Meltdown und Konsorten - Verzweifeln oder Schulterzucken?

Dass Software Fehler hat, die mit schöner Regelmäßigkeit für digitale Angriffe ausgenutzt werden, daran haben sich die Anwender mittlerweile gewöhnt. So sehr sogar, dass es nur noch wirklich massive Sicherheitslücken über die Wahrnehmungsschwelle schaffen. Die Hardware hingegen gilt als Fels in der Brandung – zumindest meistens. Doch nun machen mit Meltdown und Spectre Sicherheitslücken die Runde, die man nur als ungeheuerlich bezeichnen kann. Als “Security-Supergau“ bezeichnet Andreas Stiller von vom Nachrichtenportal heise.de die beiden Lücken, mit denen Angreifer auf eigentlich geschützte internen Speicherbereichen von vielen Prozessoren zugreifen können. Unter Umständen ließen sich damit beispielsweise Passwörter oder andere vertrauliche Informationen auslesen und später per Netzverbindung an einen Angreifer weitergeben. Mehr als ein Dutzend Angriffsmöglichkeiten wurden bereits öffentlich skizziert. Man kann davon ausgehen, dass Akteure, die Wert darauf legen, solche Lücken im Geheimen zu nutzen, noch ein paar weitere Ideen zum Thema haben.

Das schlimme an einer Sicherheitslücke im Prozessor ist, dass man als Anwender nichts dagegen tun kann. Defekte Software kann man deinstallieren oder nicht verwenden, zur Not zieht man den Stecker zum Internet oder schaltet das WLAN ab. Der Prozessor hingegen ist unerreichbar für den Anwender. Da hilft nur Computer abschalten und hoffen und beten, dass Intel, AMD und ARM das Problem recht bald lösen werden. Beruhigend ist das nicht. Zumindest sieht es im Moment so aus, als ob die Kommunikation zwischen den Entdeckern der Lücke und den Herstellern von Prozessor und Betriebssystem funktioniert hat, auch wenn Intel in seiner ersten Erklärung zum Thema, wenig zur Aufklärung beitrug. Immerhin, alle namhaften Hersteller und Entwickler sind schon seit ein paar Wochen fieberhaft am Arbeiten und die ersten Patches, beispielsweise für Windows und Android, wurden bereits ausgeliefert. Aufgrund der Hektik wird von Schwierigkeiten mit bestimmten Systemkonfigurationen berichtet. Das ist zwar verständlich, hilft den betroffenen Nutzern aber auch nicht weiter. Inwieweit die Patches auch die Leistung der Systeme beeinträchtigen wird, müssen die nächsten Wochen zeigen. Das Feature, an dem sich die Sicherheitslücken manifestieren, hat nämlich durchaus großen Einfluss auf die Rechengeschwindigkeit der Prozessoren (in bestimmten Anwendungen). Allerdings sind die bisher verfügbaren Patches wohl nur gegen Meltdown wirksam, Spectre soll einen Update des Microcodes innerhalb des Prozessors erfordern,. Aber es ist noch zu früh, um endgültige Klarheit zu haben. Eine gute Zusammenfassung der Lücken und der Empfehlungen und Reaktionen der Hersteller gibt es übrigens hier.

Im Prinzip kann man als Otto- oder Sigrid Normalanwender bei einer solchen Lücke zwei Dinge tun: Verzweifeln und jegliche Vorsicht über Bord werfen, weil eh alles sinnlos ist oder mit einem Schulterzucken zur Tagesordnung übergehen. Variante Eins ist verlockend. Ja, gegen solche Sicherheitslücken ist ein Anwender machtlos. Ja, solche Sicherheitslücken führen alle brav durchgeführten, persönlichen Vorsichtmaßnahmen, komplett ad absurdum. Und ja, solche Sicherheitslücken zeigen, dass heute allgemein verfügbare und zweifellos professionell entwickelte Technologie mit absoluter Sicherheit nicht fehlerfrei ist. Ganz egal ob es sich um einen Prozessor im PC, im Tablet oder in der Motorsteuerung des eigenen Autos handelt. Trotzdem ist Variante Zwei sinnvoller. Denn wie man am Beispiel der extrem stabil arbeitenden Motorsteuerung sieht, ist es durch flankierende Maßnahmen durchaus möglich, Fehler abzufangen. Im Fall von Spectre und Meltdown helfen schon die schiere Masse anderer Normalanwender, die gezielte Angriffe unwahrscheinlich macht sowie die halbwegs schnelle und sinnvolle Reaktion der Hersteller. Trotzdem bleibt ein ungutes Gefühl, gerade wenn man sich das ach so Segen-verheißende Internet-der-Dinge (IoT) ansieht. Dort steckt ein ähnlich komplexer Prozessor in jedem fingernagelgroßen RFID-Chip und für den wird garantiert nicht so schnell und umfassend ein Patch entwickelt, geschweige denn flächendeckend verteilt. Vielleicht sollte man in punkto flankierende Maßnahmen ins Auge fassen, nicht jedes Gerät ins Internet zu bringen, nur weil man es kann.

Blog abonnieren

CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.