen Stellenwert erreicht hat. Die Verwendung sicherer Passwörter ist weitgehend Standard geworden, Dateisysteme werden verschlüsselt, Netzwerkübertragungen ohnehin, Webseiten werden per HTTPS abgesichert und so fort - aber an den Zwischenspeicher in den Prozessoren hat irgendwie niemand so recht gedacht. Es handelt sich also eigentlich weniger um einen richtigen Bug oder sonstigen technischen Fehler, sondern um eine Sicherheitslücke «by Design». Bildlich gesprochen holen Sie das Geld aus dem sicheren Tresor Ihrer Bank, lassen den gepanzerten und schwer bewachten Geldtransporter vorfahren - und legen Ihre Geldsäcke mal eben in den Vorraum der Bank, bis der Transporter da ist, damit der Abtransport dann schneller erfolgt. An diesem - selbstverständlich stark vereinfachten - Bild kann man dann auch glasklar erkennen, wo die Schwachstelle liegt - was tun Sie, wenn jemand den Vorraum der Bank betritt, während Sie mal eben kurz draussen nach dem Geldtransporter sehen?

Speculative execution

Diese Technik in den Prozessoren, die seit Jahren von den verschiedensten Herstellern verwendet wird, ist unter der Bezeichnung «speculative execution» bekannt. Sie dient eigentlich der Steigerung der Performance, aber offensichtlich auf Kosten der Sicherheit. Aus dem Namen "speculative execution" leitet sich übrigens auch einer der Begriffe für das sich daraus ergebende, zumindest potenzielle Angrifss-Szenario ab: «Spectre».

Zwar wurde die Sicherheitslücke bereits vor einiger Zeit entdeckt, und offenbar sollte sie erst in der zweiten Januarwoche dieses Jahres publik gemacht werden. Als aber die ersten Berichte über dieses Leck in den Prozessoren von Intel ans Licht der Öffentlichkeit gelangten, zogen die Unternehmen die Veröffentlichung vor - mit drastischer, wenn auch negativer Publicity, wie wir alle wissen. Die Aktienkurse der Prozessorhersteller fielen, nachdem neben Intel auch AMD und ARM (zwei weitere Hersteller von Prozessoren) unter Generalverdacht gestellt wurden - und das Geschrei und Wehklage war gross.

Year-2000-Bug

Nun sind aber offenbar die IT-Systeme weltweit bisher ebenso wenig zusammengebrochen wie seinerzeit bei dem berüchtigten «Year-2000-Bug» - erinnert sich überhaupt noch jemand daran? Seinerzeit wurden ebenfalls Flugzeug- und Börsenkurs-Abstürze, wenn nicht gar der Untergang des Abendlandes prognostiziert - und geschehen ist damals praktisch nichts, von wenigen kleineren, meist lokal begrenzten Ausfällen abgesehen. Und auch im aktuellen Fall gibt es vorerst «nur» eine potenzielle Bedrohung - für echte Angriffe müssten aber erst einmal die passenden Tools geschrieben werden. Die IT-Industrie arbeitet selbstverständlich auch bereits an Lösungen, um die Sicherheitslücke zu stopfen - erste Updates sind bereits verfügbar.

Es sollte jedenfalls niemand in Panik verfallen - oder gar sich und seine eigenen IT-Geräte für dermassen wichtig halten, dass etwaige Angreifer sich ausgerechnet auf das eigene, private Smartphone stürzen könnten. Lohnendere Ziele werden Serversysteme sein, in denen selbstverständlich ebenfalls Prozessoren mit dieser Sicherheitslücke werkeln - hier ist ein Angriff sicher lohnender, schliesslich könnten eventuell vertrauliche Daten en masse gestohlen und missbraucht werden. Übrigens zeigt uns dies auch, wie sehr die Aufmerksamkeit der Öffentlichkeit gerne auf wenige spektakuläre Fälle gerichtet wird - die vielen kleineren und grösseren Angriffe, denen gerade Serversysteme ständig ausgesetzt sind und die immer wieder mal für Fälle massiven Datenraubs sorgen, stehen in der Tagespresse entweder rechts unten auf Seite 2 oder als kleine Randnotiz auf der News-Webseite.

Die wichtigsten Regeln

Wie auch immer es jetzt mit Spectre und Meltdown weitergeht - Sie sollten folgende Regeln beherzigen:

  • Spielen Sie Updates zeitnah ein! Während ansonsten gerne der eherne Grundsatz gilt, Updates nie am Tag ihrer Veröffentlichung einzuspielen, weil die Aktualisierungen und Patches mitunter selber für instabile Systeme oder Folgefehler im System sorgen, darf in diesem Fall hoffentlich darauf vertraut werden, dass die Entwickler wissen, was sie tun. Andererseits wird auch in den Entwicklungsabteilungen der Hersteller Panik ausgebrochen sein, und so manches eilig herausgegebene Update könnte möglicherweise nicht mit der sonst üblichen Sorgfalt entwickelt und geprüft worden sein.
  • Lassen Sie die übliche Sorgfalt walten, wenn Sie sich im Netz bewegen - Schadcode gelangt in der Regel über infizierte Links, Dateianhänge von Emails oder Software aus suspekten Quellen auf die Systeme.
  • Legen Sie regelmässig Sicherungen Ihrer Systeme an, und wechseln Sie dabei - sofern möglich - die Backupmedien! Im schlimmsten Fall können Sie Ihr System dann immer noch löschen und aus der Sicherung wiederherstellen.

Seminar-Empfehlung

Praxis-Seminar, ½ Tag, ZWB, Zürich

Update Datenschutz

Neuerungen in der EU und der Schweiz

Nächster Termin: 27. Februar 2018

mehr Infos

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    Mehr Infos

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, ½ Tag, ZWB, Zürich

    Update Datenschutz

    Neuerungen in der EU und der Schweiz

    Nächster Termin: 27. Februar 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Die neue DSGVO und deren Folgen für Schweizer Unternehmen

    Nächster Termin: 22. März 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 19. Juni 2018

    mehr Infos