Meltdown und Spectre: Sicherheitsexperten kommentieren skeptisch
Expertenkommentare zu Chip-Sicherheitslücken
Die Prozessor-Sicherheitslücken Meltdown und Spectre halten seit Jahresbeginn die gesamte IT-Branche in Atem, denn aus ihr ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten. Mögliche Attacken hinterlassen dabei womöglich nicht einmal Spuren in traditionellen Log-Dateien. Betroffen sind die Chip-Hersteller Intel, AMD und ARM - und mit ihnen praktisch jeder in Computern verbaute Prozessor seit den 90er Jahren. Dazu melden sich derzeit viele Experten zu Wort, darunter Christian Heutger, Geschäftsführer der PSW GROUP (www.psw-group.de): "Das Ausmaß ist kaum zu fassen. Die Rede ist nicht nur von Prozessoren, die in unseren privaten wie geschäftlichen IT-Geräten und Smartphones verbaut sind. Sie sind auch in Krankenhäusern, Kraftwerken, in Netzwerk-Servern - also in Systemen, die Teil kritischer Infrastruktur sind - verbaut".
Und er erklärt weiter: "Die Sicherheitslücke Meltdown existiert für Intel seit 1995 und ist massiv. Ich kann mir nur schwer vorstellen, dass dieser Bug den Chipherstellern nicht ansatzweise selbst in den Sinn gekommen ist. Denn auch Großkonzerne wie Intel oder AMD haben Fachleute, die Sicherheitsschwächen in Mikroprozessoren erforschen. Warum braucht es Experten von Google Project Zero und Forscher von Universitäten und aus der Industrie, um das Problem zu entdecken und die Chiphersteller quasi vor vollendete Tatsachen zu stellen?"
Dabei scheint laut Heutger gerade Meltdown für Angreifer einfach zu nutzen sein. Die Sicherheitslücken Meltdown und Spectre erlauben das Auslesen des Speichers, auf die der User-Prozess erst gar nicht zugreifen können dürfte, und spendieren Malware oder Hackern dadurch Zugang zu sensiblen Nutzerdaten, beispielsweise auf Passwörter.
"Warum sollten nicht hochprofessionalisierte Hacker die Lücken bereits entdeckt und sie ausgenutzt haben? Nur weil bislang keine Schadsoftware bekannt ist, die Meltdown oder Spectre ausnutzt? Und genau das ist auch das nächste Problem: Antivirenlösungen erkennen nur Schadprogramme, die bereits bekannt sind. Automatisch erkennt keine Antivirenlösung der Welt ein ihr unbekanntes Schadprogramm. Denn erst anhand seiner individuell typischen Signatur können Antivirenlösungen ein solches Programm erkennen und blockieren", macht Christian Heutger auf weitere Auswirkungen aufmerksam.
Dies sei jedoch noch nicht alles: Auch Geheimdienste können die Sicherheitslücken als offene Hintertür nutzen und damit Zugang zu jedem erwünschten System auf der Welt zu erlangen. Wenngleich der US-Geheimdienst NSA versichert, Meltdown und Spectre nicht zum Ausspähen von Daten genutzt zu haben, bleibt Heutger vorsichtig: "Für einen Geheimdienst wären Angriffe über die beiden Sicherheitslücken ungemein wertvoll, da sie keine Spuren hinterlassen. Spätestens seit den Veröffentlichungen von Edward Snowden wissen wir um die ausufernden, weltweiten Ausspäh-Aktivitäten der NSA."
Technisch gesehen handelt es sich bei den Sicherheitslücken um einen Bruch der Memory Isolation. Moderne Out-of-Order-Prozessoren tun, was ihr Name bereits vorgibt: Sie agieren "out of order", also gewissermaßen außerhalb des gewöhnlichen Betriebs. Um Performance-Vorteile zu sichern, führen die Prozessoren spekulativ einige Befehle aus, die beispielsweise Translation Lookaside Buffer aktualisieren, die für die Adressberechnung notwendig sind oder die eventuell benötigte Daten in Caches laden. So werden Befehle ausgeführt, die im realen Programmfluss möglicherweise eben doch nicht ausgeführt werden müssen.
"Genau da liegt das Problem. Damit werden Tür und Tor für etliche Angriffsszenarien geöffnet. Die Forscher, die die Sicherheitslücken Meltdown und Spectre entdeckt haben, sorgen in ihren Angriffsszenarien dafür, dass das Spekulieren bei bestimmten Befehlen grundsätzlich schiefgeht", erklärt Christian Heutger. "So erhöht sich die Zeit, die der Prozessor benötigt, um die fehlerhafte Spekulation zu erkennen. In dieser Zeit können Folgebefehle transient ausgeführt werden. Diese werden ausschließlich spekulativ mit internen Registern, nie aber mit Architekturregistern ausgeführt."
Für den normalen Anwender sei die Situation aktuell sehr undurchsichtig. Die Lücke werde als sehr gravierend eingeschätzt, und sämtliche Hersteller bemühen sich um schnelle Lösungen. Googles Analysen zeigen, dass man lokal Code ausführen können muss, um einen Angriff zu starten. Welche Auswirkungen die Lücke tatsächlich hat und wie sich die Gegenmaßnahmen auswirken, muss sich laut Heutger jedoch erst noch zeigen.
Wenn man einmal die technischen Details von Spectre beiseitelässt, ergeben sich für Unternehmen fundamental neue Herausforderungen, wie Thomas Ehrlich, Country Manager DACH von Varonis, das Thema kommentiert. Dies betreffe zuallererst die Frage des IT-Sicherheitsrisikos und wie es zu messen ist. Mittlerweile spiele (Informations-)Technik in nahezu jedem Unternehmen vom kleinen Handwerksbetrieb bis zum Weltkonzern eine wesentliche Rolle - und Spectre führe vor, dass es im Grunde keinen Bereich mehr gibt (sei es Hardware oder Software), der immun gegen potenziell lähmende Sicherheitslücken ist.
Die meisten Sicherheitsanstrengungen konzentrieren sich laut Ehrlich zu Recht auf Software, die im Allgemeinen anfälliger für Sicherheitsrisiken ist. Spectre treffe hingegen direkt auf die grundlegende Hardware, auf der alles läuft, sodass jeder sein Risiko neu messen und quantifizieren muss.
Unternehmen werden laut dem Experten daher häufig eine entsprechende Kosten-Nutzen-Analyse anstellen. Wie hoch ist der Wert von Rechenressourcen? Wie viel von meiner Rechenleistung bin ich bereit aufzugeben, um den potenziellen Schaden durch diese Sicherheitslücke zu mildern? Sind die Kosten einer Datenpanne größer als die Kosten, die durch das Patchen entstehen? Einige Unternehmen werden entsprechend nicht patchen und letztlich darauf wetten, dass sie geschützt bleiben. Aber nicht jedes Unternehmen werde diese Wette gewinnen: Sie Zukunft könnte erhebliche Datenschutzverstöße mit sich bringen, die daraus resultieren, dass Organisationen das potenzielle Risiko falsch kalkuliert haben.
Mit der DSGVO kommt laut Ehrlich nun im Mai ein Faktor ins Spiel, der diese Kalkulationen in Richtung Sicherheit kippen lassen könnte. Bezieht man die angedrohten hohen Strafgelder mit ein und weist der Datensicherheit damit einen wirklichen Wert zu, werde nicht IT-Sicherheit zum Kostenfaktor, sondern ihr Mangel. Und damit die Systeme und Daten - hoffentlich - sicherer, wie Ehrlich erklärt.
Weitere Informationen gibt es unter www.psw-group.de/blog/meltdown-und-spectre-prozessorluecke-trifft-nicht-nur-intel/4840 und www.varonis.com.
Lesen Sie mehr zum Thema
