Aus aktuellem Anlass: „Meltdown“ und „Spectre“
Die Meldungen zu den Sicherheitslücken, die mit „Spectre“ und „Meltdown“ angegriffen werden können, haben viele Nutzer verunsichert. Deshalb möchten wir laientauglich aufklären, wie groß das bestehende Risiko tatsächlich ist. Außerdem weisen wir auf Probleme hin, die bei der Behebung der Sicherheitslücken auftreten können.
Bei der möglichen Ausnutzung der Sicherheitslücken gibt es drei mögliche Angriffsszenarien. Sie wurden von den Sicherheitsexperten, welche bei Google am „Project Zero“ arbeiten, folgendermaßen gekennzeichnet:
• Spectre 1 – Bounds Check Bypass – Kennung CVE-2017-5753
• Spectre 2 – Branch Target Injection – Kennung CVE-2017-5715
• Meltdown – Rogue Data Cache Load – Kennung CVE-2017-5754
Die Sicherheitslücken bestehen bereits seit Mitte der 1990er Jahre und unterlagen bisher keiner aktiven Nutzung. Das könnte sich jetzt aber schnell ändern, nachdem auch die Hacker durch die Publikation durch Googles „Project Zero“ davon Kenntnis erlangt haben.
Welche Ursachen hat die Sicherheitslücke?
Die Lücke steckt in der Art und Weise, wie die Daten im Cache des Prozessors verarbeitet werden. Dort können die einzelnen Programme die Daten von anderen Programmen auslesen. Dabei handelt es sich leider nicht nur um die Befehle der Anwendungen, die vom Prozessor gerade bearbeitet werden. Parallel werden dort auch vom Nutzer eingegebene Daten sichtbar. Das betrifft auch Passwörter und andere Zugangsdaten. Hier ist es wissenswert, dass der Prozessor einige Daten bereits vorsorglich in den Cache lädt. Diese Funktion trägt die Bezeichnung „Spekulative Exekution“. Damit holt sich der Prozessor nach der Auswertung von Wahrscheinlichkeiten die Daten, welche für die mit der höchsten Wahrscheinlichkeit nächste Nutzeraktion nötig sind. Auch diese vorgeladenen Daten sind mit den Angriffszenarien „Meltdown“ und „Spectre“ auslesbar.
“Meltdown“ und „Spectre“ verursachten Ausfälle von Websites
In den letzten Tagen gaben die Browser massenhaft Fehlermeldungen über nicht erreichbare Websites aus. Das ist Fehlern in den Updates geschuldet, die zur Schließung der Sicherheitslücken notwendig sind. Solche Fehler fanden sich sowohl bei den Updates für das Betriebssystem Windows als auch bei Linux und den dazugehörigen Ablegern. Sie führten dazu, dass sich die Webserver nach der Installation der Updates nicht mehr starten ließen. Betroffen waren vor allem Rechner, deren Nutzer sich nicht nur auf den Schutz der zum Betriebssystem gehörenden Sicherheitsprüfungen verlassen. Microsoft hat in einer offiziellen Stellungnahme inzwischen eingeräumt, dass es massive Konflikte zwischen dem Sicherheitsupdate zu „Meltdown“ und „Spectre“ und den Virenscannern gab. Deshalb empfiehlt sich deren vorsorgliche Deaktivierung vor dem Download und der Installation der Updates. Noch haben nicht alle Anbieter von Virenscannern die notwendigen Aktualisierungen ihrer Programme vorgenommen.
Ist das Internet seit den Updates langsamer?
Wer genau aufpasst, wird feststellen, dass es im Internet Einbußen bei der Reaktionsgeschwindigkeit gibt. Das wirkt sich negativ auf die Ladezeit für Websites aus. Die Ursachen finden sich an mehreren Stellen. Einerseits reagieren die Webserver langsamer. Andererseits zeigen sich die Performance-Einbußen auch bei den genutzten Endgeräten. Sie sind bisherigen Tests zufolge bei mobilen Endgeräten der Kategorien Smartphone und Tablet am stärksten ausgeprägt. Doch es gibt eine gute Nachricht: Die anfänglich befürchteten Leistungseinbußen von bis zu 30 Prozent sind nicht eingetreten. Momentaner Negativ-Spitzenreiter ist das Betriebssystem iOS, bei welchem während eines Live-Tests in der Sendung „Stern TV“ etwa die Hälfte dieses Werts gemessen wurde. Die meiste Angst vor den Einbußen hatten aber Gamer. Bei einem durchschnittlichen Gamer-PC brachte der gleiche Test einen Performance-Verlust zwischen fünf und sieben Prozent. Der Grund liegt in der Abschaltung der Funktion „Spekulative Exekution“ bei den Updates zur Abwehr der Angriffsszenarien „Spectre 1“, „Spectre 2“ und „Meltdown“
Welche Geräte, Prozessoren und Systemarchitekturen sind betroffen?
Genau an dieser Stelle gibt es einen sehr alarmierenden Sachstand. Die Sicherheitslücke tritt nicht nur beim klassischen Arbeitsplatzrechner, bei Notebooks, Netbooks sowie bei Tablets, Phablets und Smartphones auf. Den derzeitigen Erkenntnissen zufolge besteht diese Gefahr auch für Spielkonsolen, den Smart TV und einige DSL-Router mit „Meltdown“ und „Spectre“. Mittlerweile haben zahlreiche Hersteller Listen mit den Modellen veröffentlicht, bei denen die Sicherheitslücke im Prozessor-Cache besteht. Betroffen sind Prozessoren von sehr vielen Herstellern. Dazu zählen sich auch Top-Hersteller wie Intel, AMD, Apple und Qualcomm sowie Nvidia. Teilweise spielt das Baujahr eine wichtige Rolle, denn die Funktion „Spekulative Exekution“ wurde von den einzelnen Herstellern zu unterschiedlichen Zeitpunkten eingeführt.