Meltdown & Spectre: Das steckt dahinter
Schwerwiegende Sicherheitslücken in Prozessoren sind seit Januar 2021 bekannt, die als „Kernschmelze“ (engl. Meltdown) und „Schreckgespenst“ (engl. Spectre) Milliarden IT-Nutzer weltweit verunsichern. Betroffen sind Prozessoren führender Hersteller, die in allen modernen Desktop-, Mobile- und Server-Geräten verbaut sind. Meltdown und Spectre ermöglichen es Angreifern, sensible Daten aus getrennten Speicherbereichen auszulesen, soweit diese auf derselben Hardware laufen.
Das sind die Angriffsszenarien
Streng genommen handelt es sich bei Meltdown und Spectre nicht um die Sicherheitslücken selbst, sondern um die Angriffsszenarien, die Schwachstellen in der Hardware-Architektur von Prozessoren ausnutzen. Das Problem liegt in einem Verfahren, bei dem Informationen im Voraus berechnet und zwischengespeichert werden, um später ohne Verzögerung zur Verfügung zu stehen. Diese sog. spekulative Ausführung („speculative execution“) ist eine Grundfunktionalität moderner Prozessoren und sorgt vor allem für optimale Performance.
Bei „Meltdown“ wird diese Spekulation ausgenutzt, um Zugriff auf eigentlich geschützte Speicherbereiche zu erhalten und so sensible Daten wie Passwörter, Krypto-Schlüssel oder E-Mail-Nachrichten auszulesen. Vereinfacht dargestellt wird dabei die grundlegende Trennung zwischen Nutzer-Anwendungen und Betriebssystem durchbrochen. Bei den wesentlichen komplexeren „Spectre“-Angriffsszenarien hingegen wird die Trennung zwischen mehreren gleichzeitig auf derselben Hardware laufenden Programmen, um Daten im Zwischenspeicher abzugreifen.
Da weder Meltdown noch Spectre Spuren z. B. in Logfiles hinterlassen und auch nicht von Antiviren-Software erkannt werden können, ist bislang auch nicht bekannt, ob die Schwachstellen schon für Angriffe ausgenutzt wurden. Klar ist jedoch: Bereits jetzt gelten Meltdown und Spectre Experten zufolge als „Security-Supergau“, wie es Andreas Stiller in einer umfangreichen Analyse für Heise Online formuliert
Updates für Betriebssysteme & Co.
Zahlreiche IT-Hersteller und Software-Unternehmen wie Microsoft, Google und Apple haben bereits mit Notfall-Patches reagiert, die Endanwender schnellstmöglich einspielen sollten, wie auch das Bundesministerium für Sicherheit in der Informationstechnik (BSI) auf seiner Webseite „BSI für Bürger“ rät (Achtung: Es gibt bereits erste Trittbrettfahrer, die gefälschte E-Mails, die angeblich vom BSI stammen, mit Schadcode und Links auf ebenfalls manipulierte Webseiten in Umlauf gebracht haben. Diese Mails sollten umgehend gelöscht werden).
Neben außerplanmäßig veröffentlichten Betriebssystem-Updates für Windows, macOS, Linux, ChromeOS und Android sollten Nutzer auch schnellstmöglich Web-Browser aktualisieren, da über die Browser schädlicher Code auf die Systeme gelangen kann. Entsprechende Updates für Firefox, Safari, Internet Explorer/Edge und Chrome wurden bereits bereitgestellt.
Zugleich weist das BSI darauf hin, dass das Aktualisieren von Betriebssystemen, Browsern oder auch Treiber-Software nur ein erster Schritt ist und nicht allein ausreicht, um die Schwachstellen vollständig zu beheben. Dazu müssten Hersteller auch Updates für Firmware/BIOS bereitstellen, was nach derzeitigem Kenntnisstand allerdings noch einige Zeit in Anspruch nehmen wird. Da insbesondere die Betriebssystem-Updates die ursprünglichen Zwischenspeicher-Optimierungen deaktivieren, kann es je nach Nutzungsverhalten zu Leistungseinbußen kommen. Wie hoch diese tatsächlich sind, ist derzeit umstritten. Aktuelle Benchmarks wie die von Techspot oder Microsoft selbst zeigen jedoch, dass die konkreten Performance-Verluste offenbar geringer ausfallen als zunächst befürchtet.
Binect-Systeme nicht akut gefährdet
Da es sich bei Meltdown und Spectre um grundsätzliche Probleme im Design quasi aller modernen Prozessoren handelt, ist Binect zunächst ebenso grundsätzlich betroffen wie alle IT-Umgebungen oder Computersysteme von Unternehmen und Privatnutzern weltweit; auf Basis unserer Leitlinien und Maßnahmen zur IT-Sicherheit ist unsere Systemlandschaft jedoch so aufgestellt, dass ein Gefährdungsszenario durch eine der aktuell bekannt gewordenen Schwachstellen nach derzeitigem Kenntnisstand sehr unwahrscheinlich bis unmöglich ist.
Sämtliche zur Leistungserbringung eingesetzten Systeme werden ausschließlich in einem dezidierten Rechenzentrum mit eigenständiger Hardware betrieben, die auch nur zu diesem Zweck genutzt werden. Diese Abgrenzung der Hardware sowie der Betrieb des kompletten Software-Stacks durch speziell geschultes Fachpersonal aus den Binect-Teams Operations und Professional Services sichern unsere Systeme wirkungsvoll ab; Entsprechend unserem Regelprozess IT-Sicherheit setzen wir verfügbare Schutzmaßnahmen gegen Meltdown und Spectre jeweils zeitnah mit ihrem Bekanntwerden um. Da Meltdown und Spectre durch Außenstehende nur ausgenutzt werden können, wenn diese sich zunächst anderweitig Zutritt zu internen Systemen verschaffen, die auf gleicher Hardware betrieben werden, sehen wir unsere Ausrichtung als Qualitätsdienstleister für Hybridpost mit eigenem Rechenzentrum grundsätzlich bestätigt.
Weitere Schutzmaßnahmen sind nach aktueller Kenntnis nicht notwendig.
Nützliche Links
Heise.de: Liste mit Stellungnahmen und Updates von Herstellern
Meltdownattack.com: Weitere Hintergrundinfos der Forschergruppe der TU Graz