Spectre und Meltdown läuten das DSGVO-Jahr mit Rekord-Sicherheitslücken ein
Das Jahr ist noch jung, doch bereits jetzt schlägt die erste IT-Sicherheitslücke enorme Wellen: Am 3. Januar wurden gleich zwei fatale Prozessorlücken bekannt: Spectre und Meltdown. Mit ihnen sind Unbefugte imstande, Daten auch aus gesicherten Systemen auszulesen. Betroffen sind nahezu alle aktuellen Computer und Geräte. Halbleiterhersteller Intel und die verschiedenen Hard- und Softwareanbieter haben bereits umfangreiche Maßnahmen angekündigt.
Bekannt sind beide Lücken seit Juli letzten Jahres, als sie binnen kurzer Zeit von mehreren unabhängigen Gruppen entdeckt wurden. Darunter sind das Google Project Zero Team, die TU Graz und Cyberus Technology. Seit diesem Zeitpunkt arbeitet Intel mit Hochdruck an einer Lösung des Problems.
Moderne Prozessoren lesen die wahrscheinlich anschließend gebrauchten Daten direkt aus
Meltdown überbrückt mittels vorläufiger Speicherauslesung bei Rechenprozessen den Mechanismus, der Anwendungen den beliebigen Speicherzugriff verwehrt. Spectre ist sogar noch weitreichender: Damit können Anwendungen über die sog. speculative execution branch prediction auf beliebige Stellen im Speicher zugreifen. Damit können über Spectre theoretisch komplette Datensätze entwendet werden – ohne dass Spuren zurückbleiben.
Dieses vorläufige Auslesen von Daten wird für eine schnellere Bearbeitung benötigt. Verbaut ist diese Funktionsweise in den meisten Prozessoren der letzten 25 bis 30 Jahre. So sind alle gängigen Betriebssysteme wie iOS, Linux, macOS und Windows mit x86- und ARM-Architektur von Intel und z.T. auch von AMD und IBM anfällig. Das bedeutet, dass nicht nur reguläre PCs von dieser Sicherheitslücke betroffen sind, sondern auch Laptops, Tablets, Smartphones, IoT-Geräte, Server und sogar die Cloud.
Erste Updates bereits angekündigt oder ausgespielt
Intel hat bereits angekündigt, binnen einer Woche etwa 90% aller betroffenen CPUs der letzten 5 Jahre zu patchen. Wer überprüfen möchte, ob das eigene Gerät darunter fällt, sollte auf die CPU-Version achten: Ab der vierten Generation (Haswell, erkennbar an der Bezeichnung iX-4xxx) werden Intel-Prozessoren mit Patches versorgt.
Doch neben den Prozessoren müssen auch Hardware und Software auf diese Patches eingehen. Apple, Microsoft, Google und die meisten anderen Anbieter haben bereits erste Notfallupdates ausgespielt oder werden dies in den nächsten Tagen umsetzen. Sie beheben die Sicherheitslücken allerdings nicht, sondern verhindern eine notwendige Zeitmessung für die vorläufige Berechnung – oder für das unberechtigte Auslesen von Daten. Das funktioniert jedoch nicht ohne Probleme: Verschiedene (Power-)Nutzer berichten von erheblichen Leistungseinbußen.
Spectre und Meltdown könnten das gesamte Jahr über Thema bleiben
Da es sich bislang nur um Notfallupdates handelt, sollte sich die Leistung mit jeder weiteren Aktualisierung weiter normalisieren. Ob ursprüngliche Werte jedoch überhaupt wieder erreicht werden können, ist bisher genauso unklar wie die Dauer dieses Vorfalls. Aktuelle Schätzungen gehen von 6 bis 12 Monaten aus. Doch ältere Systeme werden auch dann keine Aktualsierungen mehr erhalten.
Unternehmen sollten daher eine umfangreiche Überprüfung ihrer gesamten IT vornehmen. Herstellerupdates sollten mit möglichst geringer Verzögerung eingespielt werden – und zwar nicht nur das nächste, sondern in der gesamten näheren Zukunft. Während Intel beteuert, dass Spectre und Meltdown bisher höchstwahrscheinlich nicht ausgenutzt wurden, sollten Unternehmen bei besonders sensitiven Daten vorsichtig sein und diese ggf. sogar von allen Verbindungen trennen: Denn ein Angriff mittels Spectre oder Meltdown kann in den Protokollen bisher nicht ausgelesen werden.
Es bleibt also zu hoffen, dass die IT-Branche schnell effiziente Lösungen finden und ausspielen wird.
