Spectre und Meltdown – keine Sorgenfalten bei uns

Seit einigen Tagen in allen Medien präsent: Die Sicherheitslücken in Prozessoren von Intel und AMD haben eine breite Unsicherheit ausgelöst. Das Sicherheitsdenken vieler IT-Nutzer wurde im Mark getroffen. Grund genug, ein paar Gedanken zu Spectre und Meltdown für unsere Kunden zusammenzufassen.

Die beiden Sicherheitslücken Specre und Meltdown werden meist in einem Atemzug genannt, da beide eine ähnliche Lücke ausnutzen, wenn auch mit jeweils anderer Funktionsweise.

Was ist eigentlich das Problem?

Doch was ist eigentlich die Lücke, die hier potenziell ausgenutzt wird? Bisher ist man davon ausgegangen, dass die Trennung der Prozesse, die zu verschiedenen Programmen gehören, im Arbeitsspeicher zuverlässig umgesetzt wird. Also – laienhaft ausgedrückt – dass Excel nicht weiß was Powerpoint in ihrem Prozessor so tut. Doch nun wurden wir eines Besseren belehrt: Seit rd. 2 Jahrzehnten besteht die Möglichkeit, mit Malware den Arbeitsspeicher anderer Programme auszulesen. Es gibt damit eine fehlende Abgrenzung auf Prozessorebene. Dieses Problem betrifft alle Endgeräte – sowohl PCs, Tablets als auch Smartphones, als auch virtuelle Umgebungen, wie sie oft von Cloud Services eingesetzt werden.

2 Probleme – unterschiedliche Gefahr

Der Unterschied zwischen Spectre und Meltdown ist für Laien eigentlich irrelevant.

  • Meltdown zielt auf die spekulative Ausführung von Prozessoren ab. Dabei werden die wahrscheinlichsten Befehle bereits vorab berechnet, um die Leistung der Prozessoren zu optimieren. Dabei kann prozessorenübergreifend Speicher ausgelesen und Datem zweckentfremdet werden.
  • Spectre beschreibt eine Schwachstelle, die es möglich macht, den aktuell laufenden Vorgang auszulesen. Dabei wird die Abschottung zwischen den Programmen umgangen.

Ob diese Fehler in den Prozessoren in den letzten Jahrzehnten ausgenutzt wurden, weiß niemand. Es wurde noch kein Angriff offiziell publik. Zumindest nährt das die Hoffnung von ausgebliebenem Missbrauch.

Server-Architektur schützt Ihre Daten

Als Befragungskunde von vieconsult im Rahmen von Mitarbeiterbefragungen oder 360° Feedbackbefragungen fragt man sich vielleicht: Was bedeutet das für unsere Befragungsdaten? Sind/waren diese auch betroffen?

Natürlich haben auch unsere Server die betroffenen Prozessoren verbaut (und daher wurden auch bereits alle bisher verfügbaren Betriebssystem-Updates und Microcode-Updates der Hersteller installiert). Aber es gibt keine sicherheitsrelevanten Auswirkung auf unsere Kunden. Ihre Daten sind sicher!

Warum wir dies behaupten können?

  1. Zunächst einmal haben wir unsere eigene Dedicated Server Hardware, auf der Daten gespeichert und verarbeitet werden. Wir teilen also unsere Server mit keinen Dritten was damit ein Auslesen für Dritte quer durch den Arbeitsspeicher unmöglich macht. Gerade bei Meltdown besteht das Leck ja genau darin, dass Informationen auch vom Server-Nachbarn ausgelesen werden können (wie es bei der Nutzung von Services wie AWS oder Azure, bei denen tlw. Daten physikalisch neben den Daten anderer Kunden liegen, theoretisch möglich wäre). Wir betreiben unsere eigenen Befragungsserver in einem ISO 27001 zertifizierten Servercenter.
  2. Zum anderen wäre es – um Meltdown oder Spectre-Attacken auf Serversysteme anzuwenden –  notwendig Programmcode aus Fremd-Quellen auf den Systemen auszuführen. Auf unseren Servern wird jedoch ausschließlich Programmcode ausgeführt dem wir vertrauen. Es gibt keine Möglichkeit Programmcode auf den Systemen auszuführen, welcher aus anderen Quellen stammt.

Als Fazit: Die besagten Sicherheitslücken haben bei unserer Grundarchitektur nur minimale Auswirkung in der Praxis.

Aktualisieren Sie Ihre Geräte

Der Server ist aber nur die eine Seite der Medaille. Die andere Seite sind die Clients – die unserer Kunden und unsere eigenen. Um sich gegen Meltdown und Spectre zu schützen, ist es deshalb auch dringend notwendig, schnell alle bereitgestellten Updates der Hersteller einzuspielen. Und auch hier macht vieconsult seine Hausaufgaben und ist dank Auto-Updates von Betriebssystem, Firmware und Anti-Malware/Virus und der Beratung unserer IT-Betreuer rasch auf der sicheren Seite. Ach ja: Ihre Daten sind übrigens auch auf unseren Festplatten vollverschlüsselt und alle Passwörter in einem Passwörter-Safe verschlüsselt gespeichert.

Sie haben dennoch Fragen zu diesem Thema? Kontaktieren Sie uns gerne!