Unmittelbar nach Jahreswechsel wurde bekannt, dass zahlreiche Mikrochips von einer gravierenden Sicherheitslücke betroffen sind, welche zumindest in der Theorie den umfassenden Zugriff auf die Daten des betroffenen Geräts ermöglicht.
Betroffen sind dabei nach den Angaben der Sicherheitsforscher der Technischen Universität Graz sowie des Google Project Zero sowohl Computer, Smartphones als auch Tablets.[1] Als „Spectre“[2] und „Meltdown“[3] bekannt, sind diese Lücken teils nur bedingt behebbar.
Laut den ersten Untersuchungen sind nahezu alle Produkte der führenden Hersteller betroffen. Neben den gängigen Produkten des Marktführers Intel, weisen unter anderem Chips der Unternehmen AMD und AMR entsprechende Sicherheitslücken auf.[4]
In der Pressemitteilung „Spectre/Meltdown – Antivirensoftware kann Windows-Update blockieren“ vom 10. Januar 2018 macht das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun darauf aufmerksam, dass Updates des Softwareunternehmens Microsoft aufgrund etwaiger Kompatibilitätsprobleme womöglich überhaupt keinen Einfluss auf die Sicherheitsschwächen haben. Anstatt die bestehenden Sicherheitslücken zu schließen oder zu mindern, blockieren die Updates vielmehr schützende Antivirenprogramme und beeinträchtigen die Installation sonstiger Aktualisierungen. Demzufolge werden die betroffenen Geräte sogar noch anfälliger für neue Sicherheitsrisiken. Anlässlich dieser Problematik weist das BSI ausdrücklich darauf hin, die Kompatibilität zwischen den Updates und der betroffenen Antivirensoftware mithilfe eines vom BSI veröffentlichten Ratgebers zu überprüfen.[5]
Microsofts misslungener Lösungsversuch veranschaulicht paradigmatisch die besondere Gefährlichkeit von „Spectre“ und „Meltdown“. Im Gegensatz zu gewöhnlichen Angriffsmethoden, die sich auf softwarebasierte Sicherheitsschwächen stützen, liegt der entscheidende Anknüpfungspunkt von „Spectre“ und „Meltdown“ in der leistungssteigernden Hardwarekonzeption der Chips. Zur Optimierung der Leistungsfähigkeit werden in rechenarmen Phasen spekulative Berechnungen ausgeführt, um die Chips folglich bei Leistungsspitzen mithilfe eines Rückgriffs auf bereits ausgeführte Berechnungen zu entlasten.[6] Dieses eigentlich leistungserhöhende, auf der Hardware beruhende Verfahren umgeht im Zuge der spekulativen Berechnungen allerdings zugleich implementierte Sicherheitsmechanismen und stellt somit die entscheidende Grundlage für die Sicherheitslücken dar. Dementsprechend kann nach aktuellem Wissensstand das Ausspähen privater Daten, wie Passwörter oder Chatinhalte, mittels „Spectre“ und „Meltdown“ lediglich durch einen, weder wirtschaftlich noch logistisch umsetzbaren, Austausch der betroffenen Hardware vollumfänglich abgewehrt werden.
Trotz der zunächst immanent erscheinenden Gefahr, ist es jedoch zweifelhaft, ob, neben der theoretischen Möglichkeit eines Angriffs, auch ein tatsächlicher Angriff auf private Systeme zu erwarten ist. Aufgrund des enormen Aufwands Daten mittels „Spectre“ und „Meltdown“ auszuspähen, ist davon auszugehen, dass vor allem Anbieter von Cloud-Diensten Ziel solcher Angriffe sein werden, während ein unmittelbarer Angriff auf private Datenträger als unwahrscheinlich angesehen wird.[7]
Dennoch sollten „Spectre“ und „Meltdown“ von privaten Usern keinesfalls unterschätzt werden. Es ist ratsam, alle zur Verfügung gestellten Softwareaktualisierungen, trotz möglicher Leistungseinbußen[8] und Kompatibilitätsprobleme wahrzunehmen und unmittelbar zu installieren. Die aktuellen Updates bieten zwar nur bedingten Schutz vor Angriffen, jedoch ist davon auszugehen, dass in unmittelbarer Zukunft weitere verbesserte Updates zur Verfügung gestellt werden, um die Sicherheitslücken abschließend zu beheben und die Leistungsdefizite auf ein Minimum zu reduzieren. Dementsprechend wird empfohlen, alle Systeme auf dem aktuellen Stand zu halten und die Aktualisierungen gegebenenfalls mithilfe entsprechender Kompatibilitätsübersichten der Softwarehersteller auf ihre Vereinbarkeit mit bereits installierten Virenprogrammen zu überprüfen.[9]
Weiterführende Quellen:
- https://meltdownattack.com
- Kalinowsky, Prozessor-Sicherheitslücke: So finden Sie heraus, ob Sie gegen Meltdown und Spectre geschützt sind, Heise Online, 10.01.2018 (zuletzt abgerufen am 24.01.2018).
- Fischer, Meltdown und Spectre: Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern, Heise Online, 08.01.2018 (zuletzt abgerufen am 24.01.2018).
[1] Technischer Ratgeber des BSI, zuletzt abgerufen am 21.1.2018.
[2] „Spectre“, zu deutsch „Gespenst“, leitet sich vom Begriff „speculative execution“ ab, dem englischen Terminus für das leistungssteigernde Verfahren der spekulativen Berechnung, vgl. dazu: https://meltdownattack.com/, zuletzt abgerufen am 25.1.2018.
[3] „Meltdown“, zu deutsch „schmelzen“, leitet sich von der Möglichkeit ab mithilfe eines „Meltdown“-Angriffs etwaige Sicherheitsvorkehrungen umgehen zu können, vgl. dazu: https://meltdownattack.com/, zuletzt abgerufen am 25.1.2018.
[4] Technischer Ratgeber des BSI, zuletzt abgerufen am 21.1.2018.
[5] Pressemitteilung des BSI vom 10.1.2018, zuletzt abgerufen am 21.1.2018.
[6] Technischer Ratgeber des BSI, zuletzt abgerufen am 21.1.2018.
[7] Technischer Ratgeber des BSI, zuletzt abgerufen am 21.1.2018.
[8] Sowohl die Auswirkungen als auch die Intensität der Leistungseinbußen sind äußerst umstritten. Während das BSI der Ansicht ist, dass die Software Updates grundsätzlich zu „spürbaren Leistungseinbußen“ führen, hängt die Wirkung der Leistungseinbußen laut Berichten des Heiße-Verlags insbesondere vom Alter der Prozessoren und dem installierten Betriebssystem ab. Im Extremfall sinkt die Leistungsfähigkeit lediglich um einstellige Prozentsätze und ist für den privaten Nutzer im Regelfall kaum wahrnehmbar. Vgl. dazu: Windeck, Die Riesenlücken, c’t 3/2018, 58 sowie Technischer Ratgeber des BSI, zuletzt abgerufen am 21.1.2018.
[9] Technischer Ratgeber des BSI, zuletzt abgerufen am 21.1.2018.
