Meltdown und Spectre geistern um in der IT-Landschaft, Supergau in der IT-Welt – so die Schlagzeilen. Nüchtern betrachtet wird ein Feature zum Risikofaktor. Durch einen Designfehler erlauben die beiden Probleme Kernschmelze und Schreckgespenst es, dass eigentlich nicht – privilegierte Prozesse Zugriff auf Speicherbereiche erhalten können, was eigentlich nur dem Betriebssystem vorbehalten ist. Auf diesem Weg können sich Programme theoretisch Zugriff auf Daten, auch Passwörter und ähnliches, verschaffen. Technisch sehr gut beschrieben, findet man die Problematik in einem Artikel auf ZDNet. Die Technik dahinter wird die meisten Anwender aber nur bedingt interessieren, sondern nur, wie sie sich schützen können.
Sicherheitsrisiko in der Hardware
Anders als bei Schadsoftware geht es hier direkt um den Kern der Maschine, eben der Hardware als solches und genau die lässt sich so ja nicht reparieren bzw. anpassen. Theoretisch aber müsste man ihn, also den Prozessor, austauschen. Ging man zunächst davon aus, dass nur Intel Prozessoren betroffen, so betreffen Teilbereiche wohl auch AMD und ARM Prozessoren, wenn auch nur in Teilbereichen.
Als Anwender gibt es nichts, was man aktiv tun kann. Einzig und alleine Softwarelösungen in Form von Betriebssystem Updates können hier helfen. Dies geschieht auch bereits sowohl bei Linux als auch bei Windows. So rollt Microsoft erste Updates bereits aus, auch wenn diese wohl noch nicht an alle Geräte verteilt werden.
Nach Industrieangaben gibt es bis jetzt noch keine bekannten Fälle, dass die Schwachstellen ausgenutzt wurden, allerdings haben wohl mehrere Stellen das Problem mehr oder weniger zeitgleich entdeckt, was nach diesem Artikel im Spiegel zumindest Sorge bereiten sollte.
Beunruhigend und auch Performance-technisch möglicherweise ein Problem, denn die Updates sollen die Maschinen verlangsamen, besonders in virtuellen Umgebungen. Bis jetzt haben sich wohl Befürchtungen von bis zu 30% nicht generell bewahrheitet, aber dies wird letztlich erst der Masseneinsatz zeigen.
Größtes Problem auf Dauer: Android – basierte Hardware ohne Security Fixes
Das größte Problem, da ja auch wohl ARM Prozessoren betroffen sind, dürften langfristig Android – basierte Geräte ohne Security Fixes sein. Hier zeigt sich wieder mal die Schwachstelle von Android: da es hier keine Hardware – übergreifenden Lösungen für solche Probleme wie bei Microsoft oder Apple üblich gibt, sondern es meist den Herstellern überlassen bleibt, wird die Problematik auch auf vielen dieser Geräte langfristig erhalten bleiben. Viele Smartphone und Tablet PCs werden wohl nie ein Update sehen, da sich keiner verantwortlich fühlt.
Problematisch ist, dass Antivirus – Software an dieser Stelle, zumindest nicht vorausschauend, helfen kann, da sich ein Programm, welches die Prozessorschwachstellen ausnutzt nicht besonders auffällig verhalten würde. Nur nachdem eine Schadsoftware bekannt wäre, könnte man diese erkennen. Normale Schadsoftware kann Bitdefender auf Basis von erkannten Verhaltensmustern in der Regel auch dann erkennen, wenn diese noch nicht bekannt ist. Beim Prozessorproblem dürfte dies schwierig bis unmöglich sein, was ich aber jetzt nicht abschließend beantworten kann.
Updates installieren, aber nicht erzwingen
Das einzige, was Anwender aktuell machen können, ist angebotene Windows Updates, aber auch Browser Updates und andere Updates für sensible Software unbedingt zu installieren. Andererseits sollte man die Updates aber auch nicht erzwingen, wenn noch nicht angeboten, da ein nicht für ein System freigegebenes Update Probleme machen könnte. Also warten, bis offizielle Updates bereitgestellt werden.
Update 08.01.2018: Bitdefender hat übrigens mittlerweile signalisiert, dass es mit den Windows Updates kompatibel ist, sodass entsprechende Windows Updates, die die Prozessorlücke schließen oder zumindest das Risiko reduzieren sollen, installiert werden können (und sollte). Siehe dazu auch meinen Artikel hier.
Aktuell ist das Problem in seiner Gänze und Auswirkung noch unübersichtlich, nicht zuletzt, weil sich die Hersteller in „Schadensbegrenzung“ üben. Letztlich geht mindestens ein gehöriges Maß an Vertrauen in die Welt IT damit verloren. Wie die meisten GAUS, wird aber auch dieser irgendwann vergessen sein.