Meltdown und Spectre: Patchen und Aussitzen

Meltdown und Spectre bedrohen praktisch jeden User der Welt. Wie konnte es dazu kommen? Und wie gehts weiter? Thomas Uhlemann von Eset gibt Auskunft.

von Florian Bodoky 18.01.2018

Meltdown und Spectre sind in aller Munde. Die Angriffsszenarien basieren auf einer Funktion in der Chip-Architektur von Prozessoren. Diese Angriffsmöglichkeiten, so Analysten, bestehen in dieser Form vermutlich schon seit Mitte der 90er-Jahre. Wider besseren Wissens haben Hersteller aber lange gezögert und nur tröpfchenweise auf die Gefahr aufmerksam gemacht. Was hat es damit auf sich? PCtipp hat den Sicherheitsspezialisten von Eset, Thomas Uhlemann, befragt.

Thomas Uhlemann ist Security Specialist DACH bei der ESET Deutschland GmbH Thomas Uhlemann ist Security Specialist DACH bei der ESET Deutschland GmbH Zoom© Eset

PCtipp: Diese Angriffsszenarien wären theoretisch schon seit 20 Jahren möglich. Wieso blieb dieses Problem so lange unentdeckt?

Thomas Uhlemann: Wie lange die Lücken letztlich unentdeckt blieben, ist unklar. So haben beispielsweise Google-Zero-Mitarbeiter Meltdown analysiert und kamen zum Schluss, dass nahezu jeder Intel-Chip seit 1995 anfällig sei. Auch einige andere Forscher beschrieben bereits 2010 die theoretische Anfälligkeit der zugrundeliegenden Prinzipien. Letztlich fehlte bislang ein realer Nachweis, dass die vom Prozessor vorhergesagten und zwischengespeicherten Informationen (Experten nennen dies «Speculative Execution») tatsächlich abgefangen werden können. 

PCtipp: Viele Hersteller und Entwickler lancieren aktuell Patches für ihre Systeme. Endgültig gebannt wird die Gefahr dadurch aber nicht. Wie sicher sind die Patches Ihrer Meinung nach?

Uhlemann: Wir empfehlen jedem Anwender, bereitgestellte Patches umgehend einzuspielen. Jedes Update dämmt die Möglichkeiten ein, Opfer von Meltdown sowie Spectre zu werden und mindert gleichzeitig die Rentabilität für potenzielle Angreifer. 

Eines ist dabei klar: All diese Notfall-Updates können aktuell nur die Angriffsfläche verkleinern, das Grundproblem bleibt jedoch bestehen. Denn dies liegt eben nicht – wie wir es so oft in der Vergangenheit erlebt haben – auf der Software-, sondern der Hardware-Ebene. Selbst mit sogenannten Microcode- oder Microkernel-Updates wird man die Lücken nicht ganz schliessen können.

Unser Tipp: Laden Sie Patches und Updates grundsätzlich nur von den Herstellerseiten, vertrauenswürdigen Portalen und über automatische Update-Funktionen der Betriebssysteme selbst herunter. Aktuell nutzen Cyberkriminelle bereits den Wirbel um Meltdown sowie Spectre aus und versenden massenhaft betrügerische E-Mails, angeblich im Namen des Bundesamts für Sicherheit in der Informationstechnik. Die dort zum Download angebotenen Patches sind natürlich keine, sondern Windows-Trojaner. Wir gehen davon aus, dass ein entsprechendes Pendant auch für die Schweiz in Zukunft zu sehen sein wird. 

PCtipp: Wie sieht es denn zukünftig aus? Ein Dauerzustand kann dies ja nicht sein.

Uhlemann: Nein, der jetzige Zustand wird uns nicht ewig begleiten. Wir gehen davon aus, dass die Chip-Entwickler mit Hochdruck an neuen, sicheren Prozessordesigns arbeiten. Fraglich ist der Zeitpunkt, ab wann wir die neuen Prozessorgenerationen in natura zu sehen bekommen. Bei dieser Problematik hilft kein Facelift – letztlich muss unter Zeitdruck Grundlagenforschung betrieben werden. Denn zum einen dürfen solche Sicherheitslücken nicht mehr vorkommen und zum anderen muss die gewohnte Performance wieder geboten werden. Denn Letztere ist eine unmittelbare Auswirkung aller Massnahmen zur Schliessung der Sicherheitslücken.   

PCtipp-Leser sollten sich beim Thema Tempo nicht zu viele Sorgen machen. Die meisten PCs besitzen weit mehr Rechenkapazität, als tatsächlich gebraucht wird. Wer im Internet surft, das Office-Paket nutzt oder auch intensiv am Computer spielt, wird die Leistungseinbussen kaum bemerken. Lediglich Server-Betreiber spüren den Unterschied mehr als der durchschnittliche Anwender. Und selbst wenn ein wenig Power fehlt: Die dafür erhaltene Sicherheit macht dieses Manko mehr als wett. Die Devise «Sicherheit vor Performance» halten wir grundsätzlich für richtiger.

Tags: Meltdown

    Kommentare

    Keine Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.