Spectre und Meltdown: Die wichtigsten Antworten zu Ihren Fragen

Was Sie jetzt tun können, um Schaden von Ihrem Unternehmen abzuwenden.

Keyfacts

  • Probleme bei Spectre sind einfach durch Patches lösbar.
  • Bei einer Sicherheitslücke ist die nächste meist nicht weit weg.
  • Die Probleme betreffen auch Daten, die in der Cloud gespeichert sind.
Marko Vogel
  • Partner, Cyber Security
Mehr über meine Themen Nachricht schreiben

Das neue Jahr ist noch jung und beginnt mit einem Paukenschlag im Bereich Cyber Security. Spectre und Meltdown wurden die beiden Sicherheitslücken getauft, welche von Forschern und Googles hauseigener Security Forschungsabteilung entdeckt wurden.

Warum sind diese beiden Lücken so aufsehenerregend? Die Antwort auf diese Frage lässt sich vereinfacht so ausdrücken:

  • Jedes Computersystem – unter anderem PC, Laptop, Server, Handy, Fernseher usw. –, das bestimmte Prozessoren einsetzt, ist verwundbar. Dabei handelt es sich um alle Chips, die seit 2007 produziert wurden. Das sind mehr als zehn Jahre, eine lange Zeitspanne in der IT-Sicherheit.
  • Mögliche Angriffe können auf keinem bislang bekannten Weg entdeckt werden.
  • Durch Ausnutzung dieser Sicherheitslücken lassen sich jede Art von Informationen, wie z.B. Passwörter oder Schlüssel, zur Datenverschlüsselung abgreifen.

Die ersten Hersteller veröffentlichten nun bereits Software-Updates, andere werden sicherlich noch folgen. Diese Updates helfen allerdings nur bei der Behebung der Meltdown-Schwachstelle.

Für Spectre allerdings sind die Softwarehersteller ungleich mehr gefordert. Die Sicherheitsabteilungen großer Anbieter wie Microsoft, Apple und Google haben mit viel Akribie entsprechende Updates bereitgestellt.

Derzeit gibt es Mitteilungen vieler Systeme. Google Chrome hat Hilfestellungen herausgegeben, welche Einstellungen für einen besseren Schutz vorgenommen werden können. Das soll vorerst einen besseren Schutz liefern – bis entsprechende Updates ausgeliefert werden.

An dieser Stelle ist das Problem gelöst und die Aufregung vorbei – alles nur ein kurzer Schreck? Auf gar keinen Fall. Verschiedenste Sicherheitsinstitute und Forscher hatten schon lange die Vermutung, dass das, worauf ein Großteil der heute existierenden Sicherheitslösungen basiert – Isolation durch den Prozessor – nicht ganz so sicher ist wie angenommen.

Mit Meltdown und Spectre haben es nun zwei Sicherheitslücken in alle wichtigen Mainstream-Medien geschafft. Das brachte dem Thema eine breite Aufmerksamkeitsbasis. Dies hat insbesondere einen Effekt, denn Sicherheitsexperten wissen: Wo eine Lücke ist, sind andere oft nicht weit weg.

Durch gesteigerte Erfolgsaussichten und den möglichen Gewinn in Form von umfassendem Zugriff auf sensitive Daten werden sich jetzt sowohl White- sowie Black-Hats, also die guten sowie die bösen Hacker, mit Angriffen auf die Hardware befassen, und es ist nicht unwahrscheinlich, dass weitere Lücken zu Tage gefördert werden.

Eine weitere Frage, welche wohl unbeantwortet bleiben wird, ist, ob schon vor dieser Veröffentlichung andere Personen oder Institutionen wie z.B. Geheimdienste von diesen Lücken Kenntnis hatten und diese genutzt haben.

Generell lässt sich sagen, dass mit Meltdown und Spectre an den Grundfesten der Informationssicherheitstechnologie gerüttelt wurde und dabei mehr als nur der Putz abgebröckelt ist.

Wenn Prozessoren angreifbar sind, wie steht es dann um andere Chips wie z.B. die Steuerungseinheiten von Festplatten?

Intel, Apple oder AMD machen bisher keine Andeutungen, ihre anfällige Hardware durch fehlerbereinigte Produkte auszutauschen. Vielmehr obliegt es jetzt zahlreichen Entwicklern, die Lücken durch Softwaremechanismen zu korrigieren.  Es ist absehbar, dass Angreifer hierdurch motiviert werden, neue Wege zu suchen, um anfällige Anwendungen oder weitere Prozessor-Funktionen zu kompromittieren.

Zu verlockend sind die Möglichkeiten, hardware-basierte Verwundbarkeiten auszunutzen. Diese eignen sind insbesondere, um Sicherheitsmechanismen in Virtualisierungen zu umgehen, wie sie meist in Public Cloud-Lösungen zum Einsatz kommen. Dort, wo Benutzer sich Hardware Ressourcen teilen, stellt Meltdown eine große Bedrohung dar. Selbst Verschlüsselungsverfahren sind betroffen, da Serversysteme ihre privaten Schlüssel im Arbeitsspeicher vorhalten.

Unternehmen sollten hardware-basierte Verwundbarkeiten in ihre Bedrohungsanalyse einbeziehen und die Schutzmechanismen für streng-vertrauliche oder brisante Daten überprüfen. Hier muss sich jede Organisation die Frage stellen, ob die Bedrohungen durch Hardware-Verwundbarkeiten ausreichend behandelt werden, um eine Speicherung und Verarbeitung in einer Public Cloud zu erlauben.

Des Weiteren vertrauen mobile Endgeräte auf eine Absicherung durch das sogenannte Sandboxing – die Kapselung von Anwendungen und deren Daten soll das unbefugte Ausspähen von App-Daten (z.B. mobile Banking Apps) durch schadhafte Anwendungen verhindern. Für Angreifer öffnet sich hier ein neues Szenario, indem sie ihr Augenmerk auf ungepatchte Endgeräte legen.

Das sagen meine Kollegen:

 

Die Prozessor-Attacken Meltdown und Spectre zeigen: Sicherheit ist ein relativer Begriff. Das rät Forensic-Experte Michael Sauermann Unternehmern, die sich unsicher sind, was sie jetzt tun sollten.

Kurzfristige Lösungen für Meltdown und Spectre muss es geben, aber erst dann beginnt die eigentliche Arbeit für betroffene Unternehmen. Die Einschätzung unseres Experten Peter Kestner.

Das Besuchen einer von Angreifern kontrollierten Webseite kann schon genügen, um die Daten auf dem Mobilgerät zu gefährden. Auch hier müssen Unternehmen auf Bedrohungen durch schwachstellenbehaftete Mobilgeräte reagieren und betroffene Benutzer über geeignete Schutzmaßnahmen informieren. Auch hier sollten Unternehmen das Risiko einer Speicherung von vertraulichen Daten neu bewerten. Insbesondere bei Spectre ist eine einfache Lösung nicht in Sicht.

Was empfiehlt KPMG?

Überprüfen Sie die Verfügbarkeit von Patches sämtlicher x86 und ARM basierter Plattformen. Stellen Sie sicher, dass die Patches zeitnah eingespielt werden. Mobile Endgeräte sollten zeitnah aktualisiert werden und onlinefähige Anwendungen umgehend vor Angriffen durch Spectre geschützt werden. Eine laufende Überprüfung aller Anwendungen auf die Verwundbarkeit gegen Spectre sollte langfristig geplant werden.

Binden Sie ihre Sicherheitsexperten bei der  Risikoanalyse mit ein, besonders dann, wenn mehrere Teilnehmer eine Infrastruktur nutzen. Public Cloud Services sind hier ein Beispiel – insbesondere für hochschutzbedürftige Daten. Betrachten Sie Optionen wie z.B. eine Hybrid Cloud unter den Gesichtspunkten Schutzbedarf und Datensicherheit.

Überprüfen Sie die Sicherheitspolitik und Maßnahmen ihrer Dienstleister (insbesondere Cloud Provider) auf die Nachhaltigkeit im Hinblick auf die Prävention und Erkennung von Hardwareangriffen.

Marko Vogel
  • Partner, Cyber Security
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.